Shiro 通过配置Cookie 解决多个二级域名的单点登录问题。

最新推荐文章于 2022-10-11 22:19:01 发布
最新推荐文章于 2022-10-11 22:19:01 发布
阅读量1.8k 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_37366055/article/details/88050661
版权

当前配置只对于相同的 一级域名  ,严格来讲就是相同的主域名,比如sojson.com ,本站用到的有 e.sojson.com  ,ping.sojson.comwww.sojson.com ,但是登录后怎么在其他域下面也是登录的呢?其实这样的结构最容易解决了,把 Session  Cookie  写到.sojson.com 即可,其他的二级、三级域名等等都可以读到这个 Cookie  ,那只要存 Session  信息的库(各种 Cache  )是同一个,就解决了。

那么来说说我的结构,我的 Session  共享是 Shiro  解决的。我开始没注意,还各种惆怅,这咋搞,总不能用个 cas  吧,就一个简单的网站,不至于吧。后来我看了看源码,才发现可以这样来。

我插入代码你就看明白了:

 
  1. <!-- 会话Cookie模板 -->
  2. <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
  3. <constructor-arg value="v_v-s-baidu"/>
  4. <property name="httpOnly" value="true"/>
  5. <property name="maxAge" value="-1"/>
  6. <!-- 配置存储Session Cookie的domain为 一级域名 -->
  7. <property name="domain" value=".sojson.com"/>
  8. </bean>
  9. <!-- custom shiro session listener -->
  10. <bean id="customSessionListener" class="com.sojson.core.shiro.listenter.CustomSessionListener">
  11. <property name="shiroSessionRepository" ref="jedisShiroSessionRepository"/>
  12. </bean>
  13.  
  14. <bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
  15. <constructor-arg value="v_v-re-baidu"/>
  16. <property name="httpOnly" value="true"/>
  17. <!-- 配置存储rememberMe Cookie的domain为 一级域名 -->
  18. <property name="domain" value=".sojson.com"/>
  19. <property name="maxAge" value="2592000"/><!-- 30天 -->
  20. </bean>

关键配置在于2处:

 
  1. <property name="domain" value=".sojson.com"/>

这样已经就OK了。及时是多个项目,只要用的存储 Session  DB( Redis  EHCache  LevelDB Memcache  )是一个即可。

谱写
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro 自定义多sessionIdCookie 配置 重写
z362249834的博客
08-10 3666
关于shiro中sessionId的自定义重写,上篇文章有涉及 通过上次的引入,发现对spring注入机制反而有跟多的理解 所以直接动手撸起袖子开干。   一 需求 首先是我需要做什么,因为一个项目集成两个系统的原因,导致session相互污染,导致登陆或异常登陆session管理混乱。 查找资料其中有人遇到过类似的问题。 &lt;!-- 会话Cookie模板 --&gt;...
Shiro解决多个二级域名单点登录问题
qq_40132161的博客
05-14 1149
在项目中,可能会遇到多个系统同时开发一个项目,这时候项目上线会遇到一个问题,大家都是二级域名,但是shirocookie也在二级域名下,其他系统无法获取,导致无法登录并且无法调用其他系统的接口及数据 我java的域名是 x.soho.cn .net的域名是 Y.soho.cn 然后程序登录的主入口在java里使用的是shiro做权限认证 <!-- 会话Cookie模板 --...
shiro当设置sessionIdCookie配置的domain和访问url不匹配时,每次请求都会重新生成session
热门推荐
zsg88的专栏
06-28 1万+
在Servlet容器中,默认使用JSESSIONID Cookie维护会话 如下配置了domain <!-- 设置Cookie名字, 默认为: JSESSIONID 问题: 与SERVLET容器名冲突, 如JETTY, TOMCAT 等默认JSESSIONID, 当跳出SHIRO SERVLET时如ERROR-PAGE容器会为JSESSIONID重
shiro回话管理
weixin_63544775的博客
08-29 282
?>
前后端分离使用shiro登录认证cookie跨域问题踩坑
gitcat的博客
10-30 3537
基于cookie, session的登录认证一般后端需要将session id保存在cookie中,这样下次请求时浏览器带上cookie,服务器才知道是同一个会话,根据session id取出session中保存的用户信息,以确定用户是否已登录。 在前后端分离模式下,前端一般通过ajax请求向服务器请求数据,但是如果前后端部署在不同的域名下,因为一些安全机制,cookie无法跨域携带,所以如果还想基于cookie, session来实现就要做一些配置以实现cookie可以跨越携带。 ...
shiro学习笔记
最新发布
Weishaolei0818的博客
10-11 234
shiro默认的登录认证是不带加密的,如果要实现加密认证需要自定义登录认证,自定义realm//自定义登入认证方法,shiro的login方法底层会调用该类的认证方法进行认证 //需要配置自定义的Realm生效,在ini文件中配置
shiro实现单点登录(一个用户同一时刻只能在一个地方登录)
09-01
单点登录是一种常见的安全机制,它允许用户在一次登录后访问多个相互关联的应用系统,而无需重新认证。在 Shiro 中,实现单点登录主要是通过控制用户的会话(Session)来完成的。以下是一个简单的步骤概述: 1. **...
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
"spring boot 1.5.4 集成shiro+cas实现单点登录和权限控制" Spring Boot 1.5.4 集成 Shiro+Cas 实现单点登录和权限控制是指在 Spring Boot 应用程序中使用 Shiro 框架和 Cas 服务器来实现单点登录和权限控制的功能...
spring boot整合Shiro实现单点登录的示例代码
08-28
3. 单点登录Shiro 已经为我们实现了和CAS的集成,我们只需要加入集成的一些配置就可以实现单点登录。 三、Spring Boot 整合 Shiro 实现单点登录 要实现 Spring Boot 整合 Shiro 实现单点登录,需要加入以下配置...
shiro+ springMVC + Redis+mysql 实现 单点登录
12-06
"Shiro+SpringMVC+Redis+MySQL实现单点登录"是一个典型的系统安全架构,它整合了多个技术组件来构建一个高效、可靠的单点登录(Single Sign-On, SSO)解决方案。以下是关于这个主题的详细知识点: 1. **Apache ...
关于Apache shiro实现一个账户同一时刻只有一个人登录(shiro 单点登录)
09-15
Shiro 中实现单点登录(Single Sign-On,SSO)是为了确保同一账号在同一时间只能在一个设备或浏览器上保持登录状态,以增强系统的安全性。 在 Shiro 中实现单点登录的核心思路是监控并控制用户的会话(Session)...
shiro会话设置
qq_38930240的博客
01-29 347
一般选用DefaultWebSessionManager DefaultWebSessionManager : 用 于 Web 环境的实 现 , 可 以 替 代ServletContainerSessionManager,自己维护着会话,直接废弃了 Servlet 容器的会话管理。 &lt;!-- 会话ID生成器 --&gt; &lt;bean id="sessionIdGene...
关于不同域名共享cookie问题
IUBKBK的博客
07-14 1万+
项目背景:两个项目之间需要共同的登录信息,域名不相同cookie不能直接传递。 在这里介绍一下cookie: 1.cookie是一个存储在客户端的字符串属性,可以用它对当前网页的cookie进行读,写,增.删等操作;javascript能够用document对象的cookie属性对cookie进行操作; 2.cookie的四个可选属性: 2.1 cookie的生存期属性:expires;默认情况下,cookie只在浏览器会话期存在.退出浏览器就丢失;可以用expires设置时间;退出浏览器后就不会丢失并存为
关于cookie domain中的点前缀
zhangge3663的博客
11-10 1945
今天同事遇到一个问题,大概描述如下: 浏览器已经接收指令,之前在一级域名下存储了相关的信息。这里为了简化问题,假设我们有两个应用A和B,域名分别为:a.b.com和c.a.b.com。(显然B是A的一个子域)。 上面的描述就是:在.b.com这个一级域名下,我们已经成功写入了一个cookie,假设为:b=level1。 在正常用户的浏览行为中,应用A会向自己的域下写入a=level2(domain:a.b.com)。 在A正常的页面中,有些场景会有异步的请求发出到B应用的页面(用于获取数据),合理的
Shiro中的session和cookie
m0_67265464的博客
08-24 1947
注意:在使用SessionListenerAdapter来监听session生命周期时,onStart()方法不能作为用户登陆日志的开始时间节点,因为session的创建是在第一次请求服务器创建的,而不是用户登陆时创建的,所以不要搞混;cookie都是key-value类型的,key的值是可以改变的,这点看下源码就可以知道,存储sessionid的cookie的key的值默认为JSESSIONID.4.此时我们在浏览器看下保存的cookie值,和服务端session的sessionid时一样的。
shiro使用(简单记住我下次自动登录流程)附cookie内容为deleteme的最终解决方法
m0_67394360的博客
08-24 1880
因为cookie是要返回给浏览器,保存在用户的硬盘里的,那么服务器给浏览器传的东西肯定是一个IO文件,既然涉及到IO,肯定涉及到流的操作,既然对象要实现流的input和output,那么肯定要实现serializable接口.看了源码之后才搞清楚,真是汗颜。这几步是顺序执行的,跟着断点走,一直到converPrincipalsToBytes这个方法的this.serialize这个位置,断点跟进去,发现有异常被捕获了,上面的try代码块涉及到了流的相关操作。后台没有任何报错信息。困扰的大问题终于解决
Shiro第十三章-RememberMe和Cookie
海恩的博客
04-30 5912
简介 首先在登录页面选中remember me然后登录成功;如果是浏览器登录,一般会把remember me的cookie写到客户端保存下来; 关闭浏览器再次打开,会发现浏览器还是记住你的; 访问一般的网页服务端还是知道你是谁的,且能正常访问; 但是比如我们访问淘宝时,如果要查看我的订单或进行支付时,还是需要再进行身份验证,以确定当前用户还是你。 remember me...
基于shiro+redis缓存的session共享方案
微小的鱼的博客
11-20 7208
基于shiro+redis缓存的session共享方案   当一个使用shiro开发的项目被定位为单机部署,不需要集群部署时,我们可以不考虑shiro redis集群;然而很多大型项目是需要集群部署的,以应对高并发访问量。 由 redis负责 session 数据的存储和授权信息cache共享,而我们自己实现的 session manager 将负责 session 生命周期的管理。结构示例
shiro 单点登录.docx
06-13
Shiro中实现单点登录的过程可以分为以下几个步骤:首先,在Shiro配置文件中配置CAS过滤器链,定义CAS Filter和CasRealm,并设置CAS Server的地址和验证服务。接下来,在Web项目中添加CAS的客户端依赖,通过Maven...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值