我的shiro之旅: 十四 shiro 自动登录

最新推荐文章于 2024-07-06 03:37:29 发布
最新推荐文章于 2024-07-06 03:37:29 发布
阅读量2w 收藏 11
点赞数
分类专栏: shiro 文章标签: session java shiro shiro spring java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhacker/article/details/20447479
版权
Shiro提供了一种自动登录的功能,基于rememberMe选项。当用户选择rememberMe时,Shiro会使用加密方式将用户名存储在cookie中。在用户下次访问时,即使未经过认证,Shiro也能通过cookie解密获取用户名。isRemembered()方法在用户未认证但能获取principals时返回true,表明处于user状态。默认的CookieRememberMeManager将cookie有效期设为一年,可通过配置进行调整,或者自定义rememberMeManager来实现更复杂的管理策略。
摘要由CSDN通过智能技术生成

博客已移至 http://blog.gogl.top

shiro有几种状态,其中包括guest,user,authenticated。guest就是游客,authenticated就是认证后的用户,而user是介于两者之前。user并不代表用户已经成功认证,当用户上次登录时选择rememberMe,下次用户再访问时就是user状态。登录时选择rememberMe,shiro会通过一种加密方式将principal(我们理解为用户名)加密保存到cookie中。shiro可以通过这个cookie解密得到principal。所以当状态为user时,虽然并不代表用户已经通过认证,但我们却可以通过Subject拿到用户名。先贴出代码:

 

       public void autoLogin(HttpServletRequest request, HttpServletResponse response) {

		Subject subject = SecurityUtils.getSubject();
		if(subject.isRemembered()){
			String username = ShiroSecurityHelper.getCurrentUsername();
			LOG.info("用户【{}】自动登录----{}", username,TimeHelper.getCurrentTime());
			User user = userService.getByUsername(username);
			baseLogin(user, request, response);
			ShiroAuthorizationHelper.clearAuthorizationInfo(username); // 用户是自动登录,首先清一下用户权限缓存,让重新加载
		}
	}

 

 

public void baseLogin(User user, HttpServletRequest request, HttpServletResponse response) {  
          
    try {  
        Subject subject= SecurityUtils.getSubject();  
        if (subject.isAuthenticated()) {  
            return;  
        }  
        //如果用户已登录,先踢出  
        ShiroSecurityHelper.kickOutUser(user.getUsername());  
              
        boolean rememberMe = ServletRequestUtils.getBooleanParameter(request, "rememberMe", false);  
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword(), rememberMe);  
        subject.login(token); // 登录  
    } catch (Exception e) {  
        //做一些异常处理  
    }finally{  
        ShiroAuthorizationHelper.clearAuthorizationInfo(sessionUser.getUsername());  
    }  
}


ShiroAuthorizationHelper在文章

最低0.47元/天 解锁文章
LHacker
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
shiro-site:Apache Shiro网站
04-28
Apache Shiro网站概述Apache Shiro网站是静态内容网站,可以从访问。 网站内容被创作为Markdown和HTML文件。 这些文件由工具扫描,该工具根据需要将页面模板应用于每个文件的内容,并将呈现的静态.html文件输出到...
shiro550反序列化漏洞(一)
ki10Moc的博客
08-01 910
垃圾文章不要看
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 3015
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
shiro使用redis保存登录信息
最新发布
weixin_40437399的博客
07-06 29
教你如何使用shiro和redis保存登录信息 1. 整体流程 下面是实现"shiro使用redis保存登录信息"的流程: #render_9_611094997-svg{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333...
Java框架安全篇--Shiro-550漏洞
m0_63138919的博客
03-26 1292
本文章参考qax的网络安全java代码审计和Web漏洞解析与攻防实战和部分师傅审计思路以及Shiro靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
shiro中控制自动登录
mayi92的博客
09-05 1784
场景一:集群中各节点登录状态保持一致,当然这个集群没有统一的认证中心 场景二:微信环境微店项目,自动登录,进入微店,则判断用户是否注册,如果已经注册则自动登录否则跳转到注册页面(ps:需要用户关注公众号才可以注册)这儿针对场景二开展 在shiro中自定义过滤器authcUser和tryLogin authcUser 只有登录才可以访问当前路径,没有登录则尝试自动登录登录失败跳转到注册logi
Shiro - web应用
weixin_33881140的博客
12-01 86
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro之记住登录信息
08-29
当用户在登录页面勾选了“记住我”选项并成功登录后,Shiro 会在客户端浏览器中设置两个 Cookie:`sessionIdCookie` 和 `rememberMeCookie`。`sessionIdCookie` 存储用户的会话 ID,通常在浏览器关闭时失效,而 `...
Shiro简易实例:HelloWorld
11-03
IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini"); SecurityManager securityManager = factory.getInstance(); ShiroFilterFactoryBean shiroFilterFactoryBean = new ...
shiro-example:《跟我学shiro》学习笔记
05-18
项目介绍《跟我学shiro》学习笔记参照着张开涛老师的博客进行Shiro学习,然后自己写博客记录一下学习中的知识点,一来可以加深理解,二来以后遗忘了可以查阅。本项目是学习过程中的代码。:beaming_face_with_smiling...
multiple-shiro-login:多个shiro登录
05-18
multiple-shiro-login multiple shiro login shiro配置文件 portal: SecurityConfig.java 过滤/请求,不包含/admin/ admin: AdminSecurityConfig.java 过滤/admin/**请求 因为/**包含/admin/**,所以需要优先过滤/...
基于shiro框架实现自动登录(rememberMe)
weixin_34405925的博客
01-11 885
shirorememberMe流程原理研究 输入用户密码正儿八经登录时, 如果勾选了"记住我", 则后台给shiro设置rememberme 前一次登录勾选了记住我, 则本次登录时isRemembered()==true(如果上一次设置了rememberme, 本次登录是不会触发action中的login()的方法的, 即会直接进入登...
Shiro (三)之授权加注解式权限
cao_2000的博客
01-04 855
重点: 1.添加角色和权限的授权方法   //根据username查询该用户的所有角色,用于角色验证   Set<String> findRoles(String username); 代码分享: select r.roleid from t_shiro_user u,t_shiro_role r , t_shiro_user_role ur where u.userid=...
shiro基本使用和完成登录
qq_48655035的博客
10-27 1050
Apache ShiroJava 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
Shiro自动登录
lmchhh的博客
02-03 419
第一步 :配置spring.xml,配置cookieRememberMeManager <!--创建SecurityManager对象--> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name=...
SSM整合系列之 基于Shiro框架实现自动登录(RememberMe)
程序猿的博客
12-01 2723
Shiro框架提供了记住我(RememerMe)的功能,比如我们访问一些网站,关闭了浏览器,下次再打开是还是能记住你是谁,下次访问的时候无需登录即可访问,本文将实现记住我的功能
17-java安全——shiro1.2.4反序列化分析(CVE-2016-4437)
网络安全
09-06 1841
漏洞原理 在shiro1.2.4版本中,用户认证信息rememberMe通常会进行Base64编码和AES加密存储在cookie中,当shiro安全框架对用户身份进行认证时,会对rememberMe的内容进行Base64解码和AES解密,然后反序列化还原成java对象,由于rememberMe可控,攻击者则可以利用rememberMe来构造恶意数据,产生反序列化漏洞。 漏洞环境 shiro1.2.4 jdk7u80 漏洞复现 在github下载shiro1.2.4版本,下载链接:
Shiro实现用户自动登录
menghuannvxia的专栏
05-29 3349
用户的自动登录功能,顾名思义就是当用户在网站登录后,关闭了浏览器或者服务器重启了在下一次用户访问该网站时能自动将上次用户的登录信息取出来并立即登录,而不再需要用户去做登录操作。  在我做的一个视频教程网站(http://www.icoolxue.com,一个高清视频教程在线观看的网站)上加入了此功能。  Shiro是一个强大的安全框架,它提供了一个叫Remeber Me的功能来实现
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值