注销登陆 清除缓存session CAS shiro redis

最新推荐文章于 2023-01-12 22:27:00 发布
VIP文章 最新推荐文章于 2023-01-12 22:27:00 发布
阅读量2.6k 收藏 3
点赞数
分类专栏: spring-session SpringBoot redis 文章标签: session springboot cas shiro 注销
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bw1023627606/article/details/102974706
版权

内嵌系统注销,session统一注销,redis管理,单机与集群


     在项目中遇到了这么一个问题,在这里记录当时解决的方式
    出现的问题:系统内嵌系统,当时外系统注销用户后发现内嵌iframe的另一个系统没有退出登录,缓存仍然在,依然可以使用用户身份访问,外系统登陆另一个用户账号时,内嵌系统任然是上一次或第一次登陆的用户信息,导致用户信息不匹配和其它操作的漏洞。

    调试很多次,发现问题出在由于外系统和内嵌系统session不是一个session,没有做session共享注销时CAS会通知外系统下的所有子系统退出,由于内嵌系统session没有清除而致。

    解决过程:
配置文件:地址根据自己项目配置

# spring.redis
spring.redis.cluster.nodes=localhost:7001,localhost:7002,localhost:7003,localhost:7004,localhost:7005,localhost:7006
spring.redis.pool.max-active=300
spring.redis.database=0
spring.redis.pool.max-wait=-1
spring.redis.pool.max-idle=100
spring.redis.pool.min-idle=20
spring.redis.timeout=60000

# redis session
spring.session.store-type=redis
# spring.cas
spring.cas.cas-server-login-url = https://localhost:7443/cas/login
spring.cas.cas-server-url-prefix = https://localhost:7443/cas
spring.cas.server-name = http://localhost/web/index
shiro-cas.casServerUrlPrefix = https://local:7443/cas
shiro-cas.casLoginUrl = ${shiro-cas.casServerUrlPrefix}/login
shiro-cas.casLogoutUrl = ${shiro-cas.casServerUrlPrefix}/logout
shiro-cas.shiroServerUrlPrefix = 内嵌的地址
shiro-cas.casFilterUrlPattern = /cas
shiro-cas.logout = ${shiro-cas.shiroServerUrlPrefix}/logout
shiro-cas.logoutFilter = /logout
shiro-cas.loginUrl = ${shiro-cas.casLoginUrl}?service=${shiro-cas.shiroServerUrlPrefix}${shiro-cas.casFilterUrlPattern}
shiro-cas.logoutUrl = ${shiro-cas.casLogoutUrl}?service=${shiro-cas.casLoginUrl}?service=${shiro-cas.shiroServerUrlPrefix}${shiro-cas.casFilterUrlPattern}

原项目没接Shiro,只用CAS做单点,修改后,将cas的配置注释掉

//@Configuration
public class CasConfig {

重新使用shiro-cas。
pom文件 注释cas-client-core,新加shiro-spring,shiro-ehcache,shiro-cas

 <!--cas -->
        <!--<dependency>-->
            <!--<groupId>org.jasig.cas.client</groupId>-->
            <!--<artifactId>cas-client-core</artifactId>-->
            <!--<version>3.4.1</version>-->
        <!--</dependency>-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.2.4</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.2.4</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-cas</artifactId>
            <version>1.2.4</version>
        </dependency>

配置类:
1.CasShiroConfig CasShiro的配置文件,常用配置,以及拦截的请求规则

package com.demo;

import org.apache.shiro.cas.CasFilter;
import org.apache.shiro.cas.CasSubjectFactory;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.jasig.cas.client.session.SingleSignOutHttpSessionListener;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.boot.web.servlet.ServletListenerRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.filter.DelegatingFilterProxy;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 *FILE : CasShiroConfig
 *DATE : 
 *AUTHOR 
 */

@Configuration
public class CasShiroConfig {
   

    @Autowired
    ShrioCasAutoconfig autoconfig;

    private String casFilterName = "casFilter";




    @Bean
    public MyShiroCasRealm myShiroCasRealm() {
   
        MyShiroCasRealm realm = new MyShiroCasRealm();

        realm.setCasServerUrlPrefix(autoconfig.getCasServerUrlPrefix());
        /**客户端回调地址**/
        realm.setCasService(autoconfig.getShiroServerUrlPrefix() + autoconfig.getCasFilterUrlPattern());
        return realm;
    }

    /**
     * 注册单点登出listener
     * @return
     */
    @SuppressWarnings({
    "rawtypes", "unchecked" })
    @Bean
    public ServletListenerRegistrationBean singleSignOutHttpSessionListener(){
   
        ServletListenerRegistrationBean bean = new ServletListenerRegistrationBean();
        bean.setListener(new SingleSignOutHttpSessionListener());
        bean.setEnabled(true);
        return bean;
    }

    /**
     * 注册单点登出filter
     * @return
     */
    @Bean
    public FilterRegistrationBean singleSignOutFilter(){
   
        FilterRegistrationBean bean = new FilterRegistrationBean();
        bean.setName("singleSignOutFilter");
        bean.setFilter(new SingleSignOutFilterExt());
        bean.addUrlPatterns("/*");
//        bean.setOrder(Ordered.HIGHEST_PRECEDENCE);
        bean.setEnabled(true);

        return bean;
    }



    /**
     * 注册DelegatingFilterProxy(Shiro)
     *
     * @return
     * @author
     * @create  
     */
    @Bean
    public FilterRegistrationBean delegatingFilterProxy() {
   
        FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
        filterRegistration.setFilter(new DelegatingFilterProxy("shiroFilter"));
        //  该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理
        filterRegistration.addInitParameter("targetFilterLifecycle", "true");
        filterRegistration.setEnabled(true);
        filterRegistration.addUrlPatterns("/*");
//        filterRegistration.setOrder(Integer.MAX_VALUE-10);
        return filterRegistration;
    }


    @Bean(name = "lifecycleBeanPostProcessor")
    public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
   
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
   
        DefaultAdvisorAutoProxyCreator daap = new DefaultAdvisorAutoProxyCreator();
        daap.setProxyTargetClass(true);
        return daap;
    }

    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(MyShiroCasRealm myShiroCasRealm) {
   
        DefaultWebSecurityManager dwsm = new DefaultWebSecurityManager();
        dwsm.setRealm(myShiroCasRealm);
        dwsm.setSubjectFactory(new CasSubjectFactory());
        return dwsm;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor getAuthorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager)
最低0.47元/天 解锁文章
小白菜的学习日记
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot+shiro+cas+redis+mybatis+thymeleaf 集成开发框架
01-30
由于项目需要从网上搜集的相关的集成框架,很多都是部分集成,一直没有找到整个流程全部集成好的,所以将集成好的框架分享出来供大家学习。 主要实现SSO、后台RBAC角色认证管理。 下载后需要自行修改配置,项目包内带sql脚本
如何高效的实现logout后清空session
汤姆lazy的CSDN博客
11-23 906
简述   因为一直没有做过登录的持久化,平常退出登录都是直接跳转,也不管sessionsession,所以今天在考虑这个操作的时候,是打算通过js直接控制的;研究了一会儿,想通过数据库中存储一个状态值进行控制,但是又感觉太麻烦,然后突然想到可以通过跳转链接到登录页,然后直接在登录页中删除session,方便又快捷,故记录之。 实现 退出链接 <li> <a href="../login.jsp" class="logout"><i class="iconfont ic
SpringBoot:web项目的细节
qq_51476114的博客
01-03 777
目录 DAO层模拟数据库 设置拦截器 前端代码的抽取复用 thymeleaf的实际应用 if三元关系表达式的使用 #dates的使用 th:href 带有参数的形式 springboot 404页面的设置 用户注销 表单:日期数据上传 DAO层模拟数据库 使用map集合存储即可,增删改查均是对map的操作 @Repository public class departemtDao { private static Map<Integer, department&
Spring Security框架中踢人下线技术探索
八一菜刀的专栏
04-20 1691
1.背景 在某次项目的开发中,使用到了Spring Security权限框架进行后端权限开发的权限校验,底层集成Spring Session组件,非常方便的集成Redis进行分布式Session的会话集群部署。系统正式上线后,各个部署节点能够非常方便的进行集群部署,用户Session会话信息全部保存在Redis中间件库中,开发者不用关心具体的实现,Spring Session组件已经全部集成好了。 但是在系统的用户管理模块中,提供了对系统用户账号的删除功能以及禁用功能,针对这两个功能,需求方给出的具体要求
CAS退出问题
海浪博客|技术|游戏|生活|随心
08-20 2947
CAS 3.5.2.1 版本 退出的解决方法: 1.将
基于 CAS 实现通用的单点登录解决方案(三):用户单点退出实现
qq_32421489的博客
12-26 1548
原理概述 基于 CAS 单点登录系统的退出主要包含两个部分: CAS 客户端应用的退出 CAS 服务端退出登录状态 我们在 CAS 客户端应用退出后将页面重定向到服务端退出登录状态,然后通过传递过去的回跳地址跳转回客户端应用退出后跳转页面。当然,此时通过单点登录的其它客户端系统还是处于登录状态的,需要等到对应 Session 过期后才能退出,因为我们使用的 CAS 扩展包是基于 PHP 自带的 Session 实现的登录操作,生成的用于存储 Session ID 的 Cookie 完全是随机的,跟..
springboot +shiro+redis实现session共享(方案二)1
08-08
springboot +shiro+redis实现session共享(方案二)1
spring boot整合redis实现shiro的分布式session共享的方法
08-28
本篇文章主要介绍了spring boot整合redis实现shiro的分布式session共享的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot整合shiroredis缓存session
02-09
为实现Web应用的分布式集群部署,要解决登录session的统一。本文利用shiro做权限控制,redissession存储,结合spring boot快速配置实现session共享。
Shiro+Redis实现登陆账号锁定功能
最新发布
04-01
Tips:默认条件下,若同一账户的密码连续输错五次,该账户将被自动锁定,无法进行登录。锁定将持续十分钟后自动解除。
springboot】退出后清除session的内容并让session失效
zx874561的博客
03-16 1万+
https://blog.csdn.net/s740556472/article/details/71275328 @RequestMapping("/logout") public String logout(HttpSession session, SessionStatus sessionStatus){ session.invalidate(); sessionStat...
CAS5.2x单点登录(九)---------cas服务端的退出源码解析以及客户端保存session及销毁session源码的解析
java线程池
05-06 4026
上一节已经说了如何解决cas客户端集群的单点退出的方法,但是由于大家对源码还不够了解,所以没有写代码上去,而我们这篇博客就是基于上篇来进一步讲解。 cas服务端的退出源码: 首先我们要找到这个jar包,因为我们是基于maven来管理这些包的,所以可以找到如下的这个包cas-server-core-logout,然后打开这个目录结构是如下所示的结构 我们一看代码并不是很多,就这区区几行,那...
spring boot项目之登出删除缓存sessionredis和cookies
weixin_30725467的博客
09-17 2721
一、从request中读出cookies集合,然后封装成map,为的是能够直接通过name得到相应的cookie即get方法 public static Cookie get(HttpServletRequest request, String name) { Map<String, Cookie> cookieMap = rea...
spring boot之session的创建,销毁,超时,监听等等小结
热门推荐
east123321的博客
01-25 6万+
一、 session简介 1. 服务器可以为每个用户浏览器创建一个会话对象(session对象),一个浏览器只能产生一个session,当新建一个窗口访问服务器时,还是原来的那个sessionsession中默认保存的是当前用户的信息。因此,在需要保存其他用户数据时,我们可以自己给session添加属性。session(会话)可以看为是一种标识,通过带session的请求,可以让服务器知道是谁
spring boot——请求与参数校验——cookie&session——httpsession对象的获取&共享数据...
小白龙白龙马的博客
01-12 286
package org.example.controller; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; import javax.servlet.http.Cookie;...
强制登出所有用户,每次升级之前强制用户重新登录No SecurityManager accessible to the calling code, either bound to the org.ap
java技术专家全栈成长之路
01-07 2232
异常信息: 2021-01-07 09:39:16.299|ERROR|main|212|c.h.j.rpc.t2.util.ServiceDefinitionUtil :解析接口方法异常: method:queryTagsByCategory 2021-01-07 09:39:16.332|ERROR|main|212|c.h.j.rpc.t2.util.ServiceDefinitionUtil :解析接口方法异常: method:queryTagsByTagValue 2021-01-07 09:
shiro整合ehCache,清除认证缓存
Seven_0110的博客
01-05 1374
清除当前用户shiro认证缓存(已验证) //修改成功后清除缓存 DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager)SecurityUtils.getSecurityManager(); ShiroRealm shiroRealm = (ShiroRealm) securityManager.getRealms().iterator().next(); // shiroRealm.clearAllCache();
如何清除(登录)缓存
weixin_56348428的博客
10-25 647
如何清除(登录)缓存
springboot + shiro 配置 ehcache 缓存
快乐的小三菊的博客
05-26 2126
账号登录,第一次访问,查看控制台,有日志输出,如下所示,下面只截取了一部分的日志输出,再次访问将不再打印输出,证明缓存生效了。1、用两个浏览器分别用不同的用户登录到系统中,然后刷新界面,我们发现,无论怎么刷新,都不用有日志输出,因为此时查询的时缓存。方法,然后再刷新界面,我们发现此时后台有日志输出,即查询的数据是数据库里面的数据。方法,然后再刷新界面,我们发现此时后台有日志输出,即查询的数据是数据库里面的数据。中添加如下方法用于清除缓存,在添加或者删除权限的时候,都需要清除缓存。,并将缓存管理器添加到。
shiro redis缓存
05-27
Shiro提供了一个可扩展的缓存机制,可以将缓存存储到各种数据源中,其中Redis是一种常用的缓存数据源之一。使用Redis作为Shiro缓存数据源可以提高缓存访问速度和效率。 要使用Redis作为Shiro缓存数据源,需要在Shiro配置文件中配置Redis缓存管理器和Redis缓存数据源。具体配置方法可以参考Shiro的官方文档或者其他相关资料。 配置完成后,Shiro会自动将需要缓存的数据存储到Redis中,可以大大提高系统的性能和稳定性。同时,使用Redis作为缓存数据源还可以支持分布式部署,可以实现多个服务器之间的数据共享和同步。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值