我的shiro之旅: 十 自定义shiro的SessionIdCookie

最新推荐文章于 2022-10-11 22:19:01 发布
最新推荐文章于 2022-10-11 22:19:01 发布
阅读量2.6w 收藏 7
点赞数 5
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhacker/article/details/19341735
版权

博客已移至 http://blog.gogl.top

在使用shiro的时候,曾经有段时间很苦恼,因为我cookie的sessionId经常无故被改,然后抛There is no session with id [xxxx]的异常。我们知道,当请求过来,shiro创建session后,会把sessionId写回到客户端的cookie中。每二个请求过来时,shiro会拿到这个cookie里的sessionId去查找,如果查找不到,就有可能抛There is no session with id的异常。通过抛这个异常的会有两种情况,一种就是我刚才说的,cookie被改写了,因为shiro默认的cookie名叫JSESSIONID,当在web.xml里配置的请求拦截配得不合理时,就有可能被改写。在我的项目中,因为有些静态资源配置了不拦截,就会被容器改写了这个cookie。后来,干脆把cookie的名字改了,不再叫JSESSIONID。还有一种就是浏览器打开很久都没有操作,然后shiro定时清理了不活动的session,这时浏览器再发请求过来,因为session已被清理,也会抛There is no session with id。更改cookie的名字方法如下:

 

       <bean id="shiroSessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
		<property name="sessionDAO" ref="sessionDAO"/>
		<!-- <property name="sessionValidationScheduler" ref="shiroSessionValidationScheduler"/> -->
		<property name="sessionValidationInterval" value="1800000"/>  <!-- 相隔多久检查一次session的有效性 -->
		<property name="globalSessionTimeout" value="1800000"/>  <!-- session 有效时间为半小时 (毫秒单位)-->
		<property name="sessionIdCookie.domain" value=".xxx.com"/>
		<property name="sessionIdCookie.name" value="jsid"/>
		<property name="sessionIdCookie.path" value="/"/>
		<!-- <property name="sessionListeners">
			<list>
				<bean class="com.concom.security.interfaces.listener.SessionListener"/>
			</list>
		</property> -->
	</bean>


我们打开shiro的DefaultWebSessionManager类源码就可以知道,里面有个private Cookie sessionIdCookie;属性,这个就是sessionId的cookie。在DefaultWebSessionManager的构造器里,初始化的名字取的是ShiroHttpSession.DEFAULT_SESSION_ID_NAME,也就是"JSESSIONID",在这里我们不去改源码,只要通过spring改sessionIdCookie的属性即可。

 

 

public DefaultWebSessionManager() {
        Cookie cookie = new SimpleCookie(ShiroHttpSession.DEFAULT_SESSION_ID_NAME);
        cookie.setHttpOnly(true); //more secure, protects against XSS attacks
        this.sessionIdCookie = cookie;
        this.sessionIdCookieEnabled = true;
    }

 

 

 

 

 

在上面的xml配置中,写了sessionIdCookie.domain的值为.xxx.com,这个根据自己的项目而定。这里配置为的是某域名及其二级域名都能共享这个cookie。还有sessionIdCookie.name,这个就是cookie的名字,值为jsid。这样我们就可以看到,cookie会多了一个名字jsid,值为当前session的id的键值。在上面还配置了两个关于session有效期的配置,一个是sessionValidationInterval,表示shiro的定时器多久去检查一次session的有效性,一个是globalSessionTimeout,表示session的有效时长。当然,我们也完全可以息定义定时器,把定时器注入到DefaultWebSessionManager的sessionValidationScheduler属性中,只是个人觉得没这个必要。

LHacker
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
shiro-site:Apache Shiro网站
04-28
Apache Shiro网站概述Apache Shiro网站是静态内容网站,可以从访问。 网站内容被创作为Markdown和HTML文件。 这些文件由工具扫描,该工具根据需要将页面模板应用于每个文件的内容,并将呈现的静态.html文件输出到...
shiro 的session ,cookie 以及 session 和 cookie 的区别
chuncui2576的博客
06-28 1807
在玩 spring boot 集成 shiro ,,,可是 发现 它的 session 和 cookie 把我搞得有点懵了。。。 首先 声明 session 和 cookie 的 区别,,,其实 session 和 cookie 是 一样的东西, **顺便提一下,,,在web项目里面 s...
uni-app,携带cookie(用户后台shiro的认证)
wangming0123的博客
04-25 1万+
首先要知道的是,微信小程序是没有cookie机制的 ,也就是说,当uniapp运行在微信端是没有cookie供后台认证,需要开发者自定义cookie,并且让请求携带。android、ios同理。h5则不用考虑这个问题,uniapp自己携带无需考虑。 const http = (options) => { return new Promise((resolve, reject) => { uni.request({ withCredentials: true, url: pubU
shiro学习笔记
Weishaolei0818的博客
10-11 221
shiro默认的登录认证是不带加密的,如果要实现加密认证需要自定义登录认证,自定义realm//自定义登入认证方法,shiro的login方法底层会调用该类的认证方法进行认证 //需要配置自定义的Realm生效,在ini文件中配置。
shiro 自定义sessionIdCookie 配置 重写
z362249834的博客
08-10 3645
关于shirosessionId自定义重写,上篇文章有涉及 通过上次的引入,发现对spring注入机制反而有跟多的理解 所以直接动手撸起袖子开干。   一 需求 首先是我需要做什么,因为一个项目集成两个系统的原因,导致session相互污染,导致登陆或异常登陆session管理混乱。 查找资料其中有人遇到过类似的问题。 &lt;!-- 会话Cookie模板 --&gt;...
SpringBoot-Shiro的使用
qq_42861526的博客
12-15 2086
一、什么是Shiro 权限体系在现代软件应用中有着非常重要的地位。一个应用如果没有权限体系都会显着这个系统“特别不安全”,无论是传统的MIS系统还是互联网项目出于对业务数据和应用自身的安全,都会设置自己的安全策略。 目前市场上专门的Java权限框架有Apache Shiro 和 Spring Security。相较于Spring Security 来说 Shiro更加老牌。学习好Shiro对于以后市场上在出现新型权限框架的学习能带来很大便利。因为权限的概念是不变的,变得是框架的实现方式。当然了,对于第一次学
Shiro中的session和cookie
m0_67265464的博客
08-24 1796
注意:在使用SessionListenerAdapter来监听session生命周期时,onStart()方法不能作为用户登陆日志的开始时间节点,因为session的创建是在第一次请求服务器创建的,而不是用户登陆时创建的,所以不要搞混;cookie都是key-value类型的,key的值是可以改变的,这点看下源码就可以知道,存储sessionidcookie的key的值默认为JSESSIONID.4.此时我们在浏览器看下保存的cookie值,和服务端session的sessionid时一样的。
修改shirocookie的名称
weixin_40010498的博客
04-18 5323
1、情况 在同一个域名下部署两套不同的项目,端口号不同,都采用shiro安全框架。 2、出现问题:两个系统同时登陆后会出现相互干扰的情况 3、原因:同一个域名下两个系统的cookie名称相同(shiro默认的cookie名为;JSESSIONID),相互覆盖; 4、解决方案:修改shiro默认的cookie名 springboot整合shiro修改的代码 //同一个域下两个项目使用shiro,c...
shiro 获取请求头中的 sessionId
wxy49212的博客
10-16 2253
shiro 获取请求头中的 sessionId 前言:   在前后端项目中, 前端有可能会要求, 后台返回一个 sessionId 给他, 然后他在请求后台接口时, 把这个sessionId 带给后台, 后台拿到这个sessionId , 就能识别, 是那个用户.    在shiro中, 会返回一个 JSESSIONID , 其实就是sessionId .   如果不想把sessionId...
跨域请求 Shiro 自定义获取sessionId app或前端传值到服务端
c814684904的专栏
04-18 1222
springboot项目,登录和权限采用shiro管理。前端开发人员使用uni-app开发,无法把cookie 传递给后端, 导致请求接口失败。百度了一圈不知道怎么搞,最后终于在网上找到思路开始整改。 方式: 前端用问号传参方式传递sessionid 后端重写shiro获取sessionid方法 原来的 shiro配置DefaultWebSessionManager 如下: @Be...
shiro-example:《跟我学shiro》学习笔记
05-18
项目介绍《跟我学shiro》学习笔记参照着张开涛老师的博客进行Shiro学习,然后自己写博客记录一下学习中的知识点,一来可以加深理解,二来以后遗忘了可以查阅。本项目是学习过程中的代码。:beaming_face_with_smiling...
shiro-biz:Shiro 扩展实现
04-10
###Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication Strategy),即什么情况下算用户认证通过了;###Authrizer:授权器,...
Shiro简易实例:HelloWorld
11-03
本资源包含一篇文档和一个完整实例。实例用了maven创建项目。 大家下载的时候,这点注意一些。然后吧,里面用的是最最简单的shiro实例。
grails-shiro-ui:Grails Shiro UI 插件
07-12
Grails Shiro UI 插件 请参阅。
我的shiro之旅: shiro 登录成功后,跳转到登录前的页面
热门推荐
Dylan的博文
03-04 2万+
博客已移至 http://blog.gogl.top 很多时候,我们需要做到,当用户登录成功后,跳转回登录前的页面。如果用户是点击"登录"链接去到登录页面进行登录的,我们很容易跟踪用户的登录前的页面。比如,在"登录"链接后加一个url参数,如:http://www.xxx.com/login.html?url=http://www.xxx.com/xx.html,这个url就是当前页面。用户浏览...
我的shiro之旅: 九 shiro 清理缓存的权限信息
Dylan的博文
02-17 2万+
博客已移至 http://blog.gogl.top 在文章八讲到了shiro缓存权限信息然后达到共享目的,不过存在一个问题,当用户的权限发生改变的时候,需要用户重新登录,从新缓存用户权限信息。这篇文章将介绍在改变用户的权限时,如何清理用户的权限。我这里写了一个帮助类,先贴也代码。   package com.concom.security.infrastructure.helper; ...
我的shiro之旅: shiro 踢出用户(同一用户只能一处登录)
Dylan的博文
03-04 2万+
博客已移至 http://blog.gogl.top 看了一下官网,没有找到关于如何控制同一用户只能一处登录的介绍,网上也没有找到相关的文章。可能有些人会记录用户的登录信息,然后达到踢出用户的效果。这里介绍一个更简单的方法。 如果我们跟shiro的源码,我们可以看到。当用户登录成功后,shiro会把用户名放到session的attribute中,key为DefaultSubjectContex...
Dependency 'org.apache.shiro:shiro-spring:' not found
最新发布
06-09
这个错误提示说明在你的项目中缺少了 Apache Shiro Spring 的依赖。你可以在你的 Maven 或 Gradle 配置文件中添加以下依赖来解决这个问题: Maven: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version> </dependency> ``` Gradle: ```groovy implementation 'org.apache.shiro:shiro-spring:1.7.1' ``` 请注意,版本号可能需要根据你的项目实际情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值