問題タブ [shiro]

既に作成してデータベースに保存した既存の ShiroRole を取得するにはどうすればよいですか?

ShiroUser.findByUserName("somename") を呼び出すことで既存の ShiroUser を取得できることに気付きましたが、名前でロールを検索する際に同じことを行うと思われる ShiroRole のメソッドは見つかりませんでした。

Apache Shiro Grails プラグインを使用しています

ありがとう！

更新：この質問を、私が抱えている特定の問題に関するものに変更しました。これは、フィルターの単体テストが Grails 2.0 でサポートされるためです。ドキュメントが改善されることを願っています。

Grails アプリに Shiro セキュリティを実装するために設定したフィルターの単体テストを作成しようとしています。私は Grails 1.3.7 を使用していますが、この特定のプロジェクトではしばらく (もしあったとしても) 2.0 を使用することはできません。

私のフィルターの背後にあるアイデアは、番号またはコントローラー/アクションの組み合わせへの匿名アクセスを許可する必要があるが、他のアクセスは保護する必要があるということです。また、フェールセーフも必要です。つまり、明示的にアクセスを許可するのを忘れると、アクセスが禁止されます。

フィルタ クラス

単体テスト

例外

問題は、これらのテストを実行すると、次の例外が発生することです。

さらに、単体テストに次の行を配置しました。

以下を出力します。

したがって、確かにモック リクエスト オブジェクトを使用しているようです。

では、質問です。

FiltersUnitTestCase を正しく使用してフィルターを実行していますか?

そしてそうならば：

この例外が発生するのはなぜですか?

私の新しいgrailsプロジェクトでは、shiro（grails install-plugin shiro）とクイックセットアップをインストールしgrails shiro-quick-startました。これにより、 shirodocumentationで説明されているように新しいファイルが生成されました。

ただし、これらのファイルの1controllers/(default package)AuthController.groovyつには、Eclipse（SpringSource Tools Suite）によってマークされた8つの問題があります。これらの問題のうち5つは、それぞれ5つのインポートに対処します。

正しいパッケージを指定してファイルをそのパッケージに移動しても、問題は解決しません。他の3つの問題マーカーは次のとおりです。

（x3）この問題は、失敗したインポートに関連している可能性があり、前の問題が解決されると消える可能性があると思います。

さて、クイックスタートなしで自分でシロを設定することもできましたが、ガイドで説明されているように、クイックスタートに固執してそれを拡張したいと思います。

（明らか）質問1：Eclipseがこれらのエラーメッセージを表示する理由について誰かが考えていますか？インストールプロセスのステップを見逃しましたか？

（それほど重要ではありません）質問2 :(デフォルトのパッケージ）の問題に修正を適用しようとしましたが、_ShiroInternal.groovyの関連部分にパッケージパスへの参照がすでに存在することがわかりました。それでもデフォルトディレクトリにインストールされるのはなぜですか？これは私の問題に関連しているのでしょうか？

追加の奇妙な点：リソースrealm/ShiroDbRealm.groovyのインポートを含む別のファイルがあります。org.apache.shiroEclipseにはパッケージ宣言はなく、エラーマーカーもありません。プロジェクトの正しいパッケージ宣言を追加し、ファイルをそのパッケージに移動すると、インポートを解決できなくなります。これは、ここで起こっていることの手がかりになるかもしれません。

正直なところ、質問を投稿する前にグーグルで調べ、2日間自分で問題を解決しようとしました...

Apache Shiro を GAE で動作させたいと考えています。その前は、Spring Security で成功していましたが、ここでは簡単なことはできません。フィルターを取得するには、自分の shiro.ini を見つけます。

web.xmlにShiroFilterを導入後、init-paramタグでconfigPathというparam-nameにclasspath:shiro.iniの値を標準的な方法で与えます。

次に、src ルートに shiro.ini を配置しましたが、動作しません。また、/web-inf/shiro.ini の下に配置しても動作しませんでした...

助けてください？

Shiroで遊んでいて、ShiroWebModuleを介して役割を構成したいと思います。

これは機能し、ログインページが表示され、ログインできます。

だが

ではない。ゲストとして/guest/**と/test/**にアクセスできます。

私のモジュール：

shiro.ini：

まだリリースされていないことは知っていますが、おそらくすでに可能であり、私にはわかりません。

これがばかげた質問である場合は申し訳ありません。Grails コントローラーに実装されている Web サービス呼び出しがいくつかあり、セキュリティのために Shiro プラグインを使用しています。特定の操作のために、自社のサーバーまたは信頼できるパートナーからのみ取得する必要がある IP アドレスのホワイトリストを作成できるようにしたいと考えています。この件については、ドキュメントが少しスペアになっていることがわかりました。私が最初に考えたのは、ここでホワイトリストを実装しようとすることでした。これを行うためのより簡単な方法があったとしても、私は驚かないでしょう。私は少しシロ初心者です。ダミー用の Shiro のコピーを使用できます。

XML構成、ポリシー設定、セキュリティフレームワークコンポーネント、ツール（キーストアなど）、およびその間のすべてを含む、Javaのセキュリティモデルについてはほとんど何も知りません。

最終的には、袖をまくり上げてJavaセキュリティを深く学ぶことが不可欠になることは理解していますが、Apache Shiroのようなものを使用すると、移行が少し簡単になるのではないかと思いました。そのため、私はそれにいくつかの懸念があります。

Shiroは、本質的に、Javaアプリケーション（特にWebアプリ）にセキュリティを実装するための「ターンキー、キャッチオールラッパー」です。つまり、Shiroをプロジェクトで構成し、基本的に、それなしで「手動」（段階的）に実行する必要があるのと同じ構成、ポリシー設定などをすべて実行できるように調整できますか？そうでない場合、シロにはどのような欠点がありますか（シロが私のためにできない重要なことは何ですか）？Shiroがまったく対処していない大きな脆弱性はありますか？

同じように、OWASPのESAPIフレームワークについて良いことを聞いたことがあります。誰もが両方の経験がありますか？ESAPIとShiroは連携して動作するように構成できますか、それとも単にバイナリの「どちらか一方」タイプの取引ですか？

前もって感謝します！

私はGrailsアプリを開発しており、アクセスセキュリティを処理するためにShiroを使用しています。私のアプリは安全になっていると思いますが、いくつかの機能が不足しています。生成されたパスワードは覚えにくいため、生成された（現在の）パスワードをパーソナライズされたパスワードに変更するためのビューが必要です。パスワードの更新操作を実装する必要がありますが、updatePassword.gspファイルにdoUpdatePasswordクロージャーへの参照がありますが、実装されていません。では、どうすればこれを行うことができますか？

前もって感謝します。

ユーザーを認証する通常の方法は、以下を呼び出すことです。

SecurityUtils.subject.login（new UsernamePasswordToken（params.username、params.password））

ただし、ユーザー名とパスワードを入力せずに、自動的にログインしたい場合はどうすればよいですか？userServiceに次のようなメソッドを作成しました。

しかし、これは機能しません、ヒントはありますか？

プラットフォーム：Shiro 1.1.0、Spring 3.0.5

Shiroアノテーションを使用してMVCコントローラーメソッドを保護しようとしています。ただし、注釈に問題があります。通常の通話は問題なく機能しています。Shiroデバッグにも特別なことは何もありません。

私のシロ構成：

私は以下を正しく動作させることができます：

ただし、以下は機能しません。

私は何かが足りないのですか？助けてください。