解决shiro会话标识未更新问题

最新推荐文章于 2023-06-27 17:00:34 发布
最新推荐文章于 2023-06-27 17:00:34 发布
阅读量7.8k 收藏 2
点赞数 1
分类专栏: 安全 java 会话标识 文章标签: 安全漏洞 会话标识 shiro 安全 session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yycdaizi/article/details/45013397
版权
java 同时被 3 个专栏收录
5 篇文章 0 订阅
订阅专栏
会话标识
1 篇文章 0 订阅
订阅专栏
安全
0 篇文章 0 订阅
订阅专栏
要解决会话标识未更新的安全问题,就需要在做登录验证时生成新的session,所以需要先将原来的session失效。 

一般的解决方法如下:

public void login(HttpServletRequest request, ...){
     // 让旧session失效
     request.getSession(true).invalidate();
     //登录验证
}

但是,如果使用了shiro框架,这样做会报错:...Session already invalidated。原因是shiro对HttpSession进行了一层包装,你直接让原生的session失效,没有通知shiro,shiro再去使用session时就会报错了。
解决方法,不要使用原生的失效方法,而是使用shiro自己提供的api方法:SecurityUtils.getSubject().logout(); 

public void login(String username,String password){
     // 让旧session失效
     SecurityUtils.getSubject().logout();
     //登录验证
}


yycdaizi
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Shiro 自己实现登录后重新生成sessionid
cloud的技术积累
02-07 2万+
学Spring Security来实现重新生成Session
会话标识更新问题
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,sessionid不会改变,也就是说还是以前的那个session(事实上session也确实不
shiro修改用户信息后,当前登录用户信息没有同步更新问题
小猪快跑的博客
11-22 4179
问题背景:系统中使用shiro登录后,当我们修改了用户信息,比如手机号、用户名后,再去做某些操作,发现操作人信息中还是原来的信息,我们刚才的更改并没有生效,但是查询数据库后又确实已经修改成功。 问题原因:当我们执行登录操作: SecurityUtils.getSubject().login(token); shiro会把登陆的用户信息存入session缓存,但是当我们更新用户信息并修...
shiro redis共享session更新问题
zhangjianming2018的博客
01-07 1236
整合了session共享,但是存在session更新问题 可以清楚的看到,session的剩余时间并没有刷新,而是一直在减少。      解决Shiro频繁访问Redis读取和更新session https://blog.csdn.net/qq_34021712/article/details/80791339   https://gitee.com/streamone/sh...
WEB安全漏洞会话标识更新漏洞(.net强制更新会话标识
yinshengchen的博客
07-27 677
【代码】WEB安全漏洞会话标识更新漏洞(.net强制更新会话标识
redis和shiro 登录session用户信息更新不成功解决方法和切面配置实例
qq_23490959的博客
06-08 1006
redis和shiro session更新问题,和切面配置实例
shiro会话监听_Shiro会话管理
weixin_35807050的博客
01-17 160
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。建议在开发中,Controller层使用原生的HttpSession对象,在Service层中使用Shiro提供的Session对象。如果在Servic...
shiro会话监听_Shiro实战(五) - 会话管理
weixin_34434948的博客
02-11 337
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器Tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性即直接使用Shiro会话管理可以直接替换Web容器的会话管理1 会话简介即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访...
WEB安全实战(七)会话标识更新
热门推荐
紫羽风的博客
12-23 1万+
序 上一篇文章中,我们讨论了关于“浏览器记住用户名和密码”的问题,至于这篇文章嘛,我想谈谈关于“会话标识”的漏洞。而且,这篇文章也是“Web安全实战”系列的最后一篇。为什么要拿到最后来说呢,其实,是之前一直困扰我的问题,这个问题曾一顿让我抓狂,n(n=3~5)多天一直没有解决,当时也是搜遍了各大网站,各大论坛,均找到合适的解决方案。其中的过程就不再废话了,转到正题。
shiro会话监听_【Shiro学习之五】shiro会话管理器
weixin_35936191的博客
01-17 279
Shiro 提供了完整的企业级会话管理功能,不管JavaSE 还是 JavaEE 环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对 Web 的透明支持、SSO 单点登录的支持等特性。即直接使用 Shiro会话管理可以直接替换如 Web 容器的会话管理。一、基础组件1、会话管理器会话管理器管理着应用中所有 Subject 的会话的创建、维护、删除...
SpringBoot 与Shiro 整合系列(五)会话管理
12程序猿的博客
01-12 471
系列(五)讲述 SpringBoot整合Shiro 实现会话管理 目录Shiro会话管理一、概述1.什么是shiro会话管理?2.shiro中的session特性3.会话相关的 API4.会话监听器(SessionListener接口)二、shiro配置会话管理配置1.创建session监听类,实现SessionListener接口2.在ShiroConfig类中添加如下Bean2.1 配置session监听2.2 配置会话ID生成器2.3 配置sessionDAO2.4 配置sessionId的cook
浅谈“会话标识更新漏洞”
→_→
07-25 1542
一:漏洞名称: 会话操纵、会话标识更新 描述: 会话标识更新漏洞,在用户进入登录页面,但还登录时,就已经产生了一个session,用户输入信息,登录以后,sessionid不会改变,也就是说没有建立新session,原来的session没有被销毁), 可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。 检测条件: 已知Web网站地址 Web业务运行正常 Web业务存在登陆认证模块 已知正确的
shiro修改没有登录或者session失效,根据ajax返回json
football98的专栏
08-04 3168
当使用shiro框架,进行权限控制时,没有登录或者session失效,进行ajax请求时,不会跳转会登录页面,仅仅不返回正确结果。 因此,需要解决对ajax请求进行特殊处理。         1、重新FormAuthenticationFilter类onAccessDenied方法。让其根据不同的请假方式,返回不同的结果。 import org.apache.shiro.web.filter
关于shiro后台权限改动,重新登录后发现权限还是以前的问题解决
lilovfly的专栏
10-23 2335
我们项目中用的是shiro而且允许一个用户多个地方同时登录。在后台修改权限后,让用户登录,发现用户登录后,用户的角色还是以前的那个角色,这个问题出现了,我发现只有去看看源代码才能知道如何解决这个问题?        经过几天的查看,以及周末在家看源代码,我终于在源代码中找到了shiro对角色的管理的流程,首先我们从DelegatingSubject这个类的public void checkRol
php session_id()获取不到,Android网络请求获取不到session , 或者sessionid一直变化的原因...
weixin_36431145的博客
03-18 1095
做项目有需求给后台传递的json数据 , 这个数据在后续操作中还会使用, 所以我们后台选择了使用session进行临时保存, 我是android 端,访问php接口 , 但在后面接口获取session中的数据时,我获取到的session数据一直为空. 而iOS则可以正常的获取数据.关于Cookie和Session的介绍。原因和解决方法原因很简单,就是因为android手机端在访问web服务器时,没...
android实现session登录保持
weixin_30325487的博客
03-19 227
在最近写的一个Android中需要请求web服务器中的数据,有一个登录Activity,登录后会到MainActivity,这中间登录和MainActivity都需要请求php的jsonapi,所以要在网络请求中保持session的,研究了好半天才搞定。其实sesion在浏览器和web服务器直接是通过一个叫做name为sessionid的cookie来传递的,所以只要在每次数据请求时保持sessi...
SpringBoot3整合Shiro生效问题
最新发布
?
06-27 3259
在使用 SpringBoot3.1.0 对 Shiro 进行整合后,无法生效
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值