我正在创建一个使用 Shiro 作为安全框架的应用程序。 该应用程序有两个部分;网络和休息。
Web 使用 Shiro 的默认 FormAuthenticationFilter。
我对基于会话的方法感到满意。
使用 Rest 的独立应用程序,我想限制使用 FormAuthenticationFilter 和创建会话,我可以通过 shiro.ini 文件执行此操作
我需要在其余服务上实现基于凭据的安全性。
在网上浏览时,我看到一些博客建议您创建自己的 Realm 和过滤器来处理这种情况。但没有关于如何执行此操作的详细信息。
是否可以在 Apache Shiro 上实现基于凭据的安全性?如果有,是否有博客或教程向您展示如何实现这一目标?
问候
【问题讨论】:
标签: rest jakarta-ee shiro
您可以对 Web 服务端点使用基本身份验证,并为 Web 使用基于表单的身份验证。
网络用户是否也可以访问您的网络服务?
编辑:
查看此示例应用。 https://github.com/dominicfarr/skybird-shiro
在shiro中配置了三个url路径
web - 使用表单身份验证。
api - 使用基本身份验证。
球衣 - 匿名访问。
切入 shiro.ini 配置。
[main]
authc.loginUrl = /web/login.html
sessionManager = org.apache.shiro.web.session.mgt.DefaultWebSessionManager
sessionDAO = org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
securityManager.sessionManager = $sessionManager
securityManager.sessionManager.sessionDAO = $sessionDAO
[users]
dom = password, user
[roles]
user = standard
[urls]
/web/login.html = authc
/web/** = authc
/api/** = authcBasic
/jersey/message = anon
【讨论】:
BasicHttpAuthenticationFilter 进行基本身份验证吗?是的,网络用户也可以使用 Rest 频道。目前我正在看。我也在使用 SSL,所以在使用 rest 时连接是加密的。
authcBasic 使用。到目前为止,我的方法是在 Rest 上使用 /resources/** = ssl[8443],noSessionCreation,authcBasic。这意味着每个请求都会对其进行 Base64_encoded。有没有办法覆盖BasicHttpAuthenticationFilter 读取标头并对其进行解码的方式?想用我自己的密钥对其进行编码/解码。