Shiro的验证机制 和同一浏览器 多次登录的BUG

最新推荐文章于 2022-09-05 17:04:16 发布
最新推荐文章于 2022-09-05 17:04:16 发布
阅读量6.2k 收藏 4
点赞数 1
分类专栏: shiro笔记

Shiro同时登陆多个账户异常

5条回复
5571 views
关于一个浏览器同时登陆多个账户,自动跳转到原登录页面的逻辑错误。
方法1

对shiro源码进行了调试,发现是AuthenticationFilter验证逻辑的问题:
1.它首先验证是否有允许访问页面(isAccessAllowed方法)。
2.在拒绝访问中(FormAuthenticationFilter的onAccessDenied方法)才会进行判断是否是登录提交(isLoginSubmission)。

因为已经登陆了一个用户所以isAccessAllowed直接返回为true,进入LoginController,找到匹配方法fail直接返回LOGIN_PAGE。
由于有权限访问该登录(其他)页面FormAuthenticationFilter.DEFAULT_ERROR_KEY_ATTRIBUTE_NAME没有值,返回为Null,所以在
keta-security中会跳转到login页面并且显示"登陆失败,其他错误!"。

分析、修改逻辑,首先验证是否是登录操作,再进行验证是否有权限访问页面。继承FormAuthenticationFilter,覆盖isAccessAllowed方法。

view source
print ?
01 /**
02  
03  * @author  <a href="mailto:ketayao@gmail.com">ketayao</a>
04  * Version  1.1.0
05  * @since   2012-10-29 上午9:37:02
06  */
07   
08 public class BaseFormAuthenticationFilter extends FormAuthenticationFilter {
09     private static final Logger log = LoggerFactory.getLogger(BaseFormAuthenticationFilter.class);
10       
11     /**
12      *
13      * @param request
14      * @param response
15      * @param mappedValue
16      * @return 
17      * @see org.apache.shiro.web.filter.authc.AuthenticatingFilter#isAccessAllowed(javax.servlet.ServletRequest, javax.servlet.ServletResponse, java.lang.Object)
18      */
19     @Override
20     protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
21         try {
22             // 先判断是否是登录操作
23             if (isLoginSubmission(request, response)) {
24                 if (log.isTraceEnabled()) {
25                     log.trace("Login submission detected.  Attempting to execute login.");
26                 }
27                 return false;
28             }
29         catch (Exception e) {
30             log.error(Exceptions.getStackTraceAsString(e));
31         }
32   
33         return super.isAccessAllowed(request, response, mappedValue);
34     }
35 }


方法2

  • 在loginUrl页面判断用户是否已经登陆,如果已经登陆了,则提示用户可以选择进入系统或者登出:
<ui:fragment rendered="#{not empty request.remoteUser}">  
    您已经登陆系统,请选择<a href="dashboard.html">进入系统</>,或者<a href="logout.do">登出系统来用其它用户登陆</>
</ui:fragment>
  • 方法3
  • 或者,你希望用户这样干的时候,直接将其重定向到系统首页去,则利用filter来做此事
@WebFilter(urlPatterns = "/login.xhtml")
public class LoginPageFilter implements Filter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        if (request.getRemoteUser() != null)) {
            response.sendRedirect(request.getContextPath() + "/home.xhtml"); // Redirect to home page.
        } else {
            chain.doFilter(req, res); // User is not logged-in, so just continue request.
        }
    }

    // Add/generate init() and destroy() with NOOP.
}




zhangxinly
关注
专栏目录
关于shiro同一帐号同一时刻多处登录问题
henry_chatter的博客
12-08 6844
这段时间做项目遇到一个关于shiro登录的问题。同一帐号不能同时登录,如果同时登录的话前面一个人的session就失效。百转千回,因为shiro登录到权限控制没有任何问题,就把问题点转移到存储端。去检查redis,检查reids的配置相关,结果也没发现什么毛病。后来在网上查阅文章,多看了看shiro相关的东西。问题锁定在shiro控制同一用户不能在同一时刻多处登录,然后修改程序: 1.s
SSO 单点登录
lgstudyvc的专栏
01-03 464
1. 摘要 ( 注意:请仔细看下摘要,留心此文是否是您的菜,若浪费宝贵时间,深感歉意!!!) SSO这一概念由来已久,网络上对应不同场景的成熟SSO解决方案比比皆是,从简单到复杂,各式各样应有尽有!开源的有OpenSSO、CAS ,微软的AD SSO,及基于kerberos 的SSO等等……这些优秀的解决方案尽显开发及使用者的逼格,当然需求所致无谓好坏高低,满足实际之需才是王道! 本文并不讨...
一个用户在同一浏览器多次登录shiro互踢的问题
許先生的博客
11-02 4883
关键代码如下: //判断是否同一个用户再同一浏览器登录,是就不踢除 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException { //获取基于用户名和密码的令牌 //实际上这个...
shiro 同一浏览器同时登录多个账户解决办法
longlongjiujia的博客
03-20 4395
public class BaseFormAuthenticationFilter extends FormAuthenticationFilter { private static final Logger log = LoggerFactory.getLogger(BaseFormAuthenticationFilter.class); @Override protec...
shiro保持一个用户在登录状态,再重新再次登录
m0_37626203的博客
05-08 4535
shiro登录是用过滤器来验证的。那么,我们本身是不用写登录(login)的业务需求的。 当我们第一次登录的时候,都是走完整个流程也就会对了。但是,如标题所示,保持shiro逻辑不变的话,重新登录,两种结果: 1.当不配置login接口的话,进入404页面。 2.当配置login接口的话,能正确走完流程,只是,二次登录会进行两次登录校验。 现在,有个方法能很好的解决这个问题: 重写:is...
SpringBoot 整合Shiro 遇到多次重复调用登录方法的问题
sandwichhmzh的博客
04-23 6721
 SptringBoot在整合Shiro在设定登录url(shiroFilterFactoryBean.setLoginUrl("/login"))时发现,一直在登录里面循环调用/login。 @RequestMapping(value = "/login") public String login(HttpServletRequest request, ModelMap map) { Stri...
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
m0_67392182的博客
07-29 1443
token是无状态的,后端不需要记录信息,每次请求过来进行解密就能得到对应信息。session是有状态的,需要后端每次去检索id的有效性。不同的session都需要进行保存,但也可以设置单点登录,减少保存的数据。session与token的选择是空间与时间博弈,为什么这么说呢,是因为token不需要保存,不占存储空间,但每次访问都需要进行解密,消耗了一定的时间。在一般的前后端分离项目中,token展现出了它的优势,成为了比session更好的选择userlist')")});}...
Java面试题之中间件
m0_73493267的博客
09-05 3006
对资源类型的管理称为粗颗粒度权限管理,即只控制到菜单、按钮、方法,粗粒度的例子比如:用户具有用户管理的权限,具有导出订单明细的权限。对资源实例的控制称为细颗粒度权限管理,即控制到数据级别的权限,比如:用户只允许修改本部门的员工信息,用户只允许导出自己创建的订单明细。很多网站登录时,允许使用第三方网站的身份来进行登录,这称为“第三方登录”。比如知乎和慕课网等,可以使用微信,QQ,或微博来进行登录。一个网站想接入第三方登录,需要用到OAuth2这个协议。
2020年java面试宝典
weixin_44345540的博客
11-04 2513
这里写自定义目录标题2020年java面试宝典框架有关java基础面试题下一次,详细的讲一讲mysql..... 2020年java面试宝典 大家好:第一次写博客:本人外号”铁子“,今天把自己两年以来收集的java面试宝典发出来,大家一起共同学习,交流。本人目前在上海工作。欢迎大家多多交流!话不多说:上干货! 框架有关 Spring的理解 是一个轻量级控制反转(IOC)和面向切面(AOP)的容器框架 目的:解决企业应用开发的复杂性 功能:使用基本的javabean代替EJB并提供了更多的企业应用功能 什么是
springboot+shiro 一个项目部署多个,session名冲突问题
小皮的博客
04-18 2072
springboot+shiro 一个项目部署多个,session名冲突问题 问题 前几天遇到一个比较奇怪的问题,一个项目部署多个,端口不同。启动之后在同一浏览器中进行登录,后一个登录的会把前一个登录的挤掉,导致只能登录一个。 原因 是因为sessionid相同,然后修改了springboot中sessionManager的相关配置,主要是...
Shiro同一个账号不允许登陆两次
chuannie2342的博客
09-17 958
步骤如下: 1、获取所有在线用户的Session信息。 2、获取当前登陆人的sessionId。 3、设置与当前登录账号相同,但sessionId不同的session信息超时。 代码如下: if (!Global.TRUE.equals(Global.getConfig("user....
shiro多账户重复登录的问题探究
JScala的博客
05-28 1099
最近研究shiro时,想探讨一下,多账户登录时,会不会顶下之前已经登录的账户,于是进行了以下测试: 分析可能出现的结果: 之后登录的账户会顶下之前登录的账户 两次登录的账户会并存 考虑到浏览器不同会对结果产生干扰的问题,做了以下的测试步骤:----不同浏览器1.admin通过火狐浏览器登录成功,并且页面展示表明已经验证2.admin通过IE浏览器再次登录,页面展示已经通过验证此时,刷新火狐...
shiro解决一个浏览器只能登陆一个账号
穷水叮咚的博客
06-06 6260
使用shiro安全框架,当账号登录成功后,再开第二个窗口登录账号,发现登录成功后会继续跳转到登录页面对shiro源码进行了调试,发现是AuthenticationFilter验证逻辑的问题:1.它首先验证是否有允许访问页面(isAccessAllowed方法)。2.在拒绝访问中(FormAuthenticationFilter的onAccessDenied方法)才会进行判断是否是登录提交(isLo...
一个账号只能在一个浏览器上登入,在其他浏览器上登入,原本自动登出!
weiwie一笑的博客
04-10 2605
import org.apache.shiro.SecurityUtils; import org.apache.shiro.ShiroException; import org.apache.shiro.authc.IncorrectCredentialsException; import org.apache.shiro.authc.UnknownAccountException; impor...
shiro相同subject重复登录问题
lcbiao45的博客
05-27 9435
刚学shiro不久,在相同的subject重复登录时,也就是登陆成功的subject再次登录时出现空指针异常.出现的位置是处理登陆失败的controller方法. 我往前追溯发现是shiro的filter在认证的时候是先通过isAceessAllowed()方法的实现进行判断是否已经登录认证的 而这个isAceessAllowed()方法的实现如下,其实是调用了当前subject的一个isAu
shiro 没有注销再登录_shiro多账户重复登录的问题探究
weixin_39596835的博客
12-21 420
shiro多账户重复登录的问题探究最近研究shiro时,想探讨一下,多账户登录时,会不会顶下之前已经登录的账户,于是进行了以下测试:分析可能出现的结果:之后登录的账户会顶下之前登录的账户两次登录的账户会并存考虑到浏览器不同会对结果产生干扰的问题,做了以下的测试步骤:----不同浏览器1.admin通过火狐浏览器登录成功,并且页面展示表明已经验证2.admin通过IE浏览器再次登录,页面展示已经...
两个不同springboot+shiro的项目登录冲突
sq287197314的博客
06-21 4167
前几天遇到一个比较奇怪的问题,建了两个不同springboot+shiro的项目,一个集成了cas单点登录,另一个是普通的登录。启动之后在同一浏览器中进行登录,后一个登录的会把前一个登录的挤掉,导致只能登录一个。一开始以为是有一个集成了单点登录的原因,把去掉之后,仍然有这个问题。在一个前辈的提醒下,发现可能是因为sessionid相同,然后修改了springboot中sessionManager的...
shiro 解决 跨域(仅端口不同) 登陆 问题
asdfgh0077的博客
05-04 261
shiro 解决 跨域(仅端口不同) 登陆 问题
shiro 角色权限缓存跟登录用户不一致
kevin_virus的博客
05-20 746
项目使用shiro做权限管理的时候 发现无论那个用户登录 redis中的角色权限缓存都只有一个并且没啥变化 除非过期了有新用户登录 才会更改 这就会造成权限和用户不匹配 找了好几天原因 才发现 SimpleAuthenticationInfo(token, token, getName()); 创建这个对象时候 第三个参数都是一样的 导致 所有用户缓存键都是同一个 哎 所以这个参数应该每个用户都不能一样 还是学艺不精 第一次用 而且项目时间紧急 有时间补一补shiro 记下...
Apache Shiro入门到精通教程:身份验证、授权与集成
2. **身份验证**:这部分深入讲解了如何设置 Shiro 的身份验证流程,包括环境准备、登录和退出功能,以及 REALM(安全领域)和相关的 AUTHENTICATOR 和 AUTHENTICATIONSTRATEGY(身份验证器和身份验证策略)。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值