解决shiro1.10.0登录过滤器执行2次的问题

已于 2022-11-11 11:15:15 修改
阅读量1.5k 收藏 9
点赞数 5
分类专栏: shiro 文章标签: java 开发语言
于 2022-11-11 11:11:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/demontxy/article/details/127802290
版权

本来以为就是一个简单的版本升级, 改下pom重新打包梳理jar依赖替换下就可以, 结果发现登录请求里的createToken之类的方法每次都执行2次.
如果是普通登录请求倒也无所谓, 现在在登录过程中做了密码加密, 登录密码仅能够解析一次. 第一次进过滤器createToken解析成功, 第二次在执行createToken时解析临时密码就无效了, 所以到最后前端收到的信息都是密码无效.

这里发一下解决办法, 其实非常简单. 创建ShiroFilterFactoryBean的时候, 给他一个ShiroFilterConfiguration实例对象, 并且设置这个实例的setFilterOncePerRequest(true)即可解决问题.
贴一下代码:

ShiroFilterConfiguration config = new ShiroFilterConfiguration();
config.setFilterOncePerRequest(Boolean.TRUE);

ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
factoryBean.setShiroFilterConfiguration(config);
// TODO: 这里放自定义过滤器
factoryBean.setFilters(filters);
// TODO: 这里放url过滤器映射规则
factoryBean.setFilterChainDefinitionMap(filterRuleMap);

上面说法解决办法, 下面说一下为啥突然需要这么搞才能解决问题.

跟一下ShiroFilterFactoryBean的代码, 发现本次setShiroFilterConfiguration之后, 这个对象主要用于下面这个方法

    private void applyGlobalPropertiesIfNecessary(Filter filter) {
        this.applyLoginUrlIfNecessary(filter);
        this.applySuccessUrlIfNecessary(filter);
        this.applyUnauthorizedUrlIfNecessary(filter);
        if (filter instanceof OncePerRequestFilter) {
            ((OncePerRequestFilter)filter).setFilterOncePerRequest(this.filterConfiguration.isFilterOncePerRequest());
        }

    }

而这个方法调用者就在下面

    public Object postProcessBeforeInitialization(Object bean, String beanName) throws BeansException {
        if (bean instanceof Filter) {
            log.debug("Found filter chain candidate filter '{}'", beanName);
            Filter filter = (Filter)bean;
            this.applyGlobalPropertiesIfNecessary(filter);
            this.getFilters().put(beanName, filter);
        } else {
            log.trace("Ignoring non-Filter bean '{}'", beanName);
        }

        return bean;
    }

从方法名称上可以看出来postProcessBeforeInitialization方法在bean初始化的时候去执行, 将自定义的登录过滤器中的setFilterOncePerRequest设置为了ShiroFilterConfiguration实例中给定的true

再查一下1.9.1到1.10.0的升级内容 git:1.9.1>1.10.0差异对比

发现OncePerRequestFilter类中的核心方法

public final void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        String alreadyFilteredAttributeName = getAlreadyFilteredAttributeName();
        if ( request.getAttribute(alreadyFilteredAttributeName) != null && filterOncePerRequest) {
            log.trace("Filter '{}' already executed.  Proceeding without invoking this filter.", getName());
            filterChain.doFilter(request, response);
        } else //noinspection deprecation
            if (/* added in 1.2: */ !isEnabled(request, response) ||
                /* retain backwards compatibility: */ shouldNotFilter(request) ) {
            log.debug("Filter '{}' is not enabled for the current request.  Proceeding without invoking this filter.",
                    getName());
            filterChain.doFilter(request, response);
        } else {
            // Do invoke this filter...
            log.trace("Filter '{}' not yet executed.  Executing now.", getName());
            request.setAttribute(alreadyFilteredAttributeName, Boolean.TRUE);

            try {
                doFilterInternal(request, response, filterChain);
            } finally {
                // Once the request has finished, we're done and we don't
                // need to mark as 'already filtered' any more.
                request.removeAttribute(alreadyFilteredAttributeName);
            }
        }
    }

上面代码第四行, 增加了&& filterOncePerRequest 判断, 这个值就是通过ShiroFilterConfiguration > ShiroFilterFactoryBean一路传进来的, 而且他是在构造ShiroFilterFactoryBean之后执行的, 比自定义Filter的构造时间要晚, 所以尝试在自定义过滤器的构造方法或者postxxx, afterxxx之类的方法中去设置为true都是没用的.

所以只能是构造ShiroFilterFactoryBean对象时, 设置其配置属性来解决问题.

也就是说以前OncePerRequestFilter过滤器子类型默认只执行一次, 现在不是了, 现在可以通过全局配置来选择是否启用OncePerRequestFilter的只执行一次机制.

demontxy
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题解决方法 在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
Apache shiro1.10.0依赖
10-25
5. **Web支持**:Shiro具有内置的Servlet过滤器,可以轻松地与Spring MVC或其他Web框架集成,提供安全的Web应用控制。1.10.0可能增强了对现代Web开发标准如WebSocket或SPA(单页应用)的支持。 6. **测试**:Shiro...
shiro1.10.0 升级排坑日志
冰剑的专栏
10-16 3008
shiro1.10.0 升级排坑日志
查看Apache shiro的版本
m0_67394360的博客
04-12 8899
先进到程序部署的路径下,执行 grep -rn ‘org.apache.shiro’ 如图: [root@localhost webapps]# cd /home/server/wbgl/apache-tomcat-1124/webapps [root@localhost webapps]# grep -rn 'org.apache.shiro' Binary file ROOT/WEB-INF/classes/com/inspur/sso/MainController.class matches Bina
Shiro反序列化漏洞】Shiro-550反序列化漏洞复现,2024年最新通用流行框架大全
最新发布
2401_83946044的博客
04-19 897
我们可以看到,这个图形化的工具就很清楚检测出这个url存在shiro框架,并且还爆破出来了shiro550的迷人AES加密的key值:kPH+bIxk5D2deZiIxcaaaA==,这样就可以证明这个url存在shiro漏洞。对于shiro550,其漏洞的核心成因是cookie中的身份信息进行了AES加解密,用于加解密的密钥应该是绝对保密的,但在。,该秘钥默认是默认硬编码的,所以如果没有修改默认的密钥,就自己可以生成恶意构造的cookie了。的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。
shiro ajxa请求 登录状态失效302无法重定向登录
qq_31238839的博客
10-23 671
解决方法 重写FormAuthenticationFilter 类的onAccessDenied方法,并判断如果请求是ajax请求,就在header中添加一个需要登录的标识,并且设置response status为401,避免还是200而继续走ajax的成功回调。然后Ajax添加全局事件,当有需要登录的标识时,将页面定位到登录画面。 重写filter方法 public class MyShiroAuthcFilter extends FormAuthenticationFilter { p
CVE-2022-40664 ShiroFilter1.7和1.10对于forward请求的处理
xyjy11的博客
10-14 4178
shiroFilter拦截forward、include请求
shiro反序列化漏洞
m0_63645854的博客
06-13 606
本文主要介绍了shiro反序列化漏洞的原理,影响版本以及防御方式
springmvc+shiro自定义过滤器的实现代码
08-26
2. Shiro自定义过滤器 Shiro是一个功能强大的安全框架,它提供了自定义过滤器的功能。在本文中,我们使用Shiro的自定义过滤器来实现用户登录后的跳转回之前页面的功能。 3. HttpSession HttpSession是服务器端的...
shiro多验证登录代码实例及问题解决
08-25
Shiro 多验证登录代码实例及问题解决 Shiro 是一个 Java security framework,它提供了许多有用的功能来帮助开发者保护应用程序的安全。Shiro 多验证登录是指在一个应用程序中使用多种身份验证方式来验证用户身份。...
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
Shiro反序列化漏洞,Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 https://github.com/feihong-cs/ShiroExploit_GUI/releases 反序列化漏洞是如何产生的? shiro版本<=1.2.4时,其参数remeberMe存在硬编码,它对于cookie的处理流程是,首先获取rememberMe的cookie值,然后进行Base64解码,再进行AES解密,最后反序列化。但在这个过程中,其AES的Key硬编码,导致反序列化漏洞的产生。(参考http://www.secwk.com/2019/09/18/2818/) 反序列化漏洞解决思路 从上面我们了解到,反序列化漏洞主要是由于硬编码引起的,那么只要解决硬编码,就解决了该漏洞。解决硬编码主要有两种方式: 方法一:自行实现key值 方法二:升级到1.2.5版本或以上 那么在我的项目中,选择的是升级版本到1.2.6。大家有同样问题的可以选择试一下希望大家也能像我一样解决
关于shiro登录时默认执行的异常见闻录
深渊码头
11-30 605
关于shiro登录时默认执行的异常见闻录与简单解决
Java利用过滤器实现完善登录功能
程宇寒
05-12 1050
java利用过滤器实现完善登录功能
Shiro:Springboot集成shiro进行认证授权、加密处理
m0_63180675的博客
08-02 669
这是我学了两周整理出来的项目笔记,然后厘米有shiro的认证、授权、md5+salt+hash散列 进行加密处理、集成redis缓存
配置ShiroFilterFactoryBean过滤器数量时太多不生效的问题
weixin_42127766的博客
06-15 1227
ShiroFilterFactoryBean、过滤器数量、失效、12
Apache Shiro 简介
allway2的博客
09-23 1263
到目前为止,我们已经概述了 Apache Shiro 的基本结构,并且我们已经在桌面环境中实现了它。请注意,这里的主要焦点是 Shiro,而不是 Spring 应用程序——我们只会使用它来支持一个简单的示例应用程序。在本教程中,我们研究了 Apache Shiro 的身份验证和授权机制。此外,在角色部分,我们为每个角色定义了不同的权限或访问级别。方法是我们实现如上所述的实际用户身份验证的地方。在本教程中,我们将在桌面环境中探索该框架。如果提供的凭据是正确的,那么一切都会好起来的。不同的情况有不同的例外。
Shiro反序列化漏洞】Shiro-550反序列化漏洞复现
人若无名,便可专心练剑
03-14 1238
Shiro-550反序列化漏洞大约在2016年就被披露了,但感觉直到近一两年,在各种攻防演练中这个漏洞才真正走进了大家的视野,Shiro-550反序列化应该可以算是这一两年最好用的RCE漏洞之一,原因有很多:Shiro框架使用广泛,漏洞影响范围广;攻击payload经过AES加密,很多安全防护设备无法识别/拦截攻击……
有关shiro的升级方法
热门推荐
wuxs的专栏
11-01 1万+
今年的护网行动,攻击者大量使用了shiro漏洞的攻击,为了找到这些最新的包,花费了一天时间来查找,终于在一位网友的提示下找到了它们的窝:(CSDN中的好多用户都是上传到博客中,但一下载就收费,感觉很不好) 下载地址:(Maven库) https://mvnrepository.com/artifact/org.apache.shiro/shiro-core 关于应该升级哪些东西,经过测试有以下内容:(以升级到1.7版本为例) shiro-core-1.7.0.jar shiro-web-1.7.0
spring boot 使用 shiro 1.10.0
05-24
要在 Spring Boot 中使用 Shiro 1.10.0,您需要执行以下步骤: 1. 添加 Shiro 依赖项 在 pom.xml 文件中添加以下依赖项: ```xml <groupId>org.apache.shiro <artifactId>shiro-spring-boot-starter ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值