解决shiro会话标识未更新问题

最新推荐文章于 2023-01-13 14:21:31 发布

原创最新推荐文章于 2023-01-13 14:21:31 发布 · 8k 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#安全漏洞 #会话标识 #shiro #安全 #session

java 同时被 3 个专栏收录

5 篇文章

订阅专栏

会话标识

1 篇文章

订阅专栏

安全

0 篇文章

订阅专栏

本文详细介绍了如何在使用Shiro框架进行登录验证时，避免会话标识未更新导致的安全问题。通过使用Shiro提供的API方法SecurityUtils.getSubject().logout()来失效旧session，确保新session的有效性。

要解决会话标识未更新的安全问题，就需要在做登录验证时生成新的session，所以需要先将原来的session失效。

一般的解决方法如下：

public void login(HttpServletRequest request, ...){
     // 让旧session失效
     request.getSession(true).invalidate();
     //登录验证
}

但是，如果使用了shiro框架，这样做会报错：...Session already invalidated。原因是shiro对HttpSession进行了一层包装，你直接让原生的session失效，没有通知shiro，shiro再去使用session时就会报错了。

解决方法，不要使用原生的失效方法，而是使用shiro自己提供的api方法：SecurityUtils.getSubject().logout();

public void login(String username,String password){
     // 让旧session失效
     SecurityUtils.getSubject().logout();
     //登录验证
}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

yycdaizi

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
5
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

会话标识未更新问题

yutan_313的专栏

03-19

1万+

<br /> 有一段时间没有上CSDN了，今天看到有好几个网友问我“会话标示未更新问题”，以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时，爆出一个高危漏洞：会话标识未更新。提供的解决办法是，在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面，但还未登录时，就已经产生了一个session，用户输入信息，登录以后，session的id不会改变，也就是说还是以前的那个session（事实上session也确实不

shiro会话监听_Shiro会话管理

weixin_35807050的博客

01-17

208

Shiro提供了完整的企业级会话管理功能，不依赖于底层容器(如Tomcat)，不管是J2SE还是J2EE环境都可以使用，提供了会话管理，会话事件监听，会话存储/持久化，容器无关的集群，失效/过期支持，对Web的透明支持，SSO单点登录的支持等特性。建议在开发中，Controller层使用原生的HttpSession对象，在Service层中使用Shiro提供的Session对象。如果在Servic...

5 条评论您还未登录，请先登录后发表或查看评论

spring boot + shiro 动态更新用户信息

weixin_34279246的博客

05-03

1232

spring boot + shiro 动态更新用户信息场景用户A在线，管理员在后台更改了用户A信息（资料或权限）之后；用户A再进行下一步操作时，会被拦截并退出登录状态，再登录才可以执行操作；来确保用户A的信息同步更新。后台权限管理系统技术实现前篇： spring boot + mybatis + layui + shiro后台权限管理系统：https://blog.51cto.c...

shiro修改用户信息后，当前登录用户信息没有同步更新问题

小猪快跑的博客

11-22

4390

问题背景：系统中使用shiro登录后，当我们修改了用户信息，比如手机号、用户名后，再去做某些操作，发现操作人信息中还是原来的信息，我们刚才的更改并没有生效，但是查询数据库后又确实已经修改成功。问题原因：当我们执行登录操作： SecurityUtils.getSubject().login(token); shiro会把登陆的用户信息存入session缓存，但是当我们更新用户信息并修...

shiro redis共享session不更新的问题

zhangjianming2018的博客

01-07

1290

整合了session共享，但是存在session不更新的问题可以清楚的看到，session的剩余时间并没有刷新，而是一直在减少。解决Shiro频繁访问Redis读取和更新session https://blog.csdn.net/qq_34021712/article/details/80791339 https://gitee.com/streamone/sh...

浅谈“会话标识未更新漏洞”

→_→

07-25

1858

一：漏洞名称：会话操纵、会话标识未更新描述：会话标识未更新漏洞，在用户进入登录页面，但还未登录时，就已经产生了一个session，用户输入信息，登录以后，session的id不会改变，也就是说没有建立新session，原来的session也没有被销毁）, 可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。检测条件：已知Web网站地址 Web业务运行正常 Web业务存在登陆认证模块已知正确的

WEB安全实战（七）会话标识未更新

最新发布

05-27

接下来，我应该先解释Shiro会话管理的基本概念，比如与HttpSession的区别，Shiro提供的统一API，然后介绍核心组件，如SessionManager和SessionDAO。需要说明SessionDAO的不同实现，比如MemorySessionDAO、...

WEB安全漏洞之会话标识未更新漏洞（.net强制更新会话标识）

yinshengchen的博客

07-27

768

【代码】WEB安全漏洞之会话标识未更新漏洞（.net强制更新会话标识）

redis和shiro 登录session用户信息更新不成功解决方法和切面配置实例

qq_23490959的博客

06-08

1097

redis和shiro session更新问题，和切面配置实例

中危漏洞-会话标识固定修复

weixin_49076592的博客

01-13

832

中危漏洞-shiro框架登录会话标识固定漏洞修复方案

shiro修改没有登录或者session失效，根据ajax返回json

football98的专栏

08-04

3232

当使用shiro框架，进行权限控制时，没有登录或者session失效，进行ajax请求时，不会跳转会登录页面，仅仅不返回正确结果。因此，需要解决对ajax请求进行特殊处理。 1、重新FormAuthenticationFilter类onAccessDenied方法。让其根据不同的请假方式，返回不同的结果。 import org.apache.shiro.web.filter

Shiro 自己实现登录后重新生成sessionid

zmcyu的博客

06-21

9604

Shiro中要做到这一点可以通过实现可以通过继承org.apache.shiro.web.filter.authc.AuthenticatingFilter （一般是继承AuthenticatingFilter的子类FormAuthenticationFilter），重写executeLogin方法在executeLogin方法中加上 SecurityUtils.getSubject().l...

解决Shiro在Tomcat重启之后丢失登录信息

哈哈哈哈哈哈哈

08-11

4061

解决Shiro在Tomcat重启之后丢失登录信息相关环境： Spring Boot + Shiro + Tomcat 在项目中遇到这样一个问题：需要在后台修改某一项配置，该配置采用配置文件的形式，并通过Spring映射为配置Bean，现在需要修改配置文件能够控制前端界面显示。要实现的目标有两个： 1.修改完配置文件后需要将新配置写入到配置文件。 2.配置立即生效。在调试环境...

关于shiro后台权限改动，重新登录后发现权限还是以前的问题的解决

lilovfly的专栏

10-23

2415

我们项目中用的是shiro而且允许一个用户多个地方同时登录。在后台修改权限后，让用户登录，发现用户登录后，用户的角色还是以前的那个角色，这个问题出现了，我发现只有去看看源代码才能知道如何解决这个问题？经过几天的查看，以及周末在家看源代码，我终于在源代码中找到了shiro对角色的管理的流程，首先我们从DelegatingSubject这个类的public void checkRol