关于shiro session失效报错问题

最新推荐文章于 2023-10-18 13:25:08 发布
最新推荐文章于 2023-10-18 13:25:08 发布
阅读量1.7k 收藏 2
点赞数

最近做了一个项目,要用到shiro,做完之后发现有个异常经常发生org.apache.shiro.session.UnknownSessionException: There is no session with id ,经过多天的研究,终于得以解决


登录的时候异常信息:

[java]  view plain  copy
  1. org.apache.shiro.session.UnknownSessionException: There is no session with id [4e8fe40a-6347-4c53-b273-829889656f6e]  
  2.     at org.apache.shiro.session.mgt.eis.AbstractSessionDAO.readSession(AbstractSessionDAO.java:170)[251:org.apache.shiro.core:1.2.3]  
  3.     at org.apache.shiro.session.mgt.DefaultSessionManager.retrieveSessionFromDataSource(DefaultSessionManager.java:236)[251:org.apache.shiro.core:1.2.3]  
  4.     at org.apache.shiro.session.mgt.DefaultSessionManager.retrieveSession(DefaultSessionManager.java:222)[251:org.apache.shiro.core:1.2.3]  
  5.     at org.apache.shiro.session.mgt.AbstractValidatingSessionManager.doGetSession(AbstractValidatingSessionManager.java:118)[251:org.apache.shiro.core:1.2.3]  
  6.     at org.apache.shiro.session.mgt.AbstractNativeSessionManager.lookupSession(AbstractNativeSessionManager.java:108)[251:org.apache.shiro.core:1.2.3]  
  7.     at org.apache.shiro.session.mgt.AbstractNativeSessionManager.lookupRequiredSession(AbstractNativeSessionManager.java:112)[251:org.apache.shiro.core:1.2.3]  
  8.     at org.apache.shiro.session.mgt.AbstractNativeSessionManager.getAttribute(AbstractNativeSessionManager.java:209)[251:org.apache.shiro.core:1.2.3]  
  9.     at org.apache.shiro.session.mgt.DelegatingSession.getAttribute(DelegatingSession.java:141)[251:org.apache.shiro.core:1.2.3]  
  10.     at org.apache.shiro.session.ProxiedSession.getAttribute(ProxiedSession.java:121)[251:org.apache.shiro.core:1.2.3]  
  11.     at org.apache.shiro.session.ProxiedSession.getAttribute(ProxiedSession.java:121)[251:org.apache.shiro.core:1.2.3]  
  12.     at org.apache.shiro.subject.support.DelegatingSubject.getRunAsPrincipalsStack(DelegatingSubject.java:469)[251:org.apache.shiro.core:1.2.3]  
  13.     at org.apache.shiro.subject.support.DelegatingSubject.getPrincipals(DelegatingSubject.java:153)[251:org.apache.shiro.core:1.2.3]  
  14.     at org.apache.shiro.subject.support.DelegatingSubject.getPrincipal(DelegatingSubject.java:149)[251:org.apache.shiro.core:1.2.3]  

为何找不到呢,原因是这样的。

当用户登录的时候,web容器tomcat或者jetty会在线程池里面启用线程调度,线程里面找到对应的servlet,shiro登录的时候代码如下

[java]  view plain  copy
  1. <span style="white-space:pre">    </span>Subject currentUser = SecurityUtils.getSubject();  
  2.           
  3.         String sessionId = "";  
  4.   
  5.         if (!currentUser.isAuthenticated()) {  
  6.               UsernamePasswordToken token = new UsernamePasswordToken(username, DigestUtils.md5Hex(passwd));  
  7.               token.setRememberMe(true);  
  8.               currentUser.login(token);  
  9.          }  


方法SecurityUtils.getSubject()源码是这样

[java]  view plain  copy
  1. public static Subject getSubject() {  
  2.         Subject subject = ThreadContext.getSubject();  
  3.         if (subject == null) {  
  4.             subject = (new Subject.Builder()).buildSubject();  
  5.             ThreadContext.bind(subject);  
  6.         }  
  7.         return subject;  
  8. }  


我们清楚的看到subject是从ThreadContext获取,创建过就直接从里面获取,没有创建的话就重新创建一个subject,然后绑定到ThreadContext,调用subject获取session的时候,他会去创建一个session,并且把session缓存起来,操作方法是在AbstractSessionDAO类里面,跟踪得知这里放的是subject的代理对象。如果session超时时间设置过短的话,在用户登录的时候,随着web容器分配的线程,很大的机会会分配之前的线程,而之前的线程绑定过了subject,subject没有失效,subejct对象里面的session也没有什么问题,但是session缓存里面的session失效了,用户登录的时候执行到currentuser.login(token)这个方法,他拿着之前的session,那后要去缓存里面读取,但是已经失效了,所以会报上面那个异常。


问题就是出现在这里,subject绑定到thread上下文里面,subject对象的session是个代理对象,正真的session是放在缓存里面,web容器随机分配的线程有可能绑定过subject,一旦session失效,就会报错。


解决的办法是在shiro去读取session之前判断有没有失效,如果失效移除ThreadContext里面的subject,并且删除缓存里面的session,代码如下

[java]  view plain  copy
  1. @Override  
  2.     public String login(String username, String passwd) {  
  3.           
  4.         Subject currentUser = SecurityUtils.getSubject();  
  5.         //提前1秒去判断   防止这个if没进  等执行下面的时候它却失效了  <span style="font-family: Arial, Helvetica, sans-serif;">lengthenTimeOut是失效时间</span>  
  6.   
  7.         if((System.currentTimeMillis()-currentUser.getSession().getStartTimestamp().getTime())>=lengthenTimeOut-1000){  
  8.             ThreadContext.remove(ThreadContext.SUBJECT_KEY);//移除线程里面的subject  
  9.             shiroSessionManager.getSessionDAO().delete(currentUser.getSession());//移除失效的session  
  10.             currentUser = SecurityUtils.getSubject();//重新获取subject  
  11.         }  
  12.           
  13.         String sessionId = "";  
[java]  view plain  copy
  1.     try {  
  2.         if (!currentUser.isAuthenticated()) {  
  3.             UsernamePasswordToken token = new UsernamePasswordToken(username, DigestUtils.md5Hex(passwd));  
  4.             token.setRememberMe(true);  
  5.             currentUser.login(token);  
  6.         }  
  7.          
  8.         sessionId = currentUser.getSession().getId().toString();  
  9.           
  10.   
  11.     } catch (ExcessiveAttemptsException ex) {  
  12.         log.info(username + "帐号被锁定1小时!", ex);  
  13.     } catch (UnknownAccountException uae) {  
  14.         log.info(username + "账户不存在!", uae);  
  15.     } catch (IncorrectCredentialsException ice) {  
  16.         log.info(username + "密码不正确!", ice);  
  17.     } catch (LockedAccountException lae) {  
  18.         log.info(username + "账户被禁了!", lae);  
  19.     } catch (AuthenticationException ae) {  
  20.         log.info(username + "用户名或密码错误!", ae);  
  21.     } catch (UnknownSessionException ue) {  
  22.         log.info("登录session失效" + sessionId, ue);  
  23.           
  24.     }  
  25.   
  26.     log.info("登录成功返回的sessionId+++++++++++++" + sessionId);  
  27.     return sessionId;  
  28. }  

杨航 AI
关注
Spring Boot + Shiro 实现 Session 持久化实现思路及遗留问题
DN金猿的博客
07-23 240
从这个角度而言,我们可以通过 Session 监听监听 Session 创建销毁,属性变更,并将所有创建的SessionId 存储起来,当要踢出某个用户时,用户的Request请求到来时判断Request中SessionId是否一致,一致的话令Session失效,从而实现这个功能!6、上图显示,我们可以拿到所有获得的session,并且内部用户信息无误,此时我们只需要将上述代码中的(1)、(2)打开在完全遵守Shiro的应用规则下理应可以删除对应用户!在用户基础服务中,需要实现删除用户功能。
解决shiro定时检测session报错:NoSuchMethodError: redis.clients.jedis.ScanResult.getStringCursor()
最新发布
DN金猿的博客
07-23 71
由于,redis 和ehcache 本身设置了过期时间,过期之后 session 便从 redis 或者ehcache 里面删除,因此 onExpiration 过期之后此方法永远不会被调用到。springboot项目集成shiro,配置了开启session有效性定时检测,检测时会报错,而且用户登出时redis中的session缓存并没有删除。shiro配置session失效时间,没有引用shiro-quartz ,采用默认的。由于 Shiro-redis 已经不再维护了,那么只能手动引入 jedis的。
shiro自动登录及session失效解决办法(1详解)不用缓存
weixin_42886104的博客
04-15 9871
这是一个困扰了我一周的问题,几乎找遍了全网,也没有找到合适的解决办法,问题的难度在于,不使用任何缓存技术,实现以下问题。 1、当用户登录时,使用shiro rememberme,加密保存cookie 到本地。 2、当用户再次登录时是自动登录状态,但是这时候是没有session的,这里就要解决session问题。 这里用到的是idea项目:springboot+shiro 文件目录:...
Spring + Shiro 项目 + HttpSessionListener 【调用springService问题】&【Session失效问题】...
weixin_34320159的博客
06-01 468
功能描述: 当用户退出(主动)或者关闭浏览器(session超时)的时候,利用本次登录Ip更新上次登录IP。有人可能要问,你在用户登录的时候记录不就行了。可是我有两个字段,一个为本次登录IP,另外一个为上次登录IP。当用户退出的时候,本次登录IP也就成了上次登录IP。 首先解决的问题是:在Listener里面访问Service。 因为是基于注解开发,将Listener扫描和将Servi...
shiro修改没有登录或者session失效,根据ajax返回json
lilovfly的专栏
06-19 1万+
首先shiro默认的过滤器有哪些?        名称 类名 anon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic org.apache.
shiro session设置了过期时间不起作用、无效;
wangjun5159的专栏
05-07 1万+
背景知识 shiro的sesssion由sessionmanager管理,所以这里有必要介绍一下sessionmanager,shiro常用的sessionmanager有ServletContainerSessionManager、DefaultWebSessionManager。 servlet容器管理session 设置为ServletContainerSessionManager时,...
springboot2+shiro json接口形式处理登录过期重定向https访问是跳转http报错问题
08-16 1943
最近开发一个小项目采用springboot2+shiro前后端分离的方式进行。由于访问使用https证书形式。结果在上线时遇到登录信息过期shiro设置的跳转接口时重定向为http。从而https访问http报错。网上找了很多都没有一个很好的解决办法。 一开始想通过redirectHttp10Compatible:解决https环境下使用redirect重定向地址变为http...
解决session退出、失效后前端ajax请求被shiro拦截器拦截未能跳转重定向到登录页面问题
zf786115的博客
12-21 736
解决session退出、失效后前端ajax请求被shiro拦截器拦截未能跳转重定向到登录页面问题 创建js,加入引用即可。状态包括parsererror、error、success。 $.ajaxSetup({ complete:function(XMLHttpRequest,textStatus){ if(textStatus=="parsererror"){ location.href = "
SpringBoot + Shiro导致 @Transactional 事务 和 @Async 多线程 失效问题
weixin_42322445的博客
04-13 1433
我们使用的 mongoD B4.0副本集 ,正常是支持事务操作的,但是开发运维两年 ,某一次发生异常但是事务并没有回滚,导致数据对不上,意识到需要验证下事务是否还生效,单元测试验证 @Transactional 并未生效,查找原因,一开始以为是mongo的问题,但是两年前开始使用mongo就验证过了事务,一开始网络上找的答案都是如何配置,并未有效果,后来创建了个简单的项目,只引入相同版本spring data mongo 依赖事务生效,同时 @Async 线程异步 也生效。 同时对比了两个项目的输出日志 发
shiro session 监听
weixin_33976072的博客
12-23 448
spring 使用 shiro 后,由于shiro重新封装了原有的session,所以不能再使用原来的session监听方法了 (1)在shiro配额只文件中设置监听类 <!-- shiroSessionListener 监听类--> <bean id="shiroSessionListener" class="com.lis...
关于shiro session失效报错问题
热门推荐
小牛的成长史
08-03 4万+
最近做了一个项目,要用到shiro,做完之后发现有个异常经常发生,经过多天的研究,终于得以解决 登录的时候异常信息: org.apache.shiro.session.UnknownSessionException: There is no session with id [4e8fe40a-6347-4c53-b273-829889656f6e] at org.apache.shi
shiro 无状态org.apache.shiro.subject.support.DisabledSessionException问题解决方案
klayer_cong的博客
09-14 5572
最近使用shiro配JWT搭建无状态session时出现org.apache.shiro.subject.support.DisabledSessionException:Session creation has been disabled for the current subject 问题 经过排查发现原来是控制层中多写了httpsession, 在controller中,通过 req...
shiro中如何检测session失效、退出等事件
m0_67401746的博客
04-07 2470
shiro中如何检测session失效、退出等事件 前言 我们知道shiro是一个优秀的web权限管理的优秀框架,shiro中实现了对用户登录、资源访问控制等功能,使用shiro能够让我们的应用web系统更加安全,同时降低了自己开发一套权限管理系统的代价;本篇文章想向读者介绍的是我们如何在使用shiro框架时,实现对用户session登录、登出等事件的监听,以便应用系统更好的实现对用户事件的管理。 一、shiro中的session是什么? 首先我们要明确shiro中的session和传统的httpSessi
Shiro关闭session配置
m0_67392010的博客
03-28 668
Shiro关闭session配置 前言 本文基于token进行身份认证,由于接入cas会和shirosession管理冲突,所以关闭shirosession,进行无状态管理。 特此记录一下shiro如何进行无状态管理。 一、引入依赖 此处引入的为 shiro-spring ,版本为 1.7.1 <dependency> <groupId>org.apache.shiro</groupId> <ar
在使用线程池+shiro情况下,shiro获取session时数据异常问题探究
weixin_48510551的博客
10-18 804
使用线程池创建多线程时,shiro获取session异常问题探究
org.apache.shiro.session.UnknownSessionException
走在命运的左岸
06-27 1308
问题说明: [list] [*]背景:系统登录,原允许用户名、手机号码、邮箱三者之一加密码进行登录,故在注册时严格限制注册用户名不能以数字开头,避免用户名与手机号码区分不开,即造成从数据库读取数据时出错的问题 [*]问题:刚刚接手,不了解之前的业务逻辑以及注册限制,且现在取消了手机号码以及邮箱登陆,导致用一串数字注册用户名时没有进行限制,注册成功了,但登录时报错 [/list] [i...
springboot整合shiro无法获取当前用户/session中值为null
qq_39264897的博客
03-05 3061
maven包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.3</version> </dependency> 实现AuthorizingRealm接口 //校验权
shiro自定义未登录和session超时返回信息
qq_21223653的博客
01-25 993
之前项目用前后端分离,结合shiro进行了认证和授权以及数据权限; 后来发现session超时,前端未能接收到相应超时信息; 经查看发现,之前类继承的是AccessControlFilter ,然后改为继承FormAuthenticationFilter: 直接上代码: import com.tzwy.mcsp.response.BaseResponse; import com.tzwy.mcsp.response.StatusCode; import net.sf.json.JSONObject; imp
shiro判断session失效
06-10
Shiro 中,可以通过检查 `Session` 对象是否为 `null` 来判断当前用户的 `Session` 是否已经失效。可以使用 `Subject` 对象获取当前用户的 `Session`,然后进行判断,示例代码如下: ```java Subject current...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值