springboot + shiro + redis管理session的时候更新身份信息无效

最新推荐文章于 2023-04-11 18:46:54 发布
最新推荐文章于 2023-04-11 18:46:54 发布
阅读量686 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3538333/article/details/110958224
版权

最近在做项目的时候遇到需要管理活跃session的需求。框架是用的SpringBoot,做了redis的session共享,并重写了shiro的sessionDao,代码如下:

RedisSessionDao.java

import java.io.Serializable;
import java.util.Collection;
import java.util.HashSet;
import java.util.Set;
import java.util.concurrent.TimeUnit;

import org.apache.shiro.session.Session;
import org.apache.shiro.session.UnknownSessionException;
import org.apache.shiro.session.mgt.eis.AbstractSessionDAO;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.serializer.StringRedisSerializer;


/**
 * 重写了shiro的sessionDao,可以用于redis全局共享session
 * @author Mr.Tao
 *
 */
public class RedisSessionDao extends AbstractSessionDAO {
    // Session超时时间,单位为毫秒
    private long expireTime = 120000;
    private static final String KEY_PREFIX = "shiro_session:";
    private RedisTemplate<String,Session> redisTemplate;
    
    public RedisSessionDao() {
        super();
    }

    public RedisSessionDao(long expireTime, RedisTemplate<String,Session> redisTemplate) {
        super();
        this.expireTime = expireTime;
        StringRedisSerializer stringSerializer = new StringRedisSerializer();
        redisTemplate.setKeySerializer(stringSerializer);
        this.redisTemplate = redisTemplate;
    }

    @Override 
    public void update(Session session) throws UnknownSessionException {
        if (session == null || session.getId() == null) {
            return;
        }
        session.setTimeout(expireTime);
        redisTemplate.opsForValue().set(getKey(session.getId()), session, expireTime, TimeUnit.MILLISECONDS);
    }

    @Override // 删除session
    public void delete(Session session) {
        if (null == session) {
            return;
        }
        redisTemplate.opsForValue().getOperations().delete(getKey(session.getId()));
    }

    @Override
    public Collection<Session> getActiveSessions() {
        Set<String> keys = redisTemplate.keys(KEY_PREFIX+"*");
        Set<Session> sessions = new HashSet<Session>(keys.size());
        for (Serializable key : keys) {
            sessions.add(redisTemplate.opsForValue().get(key));
        }
        return sessions;
    }

    @Override // 加入session
    protected Serializable doCreate(Session session) {
        Serializable sessionId = this.generateSessionId(session);
        this.assignSessionId(session, sessionId);
        redisTemplate.opsForValue().set(getKey(session.getId()), session, expireTime, TimeUnit.MILLISECONDS);
        return sessionId;
    }

    @Override // 读取session
    protected Session doReadSession(Serializable sessionId) {
        if (sessionId == null) {
            return null;
        }
        Session session = redisTemplate.opsForValue().get(getKey(sessionId));
        return session;
    }
    
    private String getKey(Serializable sessionId) {
        return KEY_PREFIX + sessionId;
    }

}

这样做了以后可以共享session,但是统计活跃session的时候出了问题,活跃session里面拿到的不是最新的user身份信息。问题复现如下:

在登录完成后以后,存入到Redis里面的session的信息:

{
  "lastAccessTime": 1607589832072,
  "expired": false,
  "host": "127.0.0.1",
  "attributes": {
    "org.apache.shiro.subject.support.DefaultSubjectContext_AUTHENTICATED_SESSION_KEY": true,
    "org.apache.shiro.subject.support.DefaultSubjectContext_PRINCIPALS_SESSION_KEY": [
      {
        "lastChgPwdTime": 1606891249000,
        "lastLoginTime": 1607589548000,
        "loginId": 222,
        "loginCode": "ceshi",
        "staffName": "测试",
        "staffId": 10208
      }
    ]
  },
  "id": "4f097d02-624f-43c4-9333-3777dee638b1",
  "startTimestamp": 1607589832072,
  "timeout": 900000
}

然后我重新去set了user的ip信息。

LoginController.java

        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(req.getUserName(), req.getPassword());
        try {
            subject.login(token);
            User user = (User)subject.getPrincipal();
            log.info("用户{}登陆成功", user.getStaffName());
            String loginIp = HttpUtil.getIpAddress(request);
            // 写入用户登录IP
            user.setLoginIp(loginIp);
            // 在这里重新去更新身份信息
            UserUtil.setUser(user);
        } catch (IncorrectCredentialsException e) {
            // 密码错误,记录当日错误次数
        } catch (LockedAccountException e) {
            // 账号被锁定
        } catch (Exception e) {
            // 其他异常
        }

 

并且更新了身份信息,更新身份信息的代码是网上找的,如下:

UserUtil.java

	    public static void setUser(User userInfo) {
	        Subject subject = SecurityUtils.getSubject();
	        PrincipalCollection principals = subject.getPrincipals();
	        //realName认证信息的key,对应的value就是认证的user对象
	        String realName= principals.getRealmNames().iterator().next();
	        //创建一个PrincipalCollection对象,userInfo是更新后的user对象
	        PrincipalCollection newPrincipalCollection = new SimplePrincipalCollection(userInfo, realName);
	        //调用subject的runAs方法,把新的PrincipalCollection放到session里面
	        subject.runAs(newPrincipalCollection);
	    }

问题就在这里,用这种方法更新了身份信息后,session的信息如下:

{
  "lastAccessTime": 1607589832072,
  "expired": false,
  "host": "127.0.0.1",
  "attributes": {
    "org.apache.shiro.subject.support.DelegatingSubject.RUN_AS_PRINCIPALS_SESSION_KEY": [
      [
        {
          "lastChgPwdTime": 1606891249000,
          "lastLoginTime": 1607589548000,
          "loginId": 222,
          "loginIp": "127.0.1.1",
          "loginCode": "ceshi",
          "staffName": "测试",
          "staffId": 10208
        }
      ]
    ],
    "org.apache.shiro.subject.support.DefaultSubjectContext_AUTHENTICATED_SESSION_KEY": true,
    "org.apache.shiro.subject.support.DefaultSubjectContext_PRINCIPALS_SESSION_KEY": [
      {
        "lastChgPwdTime": 1606891249000,
        "lastLoginTime": 1607589548000,
        "loginId": 222,
        "loginCode": "ceshi",
        "staffName": "测试",
        "staffId": 10208
      }
    ]
  },
  "id": "4f097d02-624f-43c4-9333-3777dee638b1",
  "startTimestamp": 1607589832072,
  "timeout": 900000
}

可以看到虽然身份信息已经更新进去了,但是更新以后新加了一个key,叫做org.apache.shiro.subject.support.DelegatingSubject.RUN_AS_PRINCIPALS_SESSION_KEY并且该元素是一个身份信息的集合对象,而这个跟我们之前的身份信息org.apache.shiro.subject.support.DelegatingSubject.RUN_AS_PRINCIPALS_SESSION_KEY并不是一个key,使用这种方法去更新身份信息会导致统计活跃session失效。

统计活跃session的代码如下

public static List<User> getOnlineUsers(){ 
        DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager();
        DefaultWebSessionManager sessionManager = (DefaultWebSessionManager) securityManager.getSessionManager();
        Collection<Session> sessions = sessionManager.getSessionDAO().getActiveSessions();
        List<User> users = new ArrayList<>();
        for (Session session : sessions) {
            // 判断用是否登录
            SimplePrincipalCollection simplePrincipalCollection = (SimplePrincipalCollection) session
                    .getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY);
            if (simplePrincipalCollection != null) {
                User user = (User) simplePrincipalCollection.getPrimaryPrincipal();
                users.add(user);
            }
        }
        return users;
}

这里主要是从session里面去取用户信息,这里用的key为DefaultSubjectContext.PRINCIPALS_SESSION_KEY,这个常量的值为org.apache.shiro.subject.support.DelegatingSubject.RUN_AS_PRINCIPALS_SESSION_KEY而非使用subject.runAs方法所更新的key。

通过追踪源码可以发现

Subject实现类DelegatingSubject的getPrincipal方法关键代码如下:

DelegatingSubject.class

    /**
     * @see Subject#getPrincipal()
     */
    public Object getPrincipal() {
        return getPrimaryPrincipal(getPrincipals());
    }

    public PrincipalCollection getPrincipals() {
        List<PrincipalCollection> runAsPrincipals = getRunAsPrincipalsStack();
        return CollectionUtils.isEmpty(runAsPrincipals) ? this.principals : runAsPrincipals.get(0);
    }

    @SuppressWarnings("unchecked")
    private List<PrincipalCollection> getRunAsPrincipalsStack() {
        Session session = getSession(false);
        if (session != null) {
            return (List<PrincipalCollection>) session.getAttribute(RUN_AS_PRINCIPALS_SESSION_KEY);
        }
        return null;
    }

这里是优先通过RUN_AS_PRINCIPALS_SESSION_KEY去拿subject.runAs方法存储的元素,如果没有获取到,才会用PRINCIPALS_SESSION_KEY里的身份信息。所以一旦调用了subject.runAs方法后PRINCIPALS_SESSION_KEY里面的信息就等于无效了。而RUN_AS_PRINCIPALS_SESSION_KEY是DelegatingSubject类私有的常量,我们并不能通过去更换key来获取身份信息。

解决的方法是在更新身份信息的时候,不能调用subject.runAs,直接通过session去更新PRINCIPALS_SESSION_KEY里面的身份信息,解决代码如下:

	    public static void setUser(User userInfo) {
	        Subject subject = SecurityUtils.getSubject();
	        PrincipalCollection principals = subject.getPrincipals();
	        //realName认证信息的key,对应的value就是认证的user对象
	        String realName= principals.getRealmNames().iterator().next();
	        //创建一个PrincipalCollection对象,userInfo是更新后的user对象
	        PrincipalCollection newPrincipalCollection = new SimplePrincipalCollection(userInfo, realName);
	        //调用subject的runAs方法,把新的PrincipalCollection放到session里面
	        subject.getSession().setAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY, newPrincipalCollection);
	    }

 

 

 

a3538333
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot update数据_spring boot + shiro 动态更新用户信息
weixin_33474104的博客
12-30 612
spring boot + shiro 动态更新用户信息场景用户A在线,管理员在后台更改了用户A信息(资料或权限)之后;用户A再进行下一步操作时,会被拦截并退出登录状态,再登录才可以执行操作;来确保用户A的信息同步更新。后台权限管理系统技术实现20200808新版本更新版本升级及内容优化版本,改动内容:版本更新springboot从1.5+升级到2.1+;权限缓存使用redis;验证码使用red...
会话标识未更新问题
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示未更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识未更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还未登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
SpringBoot学习:整合shiro(rememberMe记住我后自动登录session失效解决办法)
weixin_30423977的博客
04-09 371
项目下载地址:http://download.csdn.NET/detail/aqsunkai/9805821 定义一个拦截器,判断用户是通过记住我登录时,查询数据库后台自动登录,同时把用户放入session中。 配置拦截器也很简单,Spring 为此提供了基础类WebMvcConfigurerAdapter ,我们只需要重写addInterceptors 方法添加注册拦截器。 实现自定...
shiro缓存后更新用户权限实现刷新缓存
Leezed525的博客
01-09 1713
背景 首先我通过shiro-redis整合包实现了shiro的缓存,但是我突然想到了一个问题,如果缓存了AuthorizationInfo(权限信息)的话,如果管理员修改了他的权限,那样在缓存里并不会变,这是一个问题 解决思路 百度了许久我发现大多数用的都是realm中的clearCachedAuthorizationInfo方法,但是这个好像只能刷新操作用户自身的权限,再左思右想之下,决定采用最笨的办法,手写一个刷新缓存的方法 首先我的权限信息是用户 对应多个角色,角色对应多个权限,但是我并没有想着刷新权
shiro用户信息自动更新并删除授权缓存
wangzibai的博客
05-16 1760
shiro用户信息自动更新并删除授权缓存 业务场景 一个权限管理系统下需要切换系统空间,此时需要更新登录用户在不同空间下的用户信息。 一个用户在一个空间下会拥有特定的功能权限,因此切换空间的动作会引起当前登录用户功能权限变更。 思路 通过shiro框架进行登录用户权限管理 每个登录用户在shiro中都使用Subject来标识 根据subject获取principal 将principal反序列化为存储用户信息的POJO对象 修改对象中的某项参数达成更新不同空间下用户信息的需求 删除用户之前的授权缓存,让下
shiro获取登陆用户和修改用户信息的方法
热门推荐
u012954380的博客
07-04 2万+
系统中使用shrio登录后获取当前登陆的用户很简单 只需要一句代码 这是在session中获取当前登陆的用户信息。 Parent parent = (Parent) SecurityUtils.getSubject().getPrincipal(); 这段代码在系统中任何地方都可以使用,但是由于是在session中获取的,如果说用户修改了用户的个人信息,会发现明明数据库已经修改成功了,但是...
springboot +shiro+redis实现session共享(方案二)1
08-08
"Spring Boot + Shiro + Redis 实现 Session 共享方案二" 1. 概述 本文档旨在介绍如何使用 Spring Boot、ShiroRedis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 ...
springboot+shiro+redis整合
03-12
SpringBootShiroRedis整合,主要目的是利用Shiro进行用户认证和授权,而Redis作为Session共享存储,解决分布式环境下的会话一致性问题。以下是整合步骤: 1. **引入依赖**:在SpringBoot的pom.xml文件中...
基于springboot+mybatis+shiro+redis+vue构建的前后端分离的企业通用办公管理系统,特别适合个人学习
06-16
基于 springboot+mybatis_+shiro + redis+activiti+quarts+quartz+vue 写的一个前后分离办公企业管理系统 ,通用服务端,用于学习。 使用技术 服务端: springboot(2.2.1) + mybatis-push + shiro(1.4.0) + redis +...
基于SpringBoot+Spring+SpringMvc+Mybatis+Shiro+Redis 开发单点登录管理系统源码
06-19
基于 SpringBoot + Spring + SpringMvc + Mybatis + Shiro+ Redis 开发单点登录管理系统 基于 SpringBoot + Spring + SpringMvc + Mybatis + Shiro+ Redis 开发单点登录管理系统 基于 SpringBoot + Spring + ...
springboot+shiro+redis
05-23
springboot+shiro+redis+druid+mybatis+swagger+thymeleaf,实现了druid数据源监控,统一异常处理,redis缓存session实现session共享,shiro权限控制的后台项目。本人不会写前端页面,项目页面复制于码云开源项目,...
shiro使用reids缓存session 踩坑 (已解决)
reol44的博客
03-19 606
shiro使用redis存储session
参考shiro session设置了过期时间不起作用、无效,出现Redis session expire time: xxxx is less than Session timeout:xxx
yarcl的程序之家
11-02 3468
在开发过程中出现Redis session expire time: xxxx is less than Session timeout:xxx这种问题,虽然不影响功能的使用,但是对于有洁癖的人来说还是有点受不了的。 可以参考如下的内容: https://blog.csdn.net/wangjun5159/article/details/89875746?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnP
shiro session设置了过期时间不起作用、无效
wangjun5159的专栏
05-07 1万+
背景知识 shiro的sesssion由sessionmanager管理,所以这里有必要介绍一下sessionmanager,shiro常用的sessionmanager有ServletContainerSessionManager、DefaultWebSessionManager。 servlet容器管理session 设置为ServletContainerSessionManager时,...
shiro + redis session过期时间不符合预期,提前过期
浪丶荡
12-20 4651
shiro + redis session过期时间不符合预期,提前过期 redis的过期时间设置的是8小时,如下 /** * 配置shiro redisManager * 使用的是shiro-redis开源插件 * * @return */ public RedisManager redisManager() { Red...
Springboot整合Shiro后对登录session超时自动跳转登录页、异地登录提醒、权限控制的使用
weixin_44825912的博客
03-30 3752
Springboot整合shiro、thymeleaf后对登录超时、异地提醒、权限控制的使用。
shiro-根据JSESSIONID获取用户信息和判断是否登陆
会写Bug的攻城狮
04-11 798
shiro-根据JSESSIONID获取用户信息和判断是否登陆
Shiro处理简单的身份验证的分析及实例
懒人的博客
03-02 9538
在两天在看Shiro,开涛兄的教程还是写的比较易读,差不多看了一天吧,就准备拿来用了。 可能是想的太简单了,在用的时候确实碰到一些问题,就拿最简单的身份验证来说吧: 需要说明的是,这里是集成在Spring中使用,身份验证我直接使用了Shiro提供的 org.apache.shiro.web.filter.authc.FormAuthenticationFilter 如果url应用了该拦截器,
问题2:shiro配置redis管理session后,每次重新请求重新生成session问题
a151605的博客
04-24 8568
使用shiro时,配置了redis缓存session,但是每次请求,包括刷新页面都会在redis中重新保存一个session,后来发现是cookie设置的domian问题,导致每次请求域名不同,后台会自动重新生成session.@Bean(name="sessionIdCookie") public SimpleCookie sessionIdCookie(){ //coo...
springboot+shiro+jwt+redis
最新发布
08-18
Shiro是一个强大且灵活的开源Java安全框架,提供了身份验证、授权、加密和会话管理等功能,用于保护应用程序的安全。它采用插件化的设计,支持与Spring等常用框架的无缝集成,使开发者能够轻松地在应用程序中添加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值