Shiro中的session共享问题(如果再也见不到你,祝你早安,午安,晚安。)

已于 2023-07-16 10:11:25 修改
阅读量710 收藏 2
点赞数
文章标签: java 前端 服务器
于 2023-07-11 15:03:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Biecaijinggai_/article/details/131659456
版权

1.shiro中session的共享问题

 当我们通过nginx反向代理到我们的集群后,如果用户再进行登录,用户的session会存储在第一次负载均衡到的服务器上,但是如果我们调用其中的一些功能或者说权限后,用户在另外一台服务器上并没有session信息,就会导致提示未登录问题,需要用户再次进行登录。

但是我们不可能让用户登录很多次,这对用户的体验来说是非常不友好的,因此解决shiro安全框架中的session问题是非常有必要的。

2.如何解决session共享问题

这里使用的是第三方的框架crazycake

        <dependency>
            <groupId>org.crazycake</groupId>
            <artifactId>shiro-redis</artifactId>
            <version>3.3.1</version>
        </dependency>

2.1修改shiro的配置类

DefaultWebSessionManager类主要用于获取请求头中的JSESSIONID的值

然后再通过RedisSessionDao从redis中查询对应的Key,如果存在,则认为当前用户已登录

    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(realm());
        //redis管理
        securityManager.setCacheManager(redisCacheManager());
        //设置session管理
        securityManager.setSessionManager(defaultWebSessionManager());
        return securityManager;
    }

    @Bean
    public DefaultWebSessionManager defaultWebSessionManager(){
        MyWebSessionManager defaultWebSessionManager = new MyWebSessionManager();
        defaultWebSessionManager.setSessionDAO(sessionDAO());
        return defaultWebSessionManager;
    }

    @Bean
    public SessionDAO sessionDAO() {
        RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
        RedisManager redisManager = new RedisManager();
        redisManager.setHost("127.0.0.1:6379");
        redisSessionDAO.setRedisManager(redisManager);
        return redisSessionDAO;
    }

2.2解决前端不支持cookie

默认DefaultWebSessionManager它只接受Cookie中存储的JSESSIONID.

查询发现redis中不存在对应的key

如何解决:

客户发送请求时,再请求头中携带sessionId, 然后重写DefaultWebSessionManager中getSessionId()的方法。

2.3JSESSIONID放入请求头

修改登录的接口

 修改前端登录方法

 修改main.js文件

 2.4 重写DefaultWebSessionManager的方法

public class MyWebSessionManager extends DefaultWebSessionManager {
    private static final String AUTHORIZATION = "token";
    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        //获取请求头中名称为token的内容
        String id = WebUtils.toHttp(request).getHeader("token");
        if (!StringUtils.isEmpty(id)) { //如果存在该token
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "Stateless request");
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        } else {
            //从cookie中获取sessionId.
            return super.getSessionId(request, response);
        }
    }
}

修改shiro配置类:

    @Bean
    public DefaultWebSessionManager defaultWebSessionManager(){
        //使用自定义的defaultWebSessionManager
        MyWebSessionManager defaultWebSessionManager = new MyWebSessionManager();
        defaultWebSessionManager.setSessionDAO(sessionDAO());
        return defaultWebSessionManager;
    }

修改shiroFilter过滤器

我们发现跨域请求,会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。

OPTIONS请求:先头部队。

所以我们对OPTIONS请求都要放行

public class MyFilter extends FormAuthenticationFilter {
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        //响应数据的中文乱码
        response.setContentType("application/json;charset=utf-8");

        //返回的json数据
        R<Object> error = R.error("登录了吗你?????");

        //转换为json字符串返回
        String string = JSON.toJSONString(error);

        //响应前端
        PrintWriter writer = response.getWriter();
        writer.print(string);

        writer.flush();
        writer.close();
        return false;

    }
    //会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        HttpServletRequest req = (HttpServletRequest) request;
        //获取请求方式
        String method = req.getMethod();
        if("OPTIONS".equals(method)){
            return true;
        }
        return super.isAccessAllowed(request, response, mappedValue);
    }
}

3.前端前置路由守卫

//前置路由守卫设置
router.beforeEach((to,from,next) => {
  //获取当前路由路径
  var path = to.path;
  if(path == "/login"){
    return next();//继续放行
  }
  //判断是否登录
  var token = sessionStorage.getItem("token");
  if(token){
    return next();
  }
  //返回到主界面登录
  return next("/login")
})

4.防止恶意重复登录

@Controller
@ResponseBody
public class LoginController {

    @PostMapping("/login")
    public R login(@RequestBody LoginVo loginVo){
        Subject subject = SecurityUtils.getSubject();

        //判断是否已经登录 防止重复登录查询数据库
        if (subject.isAuthenticated()) {
            return R.success(subject.getSession().getId().toString());
        }

        //封装用户登录信息
        UsernamePasswordToken token = new UsernamePasswordToken(loginVo.getUsername(),loginVo.getPassword());
        try {
       
            //进行登录认证
            subject.login(token);
            return R.success(subject.getSession().getId().toString());//返回sessionId给前端
        }catch (Exception e){
            e.printStackTrace();
            return R.error("登录失败");
        }
    }
}

5.退出登录

    @GetMapping("/logout")
    public R logout(){
        //清除redis缓存
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return R.success("退出成功");
    }

前端退出:

    //退出登录
    logout(){
      this.$http.get("http://localhost:8088/user/logout").then(result => {
        if(result.data.code == 1){
          this.$message.success("退出成功")
          //清除token
          sessionStorage.clear()
          //返回登录界面
          this.$router.push("/login")
        }
      })

IT阿舒
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Shiro集成redis实现session共享
qq_46826837的博客
10-15 949
Shiro集成redis实现session共享
记一次SHIROsession问题
gouridai的博客
04-14 447
记一次SHIROsession问题 嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿 前言 根据公司市场需求,需要搭建一个小型项目满足业务,由于是小项目,所以采用前后台合并为一个项目结构,用一套SHIRO满足前后台登录验证等功能实现。 问题点 使用SHIRO满足前后台共用一套登录验证会导致同一浏览器登录前后台项目,前台sessionId和后台sessionId会是同一个,进而导致区分不了前后台用户 二、使用步骤 代码如下(示例): applicat
springboot +shiro+redis实现session共享(方案二)1
08-08
springboot +shiro+redis实现session共享(方案二)1
spring boot整合redis实现shiro的分布式session共享的方法
08-28
本篇文章主要介绍了spring boot整合redis实现shiro的分布式session共享的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
shiro实现session共享
u010957023的专栏
09-02 688
session共享:在多应用系统,如果使用了负载均衡,用户的请求会被分发到不同的应用,A应用session数据在B应用是获取不到的,就会带来共享问题。 假设:用户第一次访问,连接的A服务器,进行了登录操作进入了系统,当用户再次操作时,请求被转发到了B服务器,用户并没有在B进行登录,此时用户又来到了登录页面,这是难以理解和接受的,这就引出了session共享。 对于shiro框架如何
shiro+redis实现session共享<1>
goodyuedandan的博客
08-04 711
session共享:在多应用系统,如果使用了负载均衡,用户的请求会被分发到不同的应用,A应用session数据在B应用是获取不到的,就会带来共享问题。 假设:用户第一次访问,连接的A服务器,进行了登录操作进入了系统,当用户再次操作时,请求被转发到了B服务器,用户并没有在B进行登录,此时用户又来到了登录页面,这是难以理解和接受的,这就引出了session共享。 对于shiro
Shiro学习(10)Session管理
m0_67403073的博客
08-24 2713
但是如在web环境,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。更新会话最后访问时间及销毁会话;
springboot+shiro+redis实现session共享和cache共享
ldcaws的专栏
06-26 2712
在分布式应用,若是使用了负载均衡,用户第一次访问,连接的A服务器,进行了登录操作进入了系统,当用户再次操作时,请求被转发到了B服务器,用户并没有在B进行登录,此时用户又来到了登录页面,这是难以理解和接受的,这就引出了session共享。对于shiro安全框架如何实现session共享shiro共享分为两方面,一个是session共享,一个是cache共享。下面聊聊在springboot工程整合shiro框架,并通过redis实现session共享和cache共享
shiro——session会话管理
热门推荐
dgh112233的博客
08-23 1万+
目录 1. 会话 1.1 Session 接口 1.2 SessionManager 会话管理 1.3 SessionListener 会话监听 2. 会话持久化 2.1 SessionDAO接口 2.2AbstractSessionDAO类 2.3 CachingSessionDAO 类 2.4 EnterpriseCacheSessionDAO 类 2.5 Memo...
集群共享sessionshiro实现session共享;springboot实现redis共享session
wangyue123com的专栏
03-19 2344
shiro实现共享session;springboot集成redis实现共享session;集群环境下shiro共享session;shiro实现session共享
ShiroSession分析
lbl的博客
02-11 1636
本文的时序图使用在线工具https://www.websequencediagrams.com/生成 背景:使用Spring boot搭建web工程,使用shiro做认证授权工作 疑惑:成功登录之后,再次请求时,服务器是如何知道已经登录,是哪个用户,是使用HttpSession还是shiroSession SecurityUtils.getSubject() 在处理请求时,可以通过Securi...
SSM项目集成shiro搭建session共享
04-06
7. **Shiro-Redis**:Shiro-Redis2.9是Shiro的一个扩展,它将session数据存储在Redis缓存,解决了在分布式环境下的session共享问题。Redis是一个高性能的键值数据库,具有丰富的数据结构支持,适合存储session这样...
shiro redis session共享
05-24
在默认情况下,Shirosession信息存储在内存,但这种方式在分布式环境并不适用,因为每个服务器实例都有自己的session存储,无法共享。通过集成Redis,我们可以将session数据存储在Redis这个心化的存储系统...
shirosession共享问题与完成前后端权限的校验
07-11
本文将深入探讨Shirosession共享问题以及如何利用Shiro进行前后端权限的校验。 首先,理解ShiroSession机制至关重要。Session是Web应用程序用于跟踪用户状态的一种机制,它存储了用户登录后的相关信息,...
第十三节 Shiro集成Redis实现分布式集群Session共享
大宇的博客,欢迎访问
04-15 8013
一、使用Redis共享Session原理 所有服务器session信息都存储到了同一个Redis集群,即所有的服务都将 Session 的信息存储到 Redis 集群,无论是对 Session 的注销、更新都会同步到集群,达到了 Session 共享的目的。 Cookie 保存在客户端浏览器,而 Session 保存在服务器上。客户端浏览器访问服务器的...
Shiro教程(七)Shiro Session共享配置以及实现
baidu_37366055的博客
03-02 1893
Shiro 我们通过重写AbstractSessionDAO ,来实现 Session 共享。再重写 Session 的时候(其实也不算重写),因为和HttpSession 没有任何实现或者继承关系。 首先 Shiro Session 配置讲解。 Session 的每个回话的ID 生成器,我们用JavaUuidSessionIdGenerator (UUID 规则)。 ...
C#session共享+redis_基于shiro实现session持久化和分布式共享
weixin_39654436的博客
11-20 359
前言本文写下session持久化和分布式共享 基于shiro框架对session的管理机制来实现必要性一直处于登陆状态:你登陆微信 不可能三天两头就让你重新登陆吧?而是一直处于登陆状态 除非主动退出微信session共享 对于分布式系统 一个用户的多次请求到不同的机器上 不可能每次请求都生成一个session 彼此没有联系吧?而是希望一个用户登陆一次就有一个session 每次请求都会使用这一个s...
shiro的缓存及session.html
weixin_67696142的博客
06-29 278
shiro的缓存及session.html
JAVA进阶补充
最新发布
2301_80150315的博客
08-15 1004
概念:把已经有的方法拿过来用,当作函数式接口抽象方法的方法体条件:引用处必须是函数式接口被引用的方法需要已经存在被引用方法的形参和返回值需要跟抽象方法的形参和返回值保持一致被引用方法的功能需要满足当前需求:方法引用符意义:就是为让控制台的报错信息更加的名知意自定义异常的步骤:定义异常类写继承关系空参构造带参构造​file对象就表示一个路径,可以是文件的路径、也可以是文件夹的路径;这个路径可以是存在的,也允许是不存在的构造方法描述根据文件路径创建对象。
李子柒文化输出争议:Spring Boot整合Redis实现Shiro分布式Session共享
在“地域分布-spring boot整合redis实现shiro的分布式session共享的方法”这一主题,我们主要聚焦于如何在Spring Boot应用利用Redis来实现Shiro框架的分布式session共享。Spring Boot是Java开发的一个微服务...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值