Shiro 自己实现登录后重新生成sessionid

最新推荐文章于 2023-03-10 15:16:54 发布
最新推荐文章于 2023-03-10 15:16:54 发布
阅读量2.2w 收藏 12
点赞数 3
分类专栏: jsesion Java Java Web shiro 文章标签: Shiro jsession fixation
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cloud_ll/article/details/43604547
版权
本文介绍了在Shiro安全框架中遇到的登录后不生成新Jessionid的问题,该问题可能导致Session Fixation。虽然Shiro计划在1.3版本修复,但目前可以仿照Spring Security手动实现session的更新。通过继承AuthenticatingFilter并覆盖executeLogin方法,可以在用户登录后复制session数据到新的session,从而避免Session Fixation风险。
摘要由CSDN通过智能技术生成

Shiro Security是非常不错的Security框架,我们系统在使用过程中发现Shiro在登录之后不会生成新的Jessionid。这显然会出现Session_Fixation。Shiro自己说会在下一个版本1.3 fix这个问题,在这之前只能学Spring Security来实现重新生成Session。其实简单就是在登陆之后把session数据复制一份到新的session。

Shiro中要做到这一点可以通过实现可以通过继承org.apache.shiro.web.filter.authc.AuthenticatingFilter (一般是继承AuthenticatingFilter的子类FormAuthenticationFilter),重写executeLogin方法就可以了。

 protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        AuthenticationToken token = createToken(request, response);
        if (token == null) {
            String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken "</
最低0.47元/天 解锁文章
开心的D哥
关注
专栏目录
shiro管理多登录入口配置,手机端登录与网页端登录
12-20
总的来说,实现"shiro管理多登录入口配置,手机端登录与网页端登录"需要对 Shiro 的 Realm、过滤器和配置有深入理解,以及根据应用场景定制相应的登录验证流程。正确配置后,Shiro 可以有效地管理和保护不同入口的...
【笔记】关于我不喜欢Shiro生成默认Cookie是JSESSIONID,我想修改为其他key的哪些事
深渊码头
01-27 1082
修改Shiro默认Cookie是JSESSIONID,修改JSESSIONID为其他名称
rememberMe
chengxiesuan0485的博客
04-30 221
session shiro提供的session不依赖web容器,可以直接使用,如果是在web环境下,session中的数据和httpsession中的数据是通的。Shiro中的session可以出现在任何地方,例如service、dao等,不需要从controller中传递session参数,...
springboot2.0集成shiro框架
weixin_34321753的博客
03-14 188
为什么80%的码农都做不了架构师?>>> ...
shiro使用(简单sesiion使用)
特别享受思考问题的过程
03-29 540
既然要做,就做的细致一点,对得起自己! 在shiro中配置session,普通思想:配置session的过期时间,session到期之后,要求用户再次发起登录请求。进阶思想:如果用户一直不关闭浏览器,或者过早的关闭了浏览器,那么就要相应的更新session时间和定期清理这些过期session。高级思想:在分布式系统中,如何在多个系统之间做到session的同步。目前最后一步还没有配置。 1.综...
我的shiro之旅: 六 自定义shirosessionId
Dylan的博文
09-27 1万+
博客已移至 http://blog.gogl.top   shiro有自己的sesison概念,shirosession并不是java ee的session。通常,我们看到shirosessionId格式类似c6395bbc-425d-43b3-a444-04fee5a92e95,是因为shiro产生sesisonId是通过UUID生成的。我们可以看到shiro-core-xx.jar的o...
shiro 使用redis 频繁请求获取session的问题
zsg88的专栏
07-07 9781
shiro 框架获取 session里面的属性时,每次都去拿取session,一次请求中会有很多次 获取 session 里面的属性,所以有很多次,这个如果是本地缓存到无所谓,因为本地缓存是直接放置session对象的,但是如果是共享缓存比如 redis ,这个就郁闷了,每次获取session都要从redis 里面获取然后反序列化。操作session属性导致频繁访问redis这个大概是没办法避免了
shirosession中的会话管理
02-06
一种常见做法是在服务间使用相同的sessionIdGenerator,以确保生成sessionID一致。此外,服务间的通信协议(如RESTful API或gRPC)也需要支持传递sessionID,以便其他服务能识别和恢复用户会话。 总之,Apache ...
shiro+redis做session管理
11-20
5. **会话ID生成策略**:Shiro默认使用`SimpleSessionIdGenerator`生成Session ID,但为了安全性,可能需要自定义更复杂的生成策略,确保ID的唯一性和难以预测性。 6. **会话事件监听**:Shiro允许添加`...
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
在这个特定的实现中,采取了不随机生成Session ID的策略,而是选择URL加上用户名作为Session ID。这样做可以确保每个用户的会话ID具有唯一性,并且与用户关联,增强了安全性。同时,这也简化了会话管理和恢复的过程...
shiro-jwt:shiro 结合 jwt 实现权限认证
05-14
Shiro与JWT结合,可以在用户登录成功生成JWT,并返回给客户端。客户端在后续的请求中携带这个JWT,服务器端通过解析JWT验证用户身份并进行权限控制。 - **登录认证**:当用户提交用户名和密码时,Shiro的Realms...
解决shiro会话标识未更新问题
yycdaizi的专栏
04-12 7915
要解决会话标识未更新的安全问题,就需要在做登录验证时生成新的session,所以需要先将原来的session失效。  一般的解决方法如下: public void login(HttpServletRequest request, ...){ // 让旧session失效 request.getSession(true).invalidate(); //登录验证
Shirosession id 变化很快,导致验证码过期,用不了
wilsonke的专栏
03-10 3437
今天,以shiro做一个项目研究,发现shirosession id变化很快,查了很久,结果在网上发现了一个说法: &lt;bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"&gt; &lt;property name="sessionDAO" ...
Shiro自定义获取sessionid的方式
最新发布
qq_45644484的博客
03-10 1746
一、创建一个自定义的session管理类,继承shiro默认的session管理类(DefaultWebSessionManger),重写getSessionId()方法,token为自定义请求头,值传的是sessionid。二、在Shiro配置类中创建一个返回安全管理器SecurityManager的bean方法,并设置session管理器为自定义的session管理器。
会话标识未更新问题
热门推荐
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上CSDN了,今天看到有好几个网友问我“会话标示未更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识未更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还未登录时,就已经产生了一个session,用户输入信息,登录以后session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
shiro 每次请求都会新建会话,创建session
西门吹吹吹雪
09-03 1万+
在Servlet容器中,默认使用JSESSIONID Cookie维护会话 如下配置了domain [html] view plain copy bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">            当跳出SHIRO S
shiro的会话管理器SessionManager
zsg88的专栏
06-28 4765
SessionManager会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。 public interface SessionManager { Session start(SessionContext context); //启动会话  Session getSession(SessionKey key) throws SessionExce
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值