shiro——SessionKey 系列源码

最新推荐文章于 2024-06-12 14:42:15 发布
最新推荐文章于 2024-06-12 14:42:15 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: shiro 文章标签: shiro SessionKey DefaultSessionKey WebSessionKey 源码解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dgh112233/article/details/100668221
版权

1. 类图

可以看出,shiro里的此接口实现比较简单。

1.1 SessionKey 接口

public interface SessionKey {
    Serializable getSessionId(); //获取会话Id
}

2. DefaultSessionKey 类

public class DefaultSessionKey implements SessionKey, Serializable {
    private Serializable sessionId; //会话Id
    public DefaultSessionKey() { }
    public DefaultSessionKey(Serializable sessionId) {
        this.sessionId = sessionId;
    }
    public void setSessionId(Serializable sessionId) { 
        this.sessionId = sessionId;
    }
    public Serializable getSessionId() {
        return this.sessionId;
    }
}

可以看到,这个类就是对SessionKey接口的简单实现, 另外,还实现了Serializable接口,说明这个类的实例化对象是可以用于持久化存储 和  网络传输,但是没有显示指定 serialVersionUID 的值,所以是JDK生成的,那么就会存在反序列化失败的情况(JDK版本不同,具体请查看https://blog.csdn.net/dgh112233/article/details/100573649

3. WebSessionKey 类

public class WebSessionKey extends DefaultSessionKey implements RequestPairSource {
    private final ServletRequest servletRequest; //http的request
    private final ServletResponse servletResponse; //http的response
    public WebSessionKey(ServletRequest request, ServletResponse response) {
        if (request == null) {
            throw new NullPointerException("request argument cannot be null.");
        } else if (response == null) {
            throw new NullPointerException("response argument cannot be null.");
        } else {
            this.servletRequest = request;
            this.servletResponse = response;
        }
    }
    public WebSessionKey(Serializable sessionId, ServletRequest request, ServletResponse response) {
        this(request, response);
        this.setSessionId(sessionId);
    }
    public ServletRequest getServletRequest() {
        return this.servletRequest;
    }
    public ServletResponse getServletResponse() {
        return this.servletResponse;
    }
}

这个类是DefaultSessionKey的基础上,集成了HTTP的东西,getServletRequest 和 getServletResponse 两个方法是实现的RequestPairSource接口的。意思就是SessionKey的web版本是将我们的SessionId 和 request、response两个东西关联起来。

讲不出 再见
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Shiro基础组件 SessionKey
我家有猫已长成的博客
02-03 339
Spring Shiro基础组件 SessionKey 简介。
自定义shiro中RedisSessionDAO的keyPrefix
qq_46416934的博客
04-12 332
shiro中原始的RedisSessionDAO如下,keyPrefix为shiro_redis_session:,某些情况下需要自定义这个值 // // Source code recreated from a .class file by IntelliJ IDEA // (powered by Fernflower decompiler) // package org.crazycake.shiro; import java.io.Serializable; import java.util.Co
Shirokey但无回显利用链子-JRMP大法
最新发布
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-12 1179
shiro在手天下我有,扫出key直接梭哈getshell,横扫内网。但要是像这种情况,直接下班拜拜跑路,没有链子玩毛线…直到出现了这么一个工具可以通过JRMP协议探测是否存在漏洞,很显然上面工具是做不到的,实战中很可能因此丢掉一个shell。
200个shiro_key
weixin_46137328的博客
03-18 4093
0AvVhmFLUs0KTA3Kprsdag== 1AvVhdsgUs0FSA3SDFAdag== 1QWLxg+NYmxraMoxAXu/Iw== 1tC/xrDYs8ey+sa3emt...
web session
qq_30051265的博客
01-14 506
web session sessionid是一个会话的key,浏览器第一次访问服务器会在服务器端生成一个session,有一个sessionid和它对应。tomcat生成的sessionid叫做jsessionid。 session在访问tomcat服务器HttpServletRequest的getSession(true)的时候创建,tomcat的ManagerBase类提供创建sessioni...
Shiro学习(10)Session管理
m0_67403073的博客
08-24 2641
但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。更新会话最后访问时间及销毁会话;
shiro——认证
08-05
Apache Shiro 是一个强大且易用的Java安全框架,提供了身份验证、授权、加密和会话管理功能,可以简化开发人员的安全实现。在本主题中,我们将深入探讨Shiro的认证过程,即验证用户身份的过程。 认证是任何安全系统...
Shiro 视频教程+源码+课件
08-29
Apache Shiro 是目前使用率较高的一个 Java 安全框架。本视频基于 Shiro 的新版本 1.3.2 录制。内容涵盖 Shiro 认证、加密、授权、安全标签、安全注解、会话管理、缓存、Rememberme 等 JavaEE 企业级开发的核心技术...
shiro jar包及源码下载
10-09
"shiro-core-1.3.2-sources.jar"则是Shiro核心模块的源代码包,开发者可以通过阅读源码来深入理解Shiro的工作原理,这对于进行定制化开发或者排查问题非常有帮助。Shiro的核心组件包括以下几个方面: 1. **认证**:...
shiro 视频、源码、课件
03-16
shiro 视频、源码及课件。 shiro 视频、源码及课件。 shiro 视频、源码及课件。
基于Java和Spring Boot的Shiro权限控制专题系列设计源码
06-07
本项目为“基于Java和Spring Boot的Shiro权限控制专题系列设计源码”,包含61个文件,其中包括27个Java源文件、11个XML配置文件、6个HTML页面文件、4个YAML配置文件、3个PNG图像文件、2个Properties配置文件、1个...
shiro key文件
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-01 1317
​下面结合实战以及shiro的CookieRememberMeManaer的调用过程,浅谈获取shiro key文件的几种方式。 shiro key文件的获取方式:1结合Dnslog与URLDNS;2利用时间延迟或报错;3结合CookieRememberMeManaer 1结合Dnslog与URLDNS 在进行漏洞探测的时候,一般会使用ysoserial-URLDNS-gadget结合dnslog进检测,其受JDK版本和相关的安全策略影响,除非存在网络限制DNS不能出网。 通过判断dnslog是否
shiro-根据JSESSIONID获取用户信息和判断是否登陆
热门推荐
Java_feng的博客
08-22 4万+
/** * 验证是否登陆 * * org.apache.shiro.subject.support.DefaultSubjectContext_AUTHENTICATED_SESSION_KEY ; true * org.apache.shiro.subject.support.DefaultSubjectContext_PRINCIPALS_SESSION
Shiro在请求头中获取sessionId以及rememberMe信息
_好好学习的博客
01-30 1万+
默认情况,Shiro会把sessionId或rememberMe放入cookie中,每次请求会在cookie中获取,但在前后端分离下,跨域请求会导致cookie保存失败,本人介绍把sessionId或rememberMe放入request header中,兼容PC、App以及移动端浏览器。
Shiro 分布式架构下 Session 的共享实现
zcyhappy1314的专栏
05-06 2万+
参考资料:http://blog.csdn.net/lishehe/article/details/45223823 说在前面: 共享的方式有很多,传统的做法是通过配置 web 容器,通过容器间 session 的复制达到共享的目的(不推荐),现在常用的做法是通过单独存储session达到共享目的,将session存储到 Mysql 、Memcache、Redis中,等到使用的时候再从中取
shiro session绑定
八荒六合唯我独尊
03-17 2459
/**  * Copyright © 2012-2014 JeeSite All rights reserved.  */ package com.zrj.depository.admin.common.security.shiro.session; import java.io.Serializable; import java.util.Collection; i
Shiro之加密
zhouym_的博客
07-28 601
数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为"密文",使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。 ...
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)
yuguang的博客
11-17 1万+
目录 一.情况描述 1.漏洞描述 2.漏洞造成的影响 3.安全建议 4.技术参考 5.建设方案 6.漏洞证明 测试结果 二.springmvc修改 1.修改pom.xml配置 2.增加一个自定义秘钥代码 3.修改shiro配置 4.修改完之后测试 一.情况描述 1.漏洞描述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 2.漏洞造成的影响 在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远.
Shiro术语
芸复山人
06-30 419
Authentication 身份验证是验证Subject身份的过程--实质上是证明某些人是否真的是他们所说的他们是谁。当认证尝试成功后,应用程序能够相信该Subject被保证是其所期望的。 Authorization 授权,又称为访问控制,是决定一个user/Subject是否被允许做某事的过程。它通常是通过检查和解释Subject的角色和权限(见下文),然后允许或拒绝到一个请
Shiro源码入门与实战剖析
Shiro源码分析是一系列针对Apache Shiro安全框架的深入研究,适合希望学习和理解Shiro内部工作机制的开发者。本文档以入门级教程入手,结合实际编程示例,逐步剖析框架的工作流程和核心组件。 首先,Shiro框架的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值