Shiro 自己实现登录后重新生成sessionid

最新推荐文章于 2023-03-10 15:16:54 发布
最新推荐文章于 2023-03-10 15:16:54 发布
阅读量2.2w 收藏 12
点赞数 3
分类专栏: jsesion Java Java Web shiro 文章标签: Shiro jsession fixation
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cloud_ll/article/details/43604547
版权
本文介绍了在Shiro安全框架中遇到的登录后不生成新Jessionid的问题,该问题可能导致Session Fixation。虽然Shiro计划在1.3版本修复,但目前可以仿照Spring Security手动实现session的更新。通过继承AuthenticatingFilter并覆盖executeLogin方法,可以在用户登录后复制session数据到新的session,从而避免Session Fixation风险。
摘要由CSDN通过智能技术生成

Shiro Security是非常不错的Security框架,我们系统在使用过程中发现Shiro在登录之后不会生成新的Jessionid。这显然会出现Session_Fixation。Shiro自己说会在下一个版本1.3 fix这个问题,在这之前只能学Spring Security来实现重新生成Session。其实简单就是在登陆之后把session数据复制一份到新的session。

Shiro中要做到这一点可以通过实现可以通过继承org.apache.shiro.web.filter.authc.AuthenticatingFilter (一般是继承AuthenticatingFilter的子类FormAuthenticationFilter),重写executeLogin方法就可以了。

 protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        AuthenticationToken token = createToken(request, response);
        if (token == null) {
            String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken "</
最低0.47元/天 解锁文章
开心的D哥
关注
专栏目录
我的shiro之旅: 六 自定义shirosessionId
Dylan的博文
09-27 1万+
博客已移至 http://blog.gogl.top   shiro有自己的sesison概念,shirosession并不是java ee的session。通常,我们看到shirosessionId格式类似c6395bbc-425d-43b3-a444-04fee5a92e95,是因为shiro产生sesisonId是通过UUID生成的。我们可以看到shiro-core-xx.jar的o...
rememberMe
chengxiesuan0485的博客
04-30 215
session shiro提供的session不依赖web容器,可以直接使用,如果是在web环境下,session中的数据和httpsession中的数据是通的。Shiro中的session可以出现在任何地方,例如service、dao等,不需要从controller中传递session参数,...
shiro 每次请求都会新建会话,创建session
西门吹吹吹雪
09-03 1万+
在Servlet容器中,默认使用JSESSIONID Cookie维护会话 如下配置了domain [html] view plain copy bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">            当跳出SHIRO S
记一次sessionId登陆后变化问题
weixin_43275523的博客
11-03 455
由于是偶发情况,查找特别麻烦,经过一天的查找问题,终于定位到问题了,登陆页面有好几个字体路径是404,把样式内的字体删掉问题就解决了。系统用的spring+shiro+mybatis,偶尔登陆之后要么闪退,要么进去首页后又跳转到登陆页。
shiro+springboot自定义sessionId
袖卷笛音的博客
07-03 7311
shiro中,默认返回的sessionId是uuid或者是random随机的,我们可能需要根据我们的需求进行重写,需要重写sessionId我们只需要写一个类实现SessionIdGenerator中的generateId就行 1.自定义sessionId生成 自定义CustomSessionIdGenerator实现SessionIdGenerator接口,重写generateId(...
Shirosession id 变化很快,导致验证码过期,用不了
wilsonke的专栏
03-10 3416
今天,以shiro做一个项目研究,发现shirosession id变化很快,查了很久,结果在网上发现了一个说法: &lt;bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"&gt; &lt;property name="sessionDAO" ...
shiro 修改sessionid_Shiro会话管理
weixin_39953236的博客
11-20 1055
Shiro提供了一个完整的企业级会话管理解决方案,不再依赖web容器。可以在web和非web环境下使用。1、Shiro会话管理的特性(1)会话事件监听:提供对对session整个生命周期的监听。 (2) 会话存储/持久化:因为shiro中的session对象是基于java对象的,所以可以将session存储在任何地方,例如,文件,各种数据库,内存中等。(...
Shiro自定义获取sessionid的方式
最新发布
qq_45644484的博客
03-10 1697
一、创建一个自定义的session管理类,继承shiro默认的session管理类(DefaultWebSessionManger),重写getSessionId()方法,token为自定义请求头,值传的是sessionid。二、在Shiro配置类中创建一个返回安全管理器SecurityManager的bean方法,并设置session管理器为自定义的session管理器。
shiro 多项目登录访问共享session
mingming_vip的专栏
10-23 1747
需求: 两个项目,主项目A,子项目B,两个项目各自由shiro 安全框架管理,当不能登录时,都无法访问,但当登录了其中一个,再访问另一个的时候不再需要登录即可访问 解决办法:多项目通过redis共享session 1.项目都添加redis 依赖 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&...
shiro自动登录session失效解决办法(1详解)不用缓存
weixin_42886104的博客
04-15 9872
这是一个困扰了我一周的问题,几乎找遍了全网,也没有找到合适的解决办法,问题的难度在于,不使用任何缓存技术,实现以下问题。 1、当用户登录时,使用shiro rememberme,加密保存cookie 到本地。 2、当用户再次登录时是自动登录状态,但是这时候是没有session的,这里就要解决session的问题。 这里用到的是idea项目:springboot+shiro 文件目录:...
会话标识未更新问题
热门推荐
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示未更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识未更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还未登录时,就已经产生了一个session,用户输入信息,登录以后session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
【笔记】关于我不喜欢Shiro生成默认Cookie是JSESSIONID,我想修改为其他key的哪些事
深渊码头
01-27 1058
修改Shiro默认Cookie是JSESSIONID,修改JSESSIONID为其他名称
shiro学习随笔【五】自定义生成会话ID--SessionIdGenerator
OceanSky的专栏
09-30 1万+
一、shiroSessionDAO实现使用SessionIdGenerator接口自动的生成会话session ID;   二、SessionIdGenerator的具体实现类是JavaUuidSessionIdGenerator,生成会话ID的方法如下:   public Serializable generateId(Session session) { return UUI...
java shiro 存memcache_shiro用memcache管理session频繁读取和更新session的问题
weixin_42231590的博客
02-26 287
项目开发用到shiro来管理用户的权限,用memcache的超时机制来管理shirosession.但是发现在运行项目的时候,访问一个页面控制台会打出很多读取和更新session的日志内容。在通过测试之后发现一次访问shiro自身会去读取和更新多次session。这样如果用户多了memcache的压力会比较大。所以就思考怎么样能够减少对memcache的访问。自己看了一下shiro的源码,只要请...
Shiro关于session时间刷新规则重写,变更调用touch()逻辑,shiro可不刷新session
z362249834的博客
12-30 2396
Shiro关于session时间刷新规则重写 为了迎合代码需求,前端需要对后台做轮训请求,于是遇到一个问题:由于每次请求shiro会对session做LastAccessTime时间更新,则导致用户只要浏览器保持页面,session将永远无法失效,那关于30分钟失效时间在这种场景下就不再有意义,所以我们需要做是的指定接口请求时不再刷新session时间,保证用户静默时能在理论失效时间后自动登出系统。 实际需求 指定请求路径,依旧会过shiro鉴权、有效判断,但不会刷新当前session时间。 源码分析 首先
shiro 删除用户session_Shiro Session管理——操作session
weixin_28687251的博客
01-14 1155
整体框架介绍image.png我们可以看到这个框架图,我们的整个交互都是与security Manager做交互,而这里面就有一个Session Manager的管理器,Shiro当然内置了实现,我们也可以根据接口拓展其功能,那么下面,我们就来了解一下shiro中关于Session管理的部分内容DefaultWebSessionManager这是一个管理器实现类,是shiro提供的可用的结构。im...
解决Shiro频繁访问Redis读取和更新session(十二)
Doge的技术小屋
11-10 884
原文:https://blog.csdn.net/qq_34021712/article/details/80791339 该博客是接着上一篇博客: Shiro使用redis作为缓存(解决shiro频繁访问Redis) 请将两篇博客同时打开,方便查看。 前言 关于shiro频繁访问redis,共分为两种,一种是频繁的去redis读取session , 一种是频繁的去更新redis 中的session,针对两种不同情况,分别写出解决方案。 频繁读取session解决有两种方案: 第一种方案:本地缓存 上面的R
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值