将低版本升级到高版本1.7.0---->1.9.1
攻击者大量使用了shiro漏洞的攻击,为了找到这些最新的包,花费了一天时间来查找,终于在一位网友的提示下找到了它们的窝:(CSDN中的好多用户都是上传到博客中,但一下载就收费,感觉很不好)
下载地址:(Maven库)
https://mvnrepository.com/artifact/org.apache.shiro/shiro-core
关于应该升级哪些东西,经过测试有以下内容:(以升级到1.7版本为例)
shiro-core-1.7.0.jar
shiro-web-1.7.0.jar
shiro-ehcache-1.7.0.jar
由于版本升级附带了一些其它功能,还需要以下两个jar包:(都可以从上面的库中查找到)
commons-beanutils-1.9.4.jar
encoder-1.2.2.jar
出现的问题:shiro1.3升级1.7遇到重定向登录页面时报400错误
因为项目单点登录的需求,对原项目进行单点登录改造,对shiro 进行升级,由原1.3升级至1.7,原代码未做任何改动,登录重定向报400,但直接访问登录页正常,两者差异在于url增加自带参数jsessionid,导致400,改配置文件即可,代码如下:
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
<property name="sessionIdUrlRewritingEnabled" value="false" /><!--这个参数,默认为true,改为false-->
<property name="globalSessionTimeout" value="1800000" />
</bean>
<!-- securityManager安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="userAuthorizingRealm" />
<property name="sessionManager" ref="sessionManager" />
</bean>