Shiro使用RememberMe添加数据到Session

最新推荐文章于 2023-07-15 18:16:57 发布
最新推荐文章于 2023-07-15 18:16:57 发布
阅读量5.1k 收藏 4
点赞数 1
分类专栏: Spring 文章标签: session shiro spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Q_AN1314/article/details/53485778
版权

首先来理清一下session和rememberMe的功能,session是大家比较熟悉的功能,因为HTTP协议是无状态的,网站为了在多个请求之间传递数据就使用了session这个东西,session是存储在网站服务器上的某个地方,比如内存、数据库或者其他的什么东西,在我的配置中是用Ehcache存储的,因为我使用了Shiro的Native Session Manager,替代了Tomcat本身的Session Manager,并且为Shiro的Native Session Manager配置了Ehcache的SessionDAO:

    @Bean
    public SessionDAO sessionDAO() {
        return new EnterpriseCacheSessionDAO();
    }

    //使用Shiro自带的Session管理器
    @Bean
    public WebSessionManager sessionManager() {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionDAO(sessionDAO());
//        sessionManager.setGlobalSessionTimeout(300000);
        //设置Cookie中返回的SessionID的名字,默认是JSESSIONID
          sessionManager.getSessionIdCookie().setName("XXXXXXSESSIONID");
        return sessionManager;
    }

在这种情况下服务器的Session就存储在Ehcache里面,如果某个Session过期(比如关闭了浏览器或者超时),此条Session就会从Ehcache里面永久删除,下次的请求将不能使用Session里面的数据。所以说即使有些url设置的是”user”级别的(也就是说不用登录即可访问,只须设置了rememberMe),但是如果这些url使用了Session里面的数据,就会抛出异常,因为此时这个用户对应的Session已经不存在了。

再来看一下RememberMe的功能是怎样的。RememberMe是用于这样的一种场景:当浏览一个网站的时候,网站返回给你一个Session Cookie和一个RememberMe Cookie,Session Cookie很好理解,就是为了此次的对话,一旦关闭了浏览器或者超时了Session Cookie就没用了。但是RememberMe Cookie不太一样,Shiro默认的RememberMe Cookie的时长是一年,所以不用担心这个Cookie的情况。RememberMe Cookie实际就是Shiro把这个用户的信息加密一下放到cookie里面,下次就可以根据这个cookie来进行判断这是哪个用户。Shiro使用RememberMe功能的方式很简单,这里就不介绍了。

下面讲一下怎么根据这个RememberMe Cookie来向Session里面添加一些数据以便可以在不登录的情况下进行一些操作,方法就是自定义一个Filter:

package com.iot.baobiao.shiro;

import com.iot.baobiao.dao.UserDaoInterface;
import com.iot.baobiao.jooq.tables.pojos.User;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.servlet.OncePerRequestFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.IOException;

/**
 * Created by jia on 16-12-5.
 */

//为了使用RemenberMe Cookie,RememberMe Cookie里面是加密的Principle,
// 所以需要从这个Principle找出对应的user_id和phonenum放到Session里面
public class AddPrincipalToSessionFilter extends OncePerRequestFilter {

    private final Logger logger = LoggerFactory.getLogger(this.getClass());

    @Autowired
    UserDaoInterface userDaoInterface;

    @Override
    protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws ServletException, IOException {
        Subject subject = SecurityUtils.getSubject();
        if (subject.isRemembered()) {
            String phonenum = subject.getPrincipal().toString();
            User user = userDaoInterface.fetchOneByPhonenum(phonenum);
            if (user == null) return;
            Session session = subject.getSession(false);
            session.setAttribute("phonenum", phonenum);
            session.setAttribute("user_id", user.getId());
            logger.debug("Add principal info to session: " + phonenum);
        }
        filterChain.doFilter(servletRequest, servletResponse);
    }
}

Shiro会自动解密RememberMe Cookie里面的Principal,我们只需调用当前Subject的函数就行了。然后在Spring配置文件中添加上这个自定义的Shiro Filter就可以了:

    //Shiro自定义过滤器
    @Bean
    public AddPrincipalToSessionFilter addPrincipalToSessionFilter() {
        return new AddPrincipalToSessionFilter();
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilter(){
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();

        Map<String, Filter> map = new HashMap<>();
        map.put("addPrincipal", addPrincipalToSessionFilter());
        shiroFilter.setFilters(map);
//        shiroFilter.

        Map<String, String> definitionsMap = new HashMap<String, String>();
        definitionsMap.put("/unauthenticated", "anon");
        definitionsMap.put("/login", "anon");
        definitionsMap.put("/verification", "anon");
        definitionsMap.put("/forgetPassword", "anon");
        definitionsMap.put("/signup", "anon");
        definitionsMap.put("/index.jsp", "anon");
        definitionsMap.put("/", "anon");
        definitionsMap.put("/pay/**", "authc");
        definitionsMap.put("/admin/**", "authc, roles[admin]");
        //在每个可以使用RememberMe功能进行访问的url上面都添加这个自定义的Filter
        definitionsMap.put("/**", "addPrincipal, user");
        shiroFilter.setFilterChainDefinitionMap(definitionsMap);

        shiroFilter.setLoginUrl("/unauthenticated");
        shiroFilter.setUnauthorizedUrl("/unauthorized");
        shiroFilter.setSecurityManager(securityManager());

        logger.info("Shiro Filters: " + shiroFilter.getFilters());
        return shiroFilter;
    }

在Session超时之后再进行访问,即使对应的url使用了session里面的数据也可以正常使用了,比如说使用了Session的getAttribute函数也是可以的,如果没有这个自定义的Filter则会出现空指针错误。查看一下输出的日志,发现有这么一行:

2016-12-06 12:39:31 DEBUG AddPrincipalToSessionFilter:42 - Add principal info to session: 189xxxxxx06

这在手机App上面尤其有用,因为如果每次用户使用手机App都需要登录的话用户体验就会非常差,添加了自定义的Filter之后就可以很长时间不用登录,同时也不用把Session的过期时间设为很长,以免大量占用服务器资源。

bluespacezero
关注
专栏目录
shiro教程9(session和remember me)
波波烤鸭的博客
01-26 4857
session shiro提供的session不依赖web容器,可以直接使用,如果是在web环境下,session中的数据和httpsession中的数据是通的。Shiro中的session可以出现在任何地方,例如service、dao等,不需要从controller中传递session参数,用户保存在session中的数据可以在HTTP session中获取,保存在httpsession中的数...
Shiro实现rememberMe功能
Massimo__JAVA的博客
10-06 2043
Shiro实现rememberMe功能
Shiro 之rememberMe / session
Zllvincent的博客
09-24 7811
一、简介 ssm web 中记住用户信息可在下次用户访问时直接访问相关数据。web 中记住用户信息时使用Cookie 技术实现记住用户相关信息。 二、创建Maven Web 工程 本项目基于Shiro 之缓存 修改实现。 1.application.xml 修改为如下: <bean id="shiroFilter" class="org.apache.shiro.spring.web.Shi...
rememberMe
chengxiesuan0485的博客
04-30 214
session shiro提供的session不依赖web容器,可以直接使用,如果是在web环境下,session中的数据和httpsession中的数据是通的。Shiro中的session可以出现在任何地方,例如service、dao等,不需要从controller中传递session参数,...
shiro的记住我中将用户信息principal添加session
echobeeee的博客
03-12 6068
shiro的登录中,可以设置rememberMe作为记住我的功能 &lt;!-- 基于Form表单的身份验证过滤器,不配置将也会注册此过虑器,表单中的用户账号、密码及loginurl将采用默认值,建议配置 --&gt; &lt;bean id="formAuthenticationFilter" class="cn.echo.web.shiro.MyFormAuthenticationFi...
Shiro-----整合ssm(session&&rememberMe)
Miracle_Gaaral的博客
09-02 170
一.session会话管理 <!-- 配置securityManager --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="userRealm"></prop...
Shiro的rememberMe功能
weixin_65824274的博客
07-05 1685
当登录后是可以正常访问/man的主页的,如果使用了记住我功能,会在浏览器写入cookie,关掉浏览器不需要登录即可直接访问/main.Shiro 提供了记住我(RememerMe)的功能,比如访问一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。4.但是,如果我们访问电商平台时,如果要查看我的订单或进行支付时,此时还 是需要再进行身份认证的,以确保当前用户还是你。2.登录时不勾选记住我,关闭浏览器访问主页/main还会拦截到登录页;1.配置记住我功能的cookie设置;
shiro教程(session和remember me)
慕北丶
04-30 654
文章目录sessionsession常用方法实现登录成功后保存登录信息到session中创建FormAuthenticationFilter的子类重写onLoginSuccess方法配置文件中配置(applicationContext-shiro.xml)测试![在这里插入图片描述](https://img-blog.csdnimg.cn/20190430194703314.png?x-oss-p...
shrio登录成功后用户信息存入session
qq_42331499的博客
08-16 1000
登录的controller,简单版本 @RequestMapping("/login") public String login(String username, String password) throws Exception { System.out.println("进入shirod接管的login " + username + "___" + password); Subject currentUser = SecurityUtils.getSubject(); //.
解决Spring Security 开启remember-me(持久化),session并发控制后重启服务器remember-me持久化凭证消失问题
Chenctrl的博客
10-29 5954
学习Spring security过程中实现了remember-me的持久化实现(其实很简单的呀)<remember-me key="elim" remember-me-parameter="remember-me" token-validity-seconds="604800" data-source-ref="dataSource" user-service-ref="custom
shiro在remember me状态下登录,自定义session失效解决方法
rguess的博客
03-13 622
使用shiro的时候,当我们使用remember me功能登录系统的时候,我们在用户登录自定义的session已经失效,这样就会影响系统正常运行;对于这种情况,我的解决方案是在shiro中自定义一个filter检测自定义的session是否失效,如果失效就读取数据加入到sessionshiro 配置文件: [code="xml"] [/code] 在shiroFilte...
如何在原有的cookie里面添加值_【JavaScript 】Cookie
weixin_39962125的博客
12-09 1328
什么是 Cookie?Cookie 是一些数据, 存储于你电脑上的文本文件中。当 web 服务器向浏览器发送 web 页面时,在连接关闭后,服务端不会记录用户的信息。Cookie 的作用就是用于解决 "如何记录客户端的用户信息":当用户访问 web 页面时,他的名字可以记录在 cookie 中。在用户下一次访问该页面时,可以在 cookie 中读取用户访问记录。Cookie 以名/...
shirosession的问题
最新发布
2301_77664771的博客
07-15 459
原因: 默认DefaultWebSessionManager它只接受Cookie中存储的JsessionId. 查询发现再redis中不存在对应的key.客户发送请求时,再请求头中携带sessionId, 然后重写DefaultWebSessionManager中getSessionId()的方法。默认session存储再各自服务的内存中,可以让session统一存储再redis中。我们发现跨域请求,会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。修改shiro的配置类。
spring security 会话管理
swadian2008的博客
08-28 2178
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。spring security 提供会话管理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取用户身份。...
使用SpringBoot+Shiro实现记住我功能
m0_67393593的博客
04-28 356
1、加入需要用到的包 <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> </dependency&gt
Shiro在请求头中获取sessionId以及rememberMe信息
_好好学习的博客
01-30 1万+
默认情况,Shiro会把sessionId或rememberMe放入cookie中,每次请求会在cookie中获取,但在前后端分离下,跨域请求会导致cookie保存失败,本人介绍把sessionId或rememberMe放入request header中,兼容PC、App以及移动端浏览器。
Spring security开启remember me功能,配置session超时,导致csrf验证失败
tof
06-25 1579
概述 当开启remember me功能,且配置session超时,当session超时后,会清空session,刷新页面可以正常实现记住我的功能,但是存放到session中的csrf token已被清空,会提示csrf校验异常,跳转到登录页面,导致remember me功能无法实现。 配置remember me + session超时 后端 public class HttpSecurityConfigurer { @Override public void configure(H
Shiro的 rememberMe 功能使用指导(为什么rememberMe设置了没作用?)
热门推荐
软件哲学
07-05 3万+
很多人现在都倾向于使用成型的权限认证框架Shiro,并且shiro的官方文档说它帮你实现了rememberMe。多么美好的诱饵啊!但是我们实际用起来的时候却发现不是我们想的那样的,那么shiro的 rememberMe究竟是怎么用的,为什么rememberMe设置了没作用?本文会针对原理来解释,并给出解决方案
shiro自动登录及session失效解决办法(1详解)不用缓存
weixin_42886104的博客
04-15 9870
这是一个困扰了我一周的问题,几乎找遍了全网,也没有找到合适的解决办法,问题的难度在于,不使用任何缓存技术,实现以下问题。 1、当用户登录时,使用shiro rememberme,加密保存cookie 到本地。 2、当用户再次登录时是自动登录状态,但是这时候是没有session的,这里就要解决session的问题。 这里用到的是idea项目:springboot+shiro 文件目录:...
shiro rememberme功能怎么保持用户在关闭浏览器后用户信息还是上一次状态
06-07
Shiro的RememberMe功能可以帮助用户在关闭浏览器后也能保持登录状态,实现方法是在用户登录时,生成一个RememberMe Cookie,并将它保存在用户的浏览器中。下次用户再次访问网站时,如果没有进行登录操作,Shiro会自动读取这个Cookie,从而实现自动登录。 为了保持用户的状态,在生成RememberMe Cookie时,可以设置它的过期时间。如果没有设置过期时间,Cookie将在浏览器关闭时自动删除。 下面是一个示例代码,演示如何生成RememberMe Cookie并设置它的过期时间: ``` // 创建一个RememberMe Cookie SimpleCookie rememberMeCookie = new SimpleCookie("rememberMe"); // 设置Cookie的过期时间为7天 rememberMeCookie.setMaxAge(7 * 24 * 60 * 60); // 将Cookie保存到用户的浏览器中 Subject currentUser = SecurityUtils.getSubject(); currentUser.getSession().setAttribute("rememberMeCookie", rememberMeCookie); ``` 在上述代码中,我们创建了一个名为rememberMe的Cookie,并将它的过期时间设置为7天。接着,我们将Cookie保存到用户的Session中,以便在下次访问网站时可以读取它。 为了读取RememberMe Cookie,我们可以在Shiro的配置文件中添加如下内容: ``` [main] securityManager.rememberMeManager.cookie = org.apache.shiro.web.servlet.SimpleCookie securityManager.rememberMeManager.cookie.name = rememberMe securityManager.rememberMeManager.cookie.maxAge = 604800 securityManager.rememberMeManager.cipherKey = kPH+bIxk5D2deZiIxcaaaA== ``` 在这个配置中,我们设置了RememberMe Cookie的名称为rememberMe,并将它的过期时间设置为7天。如果想要读取更多的Cookie属性,可以查看SimpleCookie类的API文档。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值