shiro项目如何放行静态资源？　　1.静态资源目录；

返回值中能在set-cookie很明显看到rememberme=deleteme 这个的字段，那么很有可能存在shiro漏洞。运行shiro.py根据域名生成payload,后面的网址就是上一步生成的域名，前面自己加上http://头。复制payload，

// 设置cookie名称，对应login.html页面的<input type="checkbox" name="rememberMe"/>. //如果httpOnly设置为true，则客户端不会暴露给

pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode(). encryptor = AES.new(base64.b64decode(key), mode, iv).

然而AES的密钥是硬编码的，就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。前16字节的密钥-->后面加入序列化参数-->AES加密-->base64编码-->发送cookie. python shiro_shell.py

* Inspects a bean, and if it implements the {@link Filter} interface, automatically adds that filter. * instance to the internal

Springboot使用的页面模板是thyme leaf，它比jsp多一些特定的标签，可以动态或者静态显示文本内容。~ * Copyright 2019. tdc.shangri-la.com. All Rights Reserved.* subjec

自己练习shiro的时候，导入shiro官网的全部依赖，发现有两个依赖在项目里会造成某些异常。以下时shiro官方提供的全部依赖，但是有两个最好注释掉：。-- shiro相关的所有依赖等同于shiro-all -->

#实际过期时间为秒数对分钟取整，比如设置2000，则 2000s/60=33min，33min*60=1980s，实际过期时间为1980s. 配置shiro-Session的优先级高于使用servlet的session。

它们都实现了一个接口 CredentialsMatcher ，我这里也实现这个接口，实现一个自己的密码校验。配置自己的密码校验类替换默认的：由于是springboot，我们直接在配置类ShiroConfig里面配置：。此时我们的密码校验类就替换成了我们自己

在博主认为，对于入门级学习java的最佳学习方法莫过于视频+博客+书籍+总结，前三者博主将淋漓尽致地挥毫于这篇博客文章中，至于总结在于个人，实际上越到后面你会发现学习的最好方式就是阅读参考官方文档其次就是国内的书籍，博客次之，这又是一个层次了，这里暂时不提

package com.zys.sys.config;import lombok.Data;private String hashAlgorithmName = "md5";private Integer hashIterations

// Source code recreated from a .class file by IntelliJ IDEA. String msg = "Unable to correctly init default filter instanc

https://www.w3cschool.cn/shiro/xgj31if4.html https://www.cnblogs.com/youzhibing/p/9679134.html

权限里面很关键的两个东西：认证和授权。-- 指定spring配置文件的位置,配置文件放在resources下 -->. -- 必须设置 --><property name="securityManager" ref=&

-- shiro过滤器定义 -->. &ndash; 忽略列，不生成bean 字段 &ndash;&gt;-->. &ndash; 指定列的java数据类型 &ndash;&gt;-->

DefaultFilter 枚举类定义了shiro所有的默认过滤器。

* 身份校验核心类;// 获取用户的输入的账号.// 通过username从数据库中查找 User对象，如果找到，没找到.// 实际项目中，这里可以根据实际情况做缓存，如果不做，Shiro自己也是有时间间隔机制，2分钟内不会重复执行该方法。* 第三个参数是

http://blog.csdn.net/peterwanghao/article/category/1101326 http://www.ibm.com/developerworks/cn/java/j-lo-shiro/