Java权限控制框架,Apache Shiro 1.2.3 发布
jopen 11年前
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。
Shiro提供了应用安全四要素的API:
- 认证 - 用户身份识别,常被称为用户“登录”;
- 授权 - 访问控制;
- 密码加密 - 保护或隐藏数据防止被偷窥;
- 会话管理 - 每用户相关的时间敏感的状态。
Shiro还支持一些辅助特性,如Web应用安全、单元测试和多线程,它们的存在强化了上面提到的四个要素。
- 易于使用 - 易用性是这个项目的最终目标。应用安全有可能会非常让人糊涂,令人沮丧,并被认为是“必要之恶”【译注:比喻应用安全方面的编程。】。若是能让它简化到新手都能很快上手,那它将不再是一种痛苦了。
- 广泛性 - 没有其他安全框架可以达到Apache Shiro宣称的广度,它可以为你的安全需求提供“一站式”服务。
- 灵活性 - Apache Shiro可以工作在任何应用环境中。虽然它工作在Web、EJB和IoC环境中,但它并不依赖这些环境。Shiro既不强加任何规范,也无需过多依赖。
- Web能力 - Apache Shiro对Web应用的支持很神奇,允许你基于应用URL和Web协议(如REST)创建灵活的安全策略,同时还提供了一套控制页面输出的JSP标签库。
- 可插拔 - Shiro干净的API和设计模式使它可以方便地与许多的其他框架和应用进行集成。你将看到Shiro可以与诸如Spring、Grails、Wicket、Tapestry、Mule、Apache Camel、Vaadin这类第三方框架无缝集成。
- 支持 - Apache Shiro是Apache软件基金会成员,这是一个公认为了社区利益最大化而行动的组织。项目开发和用户组都有随时愿意提供帮助的友善成员。像Katasoft这类商业公司,还可以给你提供需要的专业支持和服务。
Apache Shiro团队已经发布Apache Shiro的 1.2.3 版本。这是1.2.0后第三个错误修复发行点。 所有二进制包(.jars)都可以从 Maven Central 中下载. 此版本包括1个严重漏洞 SHIRO-460 - LDAP 验证成功,即使用户名和密码不通过。 [2] [CVE-2014-0074] Versions Affected: 1.0.0-incubating - 1.2.2 Details: When using an LDAP server that allows unauthenticated bind, Shiro will authenticate users with an empty password. NOTE: this is NOT the default for OpenLDAP Mitigation: Users should upgrade to 1.2.3 Workaround: Disable unauthenticated binds on your LDAP server (best practice). Cheers, The Apache Shiro Team [1] http://shiro.apache.org/download.html [2] https://issues.apache.org/jira/browse/SHIRO-460