shiro实现不同浏览器本修改密码时其余浏览器需要重新登录

最新推荐文章于 2023-05-12 20:09:47 发布
置顶 最新推荐文章于 2023-05-12 20:09:47 发布
阅读量3.8k 收藏 2
点赞数 1
分类专栏: shiro 文章标签: shiro sessiondao
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzwglory/article/details/44196777
版权 
/**
 * 
* 类说明: session序列化工具
* @author 作者 LzwGlory
* @version 创建时间:2015年3月11日 上午11:36:35 
*
 */
public class SerializableUtils {

    public static String serialize(Session session) {
        try {
            ByteArrayOutputStream bos = new ByteArrayOutputStream();
            ObjectOutputStream oos = new ObjectOutputStream(bos);
            oos.writeObject(session);
            return Base64.encodeToString(bos.toByteArray());
        } catch (Exception e) {
            throw new RuntimeException("serialize session error", e);
        }
    }
    public static Session deserialize(String sessionStr) {
        try {
            ByteArrayInputStream bis = new ByteArrayInputStream(Base64.decode(sessionStr));
            ObjectInputStream ois = new ObjectInputStream(bis);
            return (Session)ois.readObject();
        } catch (Exception e) {
            throw new RuntimeException("deserialize session error", e);
        }
    }
}

/**
 * @author lzwglory
 * @time 2015-3-11
 */
public class ShiroSecurityHelper {

	private static SessionDAO sessionDAO;

	/**
	 * 获得当前用户名
	 * 
	 * @return
	 */
	public static String getCurrentUsername() {
		Subject subject = getSubject();
		PrincipalCollection collection = subject.getPrincipals();
		if (null != collection && !collection.isEmpty()) {
			return (String) collection.iterator().next();
		}
		return null;
	}

	/**
	 * 
	 * @return
	 */
	public static Session getSession() {
		return SecurityUtils.getSubject().getSession();
	}

	/**
	 * 
	 * @return
	 */
	public static String getSessionId() {
		Session session = getSession();
		if (null == session) {
			return null;
		}
		return getSession().getId().toString();
	}

	/**
	 * @param username
	 * @return
	 */
	public static Session getSessionByUsername(String username) {
		Collection<Session> sessions = sessionDAO.getActiveSessions();
		for (Session session : sessions) {
			if (null != session
					&& StringUtils
							.equals(String
									.valueOf(session
											.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY)),
									username)) {
				return session;
			}
		}
		return null;
	}

	/**
	 * 判断当前用户是否已通过认证
	 * 
	 * @return
	 */
	public static boolean hasAuthenticated() {
		return getSubject().isAuthenticated();
	}

	public static void layout() {
		getSubject().logout();
	}

	private static Subject getSubject() {
		return SecurityUtils.getSubject();
	}

}


<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:util="http://www.springframework.org/schema/util"
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
	http://www.springframework.org/schema/beans/spring-beans-3.1.xsd   
    http://www.springframework.org/schema/util 
    http://www.springframework.org/schema/util/spring-util-3.1.xsd ">
	<description>Shiro 配置</description>
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="/login_txz.jsp" />
		<property name="successUrl" value="/homePage.jsp" />
		<property name="unauthorizedUrl" value="/error/noperms.jsp" />
		<property name="filters">
			<util:map>
				<entry key="userSetting" value-ref="userSettingFilter" />
				<entry key="myAdvice" value-ref="myAdviceFilter" />
			</util:map>
		</property>
		<property name="filterChainDefinitions">
			<value>
				/ = anon
				/*anon_* =anon
				/**/*anon_* =anon
				/**/*app_*.do* = anon
				/owsSSO*.do* = anon
				/login.jsp* = anon
				/login*.do* = anon
				/register.jsp* = anon
				/homePage.jsp* = anon
				/forgetpwd.jsp* = anon
				/login.do* = anon
				/register*.do* = anon
				/cipher*.do = anon
				/app/index.jsp*= anon

				/error/noperms.jsp*= anon
				/home.jsp= anon
				/sub_order.jsp*= anon
				/** = myAdvice
			</value>
		</property>
	</bean>

	<bean id="userSettingFilter" class="com.ultrapower.rw.web.ows.filter.UserSetting" />
	<bean id="myAdviceFilter" class="com.ultrapower.rw.web.ows.filter.MyAdviceFilter" />

	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<!--设置自定义realm -->
		<property name="realm" ref="monitorRealm" />
		<property name="sessionManager" ref="sessionManager"/>
		<!-- <property name="sessionManager" ref="sessionManager"/> -->
		
	</bean>
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

	<!--自定义Realm 继承自AuthorizingRealm -->
	<bean id="monitorRealm" class="com.ultrapower.rw.web.ows.service.MonitorRealm"></bean>
	<!-- start sessiondao -->
	<bean id="sessionManager"
		class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
		<property name="sessionDAO" ref="sessionDAO" />
		<property name="sessionIdCookie.name" value="jsid"/>  
	</bean>
	<bean id="sessionDAO"
		class="com.ultrapower.rw.web.ows.shiro.session.MySessionDAO" />
	<!-- end sessiondao -->
	<!-- securityManager -->
	<bean
		class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
		<property name="staticMethod"
			value="org.apache.shiro.SecurityUtils.setSecurityManager" />
		<property name="arguments" ref="securityManager" />
	</bean>

	<!-- Enable Shiro Annotations for Spring-configured beans. Only run after -->
	<!-- the lifecycleBeanProcessor has run: -->
	<bean
		class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
		depends-on="lifecycleBeanPostProcessor" />
	<bean
		class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean>
</beans>


/** 
 * @author 作者 LzwGlory
 * @version 创建时间:2015年3月12日 下午2:36:22 
 * 类说明 
 */
public enum ShiroType {

	flag();
	
	private ShiroType(){
		
	}
	/**
	 * 更改密码标示
	 */
	public final String isModifyPwd = "isModifyPwd_";
	
	/**
	 * 退出标示
	 */
	public final String isLayout = "isLayout_";
}


/**
 * @author 作者 LzwGlory
 * @version 创建时间:2015年3月4日 下午5:46:11 类说明 shiro session管理
 */
public class MySessionDAO extends CachingSessionDAO {

	private static Logger log = Logger.getLogger(LoginController.class);
	private static final Cache cache = CacheFactory
			.getCache(OwsConstant.USERDTOCACHE);

	private String keyPrefix = "shiro_session_";
	Set<String> jsidSet;

	public MySessionDAO() {
	}

	@Override
	protected Serializable doCreate(Session session) {
		Serializable sessionId = generateSessionId(session);
		this.assignSessionId(session, sessionId);
		addSession(sessionId, session);
		return sessionId;
	}

	@Override
	protected Session doReadSession(Serializable sessionId) {
		try {
			// 先取出对应的session
			Object sessionObj = cache.get(sessionId.toString());
			if (sessionObj == null) {// 取出当为空时直接返回空
				return null;
			}
			// Session session = (Session) sessionObj;
			Session session = SerializableUtils.deserialize(String
					.valueOf(sessionObj));
			// 用于存储用户id对应的sessionid
			Object userIDObj = session.getAttribute("userId");
            
			if (ShiroSecurityHelper.hasAuthenticated()) {
//				if (userIDObj != null&&!"yes".equals(cache.get(ShiroType.flag.isLayout + String.valueOf(userIDObj)))) {
				// cache.get(session.getAttribute("userId").toString());
				// cache.remove(session.getAttribute("userId").toString());
				String userID = String.valueOf(userIDObj);
				String keyUserID = this.keyPrefix + userID;

				if ((Set<String>) cache.get(keyUserID) == null){
					jsidSet = new HashSet<String>();
				}else{
					jsidSet = (Set<String>) cache.get(keyUserID);
				}
				log.info("----size:" + jsidSet.size() + "-------jsidSet:"
						+ jsidSet);
				jsidSet.add(sessionId.toString());
				cache.set(keyUserID, jsidSet);
				// 如果修改密码成功后则直接清除除了当前的sessionid
				if (cache.get(ShiroType.flag.isModifyPwd + userID) != null) {
					String curJsid = String.valueOf(cache.get("isModifyPwd_"
							+ userID));
					jsidSet = (Set<String>) cache.get(keyUserID);
					for (String str : jsidSet) {
						if (!str.equals(curJsid)) {
							cache.remove(str);
						}
					}
					cache.remove("isModifyPwd_" + userID);
					// 当取出多余的session后重新取一下session
				}
			}
			return session;
			// String json = cache.get(MemcachedObjectType.SESSION.getPrefix() +
			// sessionId.toString());
			// return (Session) serializer.deserialize(Encodes.decodeHex(json));
		} catch (Exception e) {
			log.warn("## Not found session #{}" + sessionId);
			return null;
		}
	}

	@Override
	protected void doDelete(Session session) {
		// TODO Auto-generated method stub
		if (session == null) {
			throw new NullPointerException("session argument cannot be null.");
		}
		// 取出所有的当前账户对应的sessionid集合
		Object userIDObj=session.getAttribute("userId");
		if(userIDObj!=null){
			String userID = String.valueOf(userIDObj);
			String keyUserID = this.keyPrefix + userID;
			cache.remove(keyUserID);
//			cache.remove(ShiroType.flag.isLayout+userID);
		}

		// 去除sessionid对应session,就会引发重定向后session丢失的现象
//		Serializable id = session.getId();
//		if (id != null) {
//			cache.remove(session.getId().toString());
//		}
	}

	@Override
	protected void doUpdate(Session session) {
		// TODO Auto-generated method stub
		if (session instanceof ValidatingSession
				&& !((ValidatingSession) session).isValid()) {
			return; // 如果会话过期/停止 没必要再更新了
		}
		updateSession(session.getId(), session);
	}

	protected Session addSession(Serializable id, Session session) {
		if (id == null) {
			throw new NullPointerException("id argument cannot be null.");
		}

		// cache.add(session.getId().toString(), session,
		// DateUtil.getIntervalTime(30));
		cache.add(session.getId().toString(),
				SerializableUtils.serialize(session),
				DateUtil.getIntervalTime(30));
		return session;
	}

	protected Session updateSession(Serializable id, Session session) {

		if (id == null) {
			throw new NullPointerException("id argument cannot be null.");
		}
		cache.set(session.getId().toString(),
				SerializableUtils.serialize(session),
				DateUtil.getIntervalTime(30));
		// cache.set(session.getId().toString(), session,
		// DateUtil.getIntervalTime(30));
		return session;
	}
}




LzwGlory
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot整合Shiro实现免密登录
04-11
SpringBoot整合Shiro实现免密登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken免密登录调用方法和密码登录调用方法都在里面。 3,新增...
shiro 没有注销再登录_java shiro实现退出登陆清空缓存
weixin_39802814的博客
12-21 220
上一篇介绍了使用springmvc集成shiro登陆过程,通过FormAuthenticationFilter过滤器获取到用户输入的账号密码shiro是一个被广泛使用的安全层框架,通过xml配置方式与spring无缝对接,用户的登陆/退出/权限控制/Cookie等管理系统基础功能交给shiro来管理。一般,在JavaWEB管理平台系统,用户退出系统之前没需要清除用户数据和关闭连接,防止垃圾数据...
shiro框架如何保持登录状态
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
04-25 1245
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、shiro保持登录状态的方式? 二、具体过程 1.登录系统 2.关闭浏览器 3.登出系统 4.RememberMe功能 前言 最近一段间在研究shiro框架,发现网上很少有讲在登录之后,shiro是如何保持登陆状态的,或者换句话说就是后台服务能够在你登录之后,知道你是谁,知道你有哪些权限,知道你的角色是什么 一、shiro保持登录状态的方式? 现在大部分的web项目都是采用前后端分离的架构,而保持登录状态
springboot集成shiro禁止用户多点登录或重复登录剔除
qq_35113996的博客
11-19 1万+
近期用springboot整合shiro,进行了一个小项目。因为shiro只是一个Java安全框架,并不会做重复登录的拦截,当一个用户登录成功后(chrome登录),再用另外一个浏览器登录(IE登录)或者另外一台电脑进行登录,两个都会登录成功,两个不同session。(题外话:同一个浏览器登录后,再打开一个标签页访问项目会直接进入登录后跳转的页面,两者是同一个session。) 预期目的:不允...
Spring 整合 Shiro 实现登录认证和权限控制
大JAVA解决方案
07-30 517
Spring 整合 Shiro 实现登录认证和权限控制  JAVA  herman  1年前 (2017-02-21)  4722浏览  0评论   前面有一篇文章写到了 Shiro 认证的相关数据库设计《开源权限框架 Shiro 整合 web 项目的数据库设计》。今天接着完成相关后台代码,分享给大家! 功能逻辑 用户必须要登陆之后才能访问定义链接,否则跳转到登录页面。 对链接进行权限...
springboot整合shiro-配置记住我(四)
热门推荐
这个名字想了很久
09-02 1万+
原文地址,转载请注明出处:&amp;amp;amp;amp;nbsp;https://blog.csdn.net/qq_34021712/article/details/80306432&amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;nbsp;©王赛超&amp;amp;amp;amp;nbsp; shiro系列 springboot整合s
shiro实现单点登录(一个用户同一刻只能在一个地方登录)
09-01
主要介绍了shiro实现单点登录(一个用户同一刻只能在一个地方登录)的相关资料,非常不错,具有参考借鉴价值,感兴趣的朋友一起学习吧
spring boot+shiro+mybatis实现不同用户登录显示不同的权限菜单
06-28
spring boot+shiro+mybatis实现不同用户登录显示不同的权限菜单
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例
08-31
本篇文章主要介绍了SpringBoot+Shiro学习之密码加密和登录失败次数限制示例,可以限制登陆次数,有兴趣的同学可以了解一下。
Shiro 控制并发登录人数限制及登录踢出的实现代码
08-29
本文通过shiro实现一个账号只能同一个人使用,本文重点给大家分享Shiro 控制并发登录人数限制及登录踢出的实现代码,需要的朋友参考下吧
SpringBoot整合shiro之禁止重复登陆(附源码)
临窗,听雨声
11-12 4312
禁止重复登陆,就是同一个账号在不同浏览器不同的设备登陆候只会有一个登陆成功,其他的都会被挤下去。 就像,我登的我的账号,这个候你再来登我的账号,我就被挤下去了。 本文将介绍如何使用shiro禁止重复登陆。 每一个登陆用户登陆后都会存在于 shiro 的一个 session里面。当然,这里我们需要设置,登陆成功后 Session session = SecurityUtils.g...
strust2+shiro实现认证授权管理(解决登录之后不能再次登录问题)
weixin_40717742的博客
12-23 487
两种解决方式:(实验可行,) 一、shiro的xml中配置了相关页面的访问权限 xml配置: <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager" /&gt...
shiro修改用户密码
分享日常bug
05-12 288
个人理解做法 如果感觉有什么不对可以评论区提出来哈。
7.Shiro实现密码加密和解密
相互学习 共同进步
06-29 3748
Shiro实现密码加密和解密 常见的加密方式有很多,Shiro中提供的一套散列算法加密方式。散列算法,是一种不可逆的算法(自然是要不可逆的,因为可逆的算法破解起来也很容易,所以不可逆的算法更安全),常见的散列算法如MD5、SHA,但是网上看到很多破解MD5加密的网站,不是说散列算法是不可逆的吗?为什么还存在那么多破解密码的网站? 其实散列算法确实是不可逆的,即使是常见的MD5加密也是不可逆的加密方式,而网上的破解网站并不是能够逆向算出这个加密密码,而是通过大数据的方式得出来的,相当于,MD5解密的网站中存在
网站关闭浏览器页签不需要重新登录关闭整个浏览器需要重新登录
Yang_Xingxing_的博客
09-04 2099
使用cookie来实现 第 1 步:当登录进入网站记录状态位loginStatus到cookie中,注意不要设置expires,这样cookie在会话期间有效,当关闭全部浏览器候会清除cookie。 setCookie('loginStatus', true); 第 2 步 :再次打开浏览器进入页面,获取cookie中的loginStatus,此已经获取不到了,在此处下线登录状态,就需要用户重新登录了。 // 此处代码要写在项目 这样一进来网站就会被访问到 if (!getCookies('l
Springboot+Shiro 修改密码
菜鸟逆袭之路
03-13 3101
首先从前端说起,在修改密码候首先需要填写旧密码 我这里使用的是Jquery-Validate,主要看一下这里,把填写的旧密码传到后台进行check $("#changePasswordForm").validate({ rules : { oldWord : { remote : { ...
Shiro——安全框架、简述、示例(登录、新增、修改密码
Today_He的博客
11-15 416
轻量级灵活的安全框架,用于授权、加密、企业会话
修改用户密码(基于SSM及shiro
weixin_44188129的博客
02-14 5374
第一步:持久层Dao代码实现Dao层参数对应于数据库,username或者id作为唯一标识,password是数据库中已加密过的旧密码,salt是盐值。 public interface SysUserDao { /** * 修改密码操作 有多个参数以及一个参数用在动态sql中需要加@Param * Dao层参数来自数据库 * @param username 用户名 * ...
shiro实现密码登录
最新发布
10-28
在使用Shiro实现密码登录,可以自定义一个Token,继承自UsernamePasswordToken,并添加一个标识符表明是否免密登录。在这个Token中,可以添加一个LoginType属性,用于标识登录类型,包括PASSWORD(密码登录)和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值