Ich habe eine bestehende Web-Anwendung basierend auf Apache Shiro für die Authentifizierung/Autorisierung Teile. Ich möchte einen Mechanismus zum Generieren/Prüfen eines CSRF-Tokens implementieren, aber es gibt keine Unterstützung dafür in Shiro. Ich dachte daran, Spring Security für die Token-Generierung zu verwenden und die Shiro-Session irgendwie an Spring zu übergeben. Gibt es dafür einen cleveren Weg? oder eine andere Methode, CSRF-Schutz für eine Shiro-basierte App zu implementieren?CSRF-Token mit Apache Shiro
1
A
Antwort
1
Es gibt nichts in Shiro out of the box. Viele Frameworks, in die Shiro integriert ist, bieten dies. (Tapisserie, Frühling, usw.). Sie können also bereits diese Funktionalität zur Verfügung haben (abhängig von Ihrem Stack)
Das sagte, ich glaube, das sollte Teil von Shiro selbst sein. Ich habe dieses Feature vor ein paar Monaten gehackt, aber ich war in letzter Zeit ziemlich beschäftigt ... Ich habe diesen Code hier gedrängt: https://github.com/bdemers/shiro/pull/1, wenn du einen Blick darauf werfen willst.
Verwandte Themen
- 1. Apache Shiro kombiniert mit LDAP
- 2. Soziale Authentifizierung mit Apache Shiro
- 3. Apache Shiro + Kerberos Authentifizierung
- 4. Apache Shiro Anmeldung
- 5. Apache Shiro und SSO
- 6. Apache Shiro versus Spring Security
- 7. Apache Shiro, @RequiresRoles, 401 Fehlercode
- 8. Spring 4 MVC + Apache Shiro
- 9. Benutzerrollen vs. Benutzerberechtigungen mit Apache Shiro
- 10. Integration von Apache Shiro mit ASP.NET MVC
- 11. Login mit passwordHash in Apache Shiro Grails
- 12. Apache Shiro: ClassCastException auf Realm
- 13. Anpassung der Apache Shiro-Authentifizierung
- 14. Grails Feder-Sicherheit-Shiro: Arbeiten mit Apache Shiro Thema in GSP - Migration von Shiro zu Feder-Sicherheit-Shiro
- 15. JAAS, Spring Security oder Apache Shiro
- 16. Apache Shiro-Integration und Netty ExecutionHandler/OrderedMemoryAwareThreadPoolExecutor
- 17. Apache Shiro + HTTP-Methode Ebene Erlaubnis
- 18. Apache Shiro - Sitzung Timeout nach dem Login
- 19. Liste authentifizierte Benutzer von Apache Shiro ServletContainerSessionManager
- 20. Shiro mit Springboot Integration
- 21. Sichern von Rest-Service-Ressourcen mit Apache Shiro
- 22. Übergabe von csrftoken mit Python Anfragen
- 23. Problem mit shiro und ehcache
- 24. JerseyTest mit shiro
- 25. Verwenden von Apache Shiro SecurityUtils in einem Filter
- 26. ABAC-Unterstützung für Spring Security oder Apache Shiro
- 27. Apache Shiro URL hinzufügen Ausnahme für Spring MVC Projekt
- 28. Spring ignoriert @Transactional Annotationen in Apache Shiro Realm-Klasse
- 29. Apache Shiro userRolesQuery sucht nur nach einem int
- 30. Apache Shiro MD5Hash und SimpleHash generieren unterschiedliche Werte