使用 Apache Shiro 的 CSRF 令牌
CSRF token with Apache Shiro
我有一个基于 Apache Shiro 的现有 Web 应用程序,用于 authentication/authorization 部分。我想为 generating/checking CSRF 令牌实现一种机制,但 Shiro 不支持该机制。我正在考虑使用 Spring 安全性来生成令牌,并以某种方式将 Shiro 会话传递给 Spring。有什么聪明的方法可以做到这一点?或任何其他方法来为基于 Shiro 的应用程序实施 CSRF 保护?
Shiro 中没有开箱即用的东西。许多与 Shiro 集成的框架都提供了这一点。 (挂毯,Spring,等等)。因此,您可能已经可以使用该功能(取决于您的堆栈)
也就是说,我确实觉得这应该是 Shiro 本身的一部分。几个月前我破解了这个功能,但最近我一直很忙......
我把代码推到这里:https://github.com/bdemers/shiro/pull/1 如果你想看一下。
我有一个基于 Apache Shiro 的现有 Web 应用程序,用于 authentication/authorization 部分。我想为 generating/checking CSRF 令牌实现一种机制,但 Shiro 不支持该机制。我正在考虑使用 Spring 安全性来生成令牌,并以某种方式将 Shiro 会话传递给 Spring。有什么聪明的方法可以做到这一点?或任何其他方法来为基于 Shiro 的应用程序实施 CSRF 保护?
Shiro 中没有开箱即用的东西。许多与 Shiro 集成的框架都提供了这一点。 (挂毯,Spring,等等)。因此,您可能已经可以使用该功能(取决于您的堆栈)
也就是说,我确实觉得这应该是 Shiro 本身的一部分。几个月前我破解了这个功能,但最近我一直很忙...... 我把代码推到这里:https://github.com/bdemers/shiro/pull/1 如果你想看一下。