Java權限控制框架，Apache Shiro 1.2.3 發布

Apache Shiro是一個強大易用的Java安全框架，提供了認證、授權、加密和會話管理功能，可為任何應用提供安全保障 - 從命令行應用、移動應用到大型網絡及企業應用。

Shiro提供了應用安全四要素的API：

• 認證 - 用戶身份識別，常被稱為用戶“登錄”；
• 授權 - 訪問控制；
• 密碼加密 - 保護或隱藏數據防止被偷窺；
• 會話管理 - 每用戶相關的時間敏感的狀態。

Shiro還支持一些輔助特性，如Web應用安全、單元測試和多線程，它們的存在強化了上面提到的四個要素。

• 易于使用 - 易用性是這個項目的最終目標。應用安全有可能會非常讓人糊涂，令人沮喪，并被認為是“必要之惡”【譯注：比喻應用安全方面的編程。】。若是能讓它簡化到新手都能很快上手，那它將不再是一種痛苦了。
• 廣泛性 - 沒有其他安全框架可以達到Apache Shiro宣稱的廣度，它可以為你的安全需求提供“一站式”服務。
• 靈活性 - Apache Shiro可以工作在任何應用環境中。雖然它工作在Web、EJB和IoC環境中，但它并不依賴這些環境。Shiro既不強加任何規范，也無需過多依賴。
• Web能力 - Apache Shiro對Web應用的支持很神奇，允許你基于應用URL和Web協議（如REST）創建靈活的安全策略，同時還提供了一套控制頁面輸出的JSP標簽庫。
• 可插拔 - Shiro干凈的API和設計模式使它可以方便地與許多的其他框架和應用進行集成。你將看到Shiro可以與諸如Spring、Grails、Wicket、Tapestry、Mule、Apache Camel、Vaadin這類第三方框架無縫集成。
• 支持 - Apache Shiro是Apache軟件基金會成員，這是一個公認為了社區利益最大化而行動的組織。項目開發和用戶組都有隨時愿意提供幫助的友善成員。像Katasoft這類商業公司，還可以給你提供需要的專業支持和服務。

Apache Shiro團隊已經發布Apache Shiro的 1.2.3 版本。這是1.2.0后第三個錯誤修復發行點。

所有二進制包(.jars)都可以從 Maven Central 中下載.


此版本包括1個嚴重漏洞
 SHIRO-460 - LDAP 驗證成功，即使用戶名和密碼不通過。 [2] [CVE-2014-0074]

Versions Affected:
1.0.0-incubating - 1.2.2

Details:
When using an LDAP server that allows unauthenticated bind, Shiro will
authenticate users with an empty password.
NOTE: this is NOT the default for OpenLDAP

Mitigation:
Users should upgrade to 1.2.3

Workaround:
Disable unauthenticated binds on your LDAP server (best practice).


Cheers,

The Apache Shiro Team

[1] http://shiro.apache.org/download.html [2] https://issues.apache.org/jira/browse/SHIRO-460