解决session共享问题&前端不支持cookie的效果

已于 2023-07-11 18:57:06 修改
阅读量189 收藏
点赞数
文章标签: java 开发语言
于 2023-07-11 18:50:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elicious/article/details/131659079
版权

目录

1.如何解决session共享问题

2. 解决前端不支持cookie的效果

2.1 如何把sessionId放入请求头。

2.2 重写DefaultWebSessionManager的方法

 3.设置前端前置路由守卫

4.如何防止恶意重复登录

 5.退出登录接口

6.获取当前登录用户的信息

7.设定登录设备的个数

1.如何解决session共享问题

默认session存储再各自服务的内存中,可以让session统一存储再redis中。

疯狂的蛋糕的依赖。---提供了redis存储session的类。

<dependency>

        <groupId>org.crazycake</groupId>

        <artifactId>shiro-redis</artifactId>

        <version>3.3.1</version>

</dependency>

(1)修改shiro的配置类。  

 @Bean
    public DefaultWebSecurityManager securityManager(){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm());
        securityManager.setCacheManager(cacheManager());
        //设置session管理器
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }
    @Bean
   public SessionManager sessionManager(){
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionDAO(setSessionDao());
        return sessionManager;
    }
    @Bean
    public SessionDAO setSessionDao(){
        //该类会对session进行插入到操作
        RedisSessionDAO sessionDAO = new RedisSessionDAO();
        sessionDAO.setRedisManager(redisManager());
        return sessionDAO;
    }
    @Bean
    public RedisManager redisManager(){
        RedisManager manager = new RedisManager();
        manager.setHost("192.168.214.129:6379");
        manager.setDatabase(1);
        return manager;
    }

 解决思路:

DefaulWrbSessionManager获取请求头中JSESSION的值,通过RedisSessionDao从redis中查询该值对应的key,如果存在则认为当前用户登录。

2. 解决前端不支持cookie的效果

当登陆成功,点击相应的操作会出现跨域问题。

 原因: 默认DefaultWebSessionManager它只接受Cookie中存储的JsessionId. 查询发现再redis中不存在对应的key.

 如何解决:

 客户发送请求时,再请求头中携带sessionId, 然后重写DefaultWebSessionManager中getSessionId()的方法。

思考:1. 如何把sessionId放入请求头。

        2. 重写getSessionId方法如何获取请求头的sessionID。

2.1 如何把sessionId放入请求头。

(1)修改登录的接口

@Controller
//@CrossOrigin
public class LoginController {
    @PostMapping("/login")
    @ResponseBody
    public Result login(@RequestBody LoginVo loginVo){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(loginVo.getUsername(),loginVo.getPassword());
        try {
            subject.login(token);
            //subject.getSession().getId()希望带当前会话id
            return new Result(200,"登陆成功",subject.getSession().getId());
        }catch (Exception e){
            e.printStackTrace();
            return new Result(500,"账号或密码错误",null);
        }
    }
}

注意:在登陆的时候会出现序列化报错!!!

 解决方法:在实体类实现Serializable接口


@Data
public class User implements Serializable {
    @TableId
    private Integer id;
    private String username;
    private String userpwd;
    private String sex;
    private String address;
    private String salt;
}
(2)修改前端登录方法

 (3)修改main.js文件

//设置axios的请求拦截器
axios.interceptors.request.use(config=>{
  //从localStorage中获取token的值
  var item = localStorage.getItem("token");
  if (item){
    config.headers.token=item;
  }
  return config;
})

2.2 重写DefaultWebSessionManager的方法

(1)自定义MyWebSessionManager配置类

public class MyWebSessionManager extends DefaultWebSessionManager {
    private static final String AUTHORIZATION = "token";
    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        //获取请求头中名称为token的内容
        String id = WebUtils.toHttp(request).getHeader("token");
        if (!StringUtils.isEmpty(id)) { //如果存在该token
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "Stateless request");
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        } else {
            //从cookie中获取sessionId.
            return super.getSessionId(request, response);
        }
    }
}

(2)修改shiro配置类

 (3)修改shiroFilter过滤器

我们发现跨域请求,会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。

OPTIONS请求:先头部队。

所以我们对OPTIONS请求都要放行。

  @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        HttpServletRequest request1 = (HttpServletRequest) request;
        //获取请求方式
        String method = request1.getMethod();
        if ("OPTIONS".equals(method)){
            return true;
        }
        return super.isAccessAllowed(request, response, mappedValue);
    }

 3.设置前端前置路由守卫

//设置前置路由守卫
router.beforeEach((to,from,next)=>{
  //to:到哪去  from:从哪来  next:下一站
  let path = to.path;//获取路由的路径
  if (path == "/login"){
    return next();
  }
  //判断是否定登陆过
  let token = sessionStorage.getItem("token");
  if (token){
    return next();
  }
  return next("/login");
})

4.如何防止恶意重复登录

 5.退出登录接口

(1)编辑退出接口

   @PostMapping("/logout")
    public Result logout(){
        Subject subject = SecurityUtils.getSubject();
        //redis清空
        subject.logout();
        return new Result(200,"退出成功",null);
    }

(2)编辑前端退出按钮

<el-button type="danger" @click="logout">退出登录</el-button>



logout(){
      this.$http.post("http://localhost:8080/logout").then(result=>{
        if (result.data.code == 200){
          this.$message.success("退出成功");
          //清空sessionStorage
          sessionStorage.clear();
          this.$router.push("/login")
        }else {
          this.$message.error("退出失败");
        }
      })

6.获取当前登录用户的信息

(1)编辑信息接口

 @GetMapping("/info")
    public Result info(){
        Subject subject = SecurityUtils.getSubject();
        Object principal = subject.getPrincipal();
        return new Result(200,"查询成功",principal);
    }

(2)编辑查看信息按钮

info(){
      this.$http.get("http://localhost:8080/info").then(result=>{
        this.userinfo = result.data.data;
        console.log(result.data.data.username)
      })
    }



    <el-button  type="info" @click="info()">获取用户信息</el-button>

7.设定登录设备的个数

(1)引入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

(2)配置 application.properties文件

#配置redis
spring.redis.host=192.168.214.129

(3)编写后端登录接口

 @Autowired
    private StringRedisTemplate redisTemplate;
    @PostMapping("/login")
    public Result login(@RequestBody LoginVo loginVo){
        Subject subject = SecurityUtils.getSubject();
        //判断当前用户是否登陆过
        if(subject.isAuthenticated()){
            return new Result(200,"登陆成功",subject.getSession().getId());
        }
        UsernamePasswordToken token = new UsernamePasswordToken(loginVo.getUsername(),loginVo.getPassword());
        try {
            String key = "shiro:user:"+loginVo.getUsername();
            System.out.println(key+"===========================");
            ValueOperations<String, String> forValue = redisTemplate.opsForValue();
            int count = 0;
            String s = forValue.get(key);
            System.out.println(s+"------------------------------");
            if (s !=null){
                if (Integer.parseInt(s)>=1){
                    return new Result(400,"同时在线设备不能超过2台",subject.getSession().getId());
                }else {
                    count++;
                }
            }else {
                count = 0;
            }
            forValue.set(key,count+"");
            subject.login(token);

            //subject.getSession().getId()希望带当前会话id
            return new Result(200,"登陆成功",subject.getSession().getId());
        }catch (Exception e){
            e.printStackTrace();
            return new Result(500,"账号或密码错误",null);
        }
    }

elicious
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如果客户端禁用了cookie,通常有两种方法实现session而不依赖cookie
weixin_43947156的博客
04-16 885
1)URL重写,就是把sessionId直接附加在URL路径的后面。 2)表单隐藏字段。就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。比如: <form name="testform" action="/xxx"> <input type="hidden" name="jsessionid" value="ByOK3vjFD...
禁止 Cookie 使用 Session,采用 URL 重写,具体解决方案
assiduous_me的博客
08-04 1295
先叙述一下 session 的实现原理吧! session 服务器为每个客户端访问开辟的一块内存区域,可以存放一些客户端的一些操作信息 正常情况下在用户通过客户端访问服务器这个过程中 session 一直存活,直到客户端关闭,服务器中的 session 被销毁 非正常情况下,服务器调用 session.invalidate() 方法进行手动销毁 session 依赖于 cookie !!!...
怎么传递session_解决CORS跨域不能传递cookies的问题
weixin_39823017的博客
11-29 248
故事背景前端用的 vue + axios, 后端用的是 ko2,用 koa-passport + passport-local 帮我处理登录注销,用 koa-generic-session 处理session, koa2-cors 处理跨域问题描述今天做登录的时候,发现 接口调用正常,数据正常传递,redis里也有存储相应值 唯独前端页面一直没有设置上cookies,无法保存登录状态。令人崩溃的解...
Servlet设置Cookie无效
weixin_30416497的博客
05-18 276
  项目中保存用户信息用到了Cookie,之前没有太注意,今天怎么设置Cookie都无效,断点跟了无数遍,都没有找出问题所在,明明发送Cookie的代码都有执行,可是愣是找不到Cookie发送到哪里去了,使用HttpWatch也看了N多遍,响应头中就是没有发送Cookie信息。  感觉知识太匮乏了,遇到问题根本无从下手。这下实在无计可施了,抱着试试的态度把response.sendRedirect...
session无法处理cookie时,还可以采用获取cookies赋值到请求头的方法
weixin_51064701的博客
04-26 295
import requests url = "http://www.baidu.com" #发送请求,获取resposne response = requests.get(url) print(type(response.cookies)) #使用方法从cookiejar中提取数据,转化为字典 cookies = requests.utils.dict_from_cookiejar(response.cookies) print(cookies) #构建cookies的值 mycookie="" for
前后端分离项目无法得到Spring Security 认证cookie导致循环登录问题
weixin_59216829的博客
04-12 1590
那是因为内置的登录页面属于前后端不分离的项目,后端在自家人登录,自然信任自家人给了它通行证,**而在前后端分离项目中,我们是一定会出现跨域问题的!值,也就是说,后端没有给前端颁发认证cookie导致前端没有获取登录用户的对应cookie,这样就会使每次请求都没有携带这个cookie,就无法做到身份认证,从而导致循环登录。那为什么会导致整个问题呢,明明数据已经发送过去了,并且也登录成功了,为什么会被后端认为是没有登录,这个时候就一定是少了什么,我们再次通过Fiddller抓包看看。
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
在前后端分离的架构中,Vue.js作为前端框架与Spring Boot作为后端服务进行交互时,常常会遇到跨域和SessionCookie失效的问题。本文将详细介绍如何解决这些问题。 首先,跨域是由于浏览器的安全策略限制,同一源...
前端知识Cookie, Session,Token和JWT的发展及区别(一) 上章:主要介绍一下背景和Cookie
最新发布
05-26
前端知识】Cookie, Session, Token和JWT是Web开发中用于管理用户状态和身份验证的重要概念。本篇文章主要探讨了Cookie的定义、特点、重要属性、优缺点、使用场景及其面临的问题。 1. 背景 Cookie的诞生源于HTTP...
前端知识学习:会话技术CookieSession
不想掉头发$的博客
02-15 581
目录 会话技术概念 Cookie 快速入门: cookie的细节: 案例:记住上一次访问时间 Session 快速入门: session的细节: sessionCookie的区别: 会话技术概念 会话:一次会话中包含多次请求和响应。 一次会话:浏览器第一次给服务器资源发送请求,会话建立,直到有一方断开为止。 功能:在一次会话的范围内的多次请求间,共享数据 方式: 1. 客户端会话技术:Cookie 2. 服务器端会话技术:Session Cookie入门 概念:客
spring boot--整合spring session实现session共享以及cookie丢失问题解决
牛奋lch
11-06 2万+
spring session可以利用redis透明的存储并共享web应用的HttpSession,当结合spring boot使用时,更是大大的节省了我们整合的时间。 1 添加pom依赖 org.springframework.boot spring-boot-starter-data-redis org.springframework.s
Cookie & Session & Token
gc_charl的博客
05-29 825
Cookie & Session & Token Cookie: 理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。 而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。(例:用户A购买了一件商品放入购物车内,当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了)
前后端分离无Cookie模式登录
lemon
06-25 712
Cookie模式的下登录校验方式 总体流程 前端把账号密码给后端校验 后端校验完毕后,正确的情况,后端生成token并返回(至于怎么生成token方式有很多,例如:jwt,uuid) 前端接受token后,可以把token存在本地(方式很多:Cookie、LocalStorage、SessionStorage),本篇以存入Cookie为例 前端每次想后端发请求的时候先从Cookie中取出token,然后放在请求头里面发送过去 后端配置一个拦截器,拦截请求,从请求中获取token进行操作 这篇文章是使用
记一次springsession使用的坑,cookie策略与header策略
m0_46649280的博客
06-17 1701
公司项目前后端分离,开始的时候用的httpsession,没啥毛病,后来项目上线,服务器遭不住了,加入了集群,并用redis共享session,于是使用了springsession,此时出现了问题,set-cookie 前端死活设置不上,百度了各种方式后无果,最后找到springsession 的 header传递策略解决。 springsession 默认的cookie策略,修改header新增一个配置 //过期时间 @EnableRedisHttpSession(maxInactiveIntervalI
Cookie跨域共享,分布式Session,线上Cookie无法存储读取的问题
weixin_52489084的博客
04-19 261
Cookie跨域共享,分布式Session,线上Cookie无法存储读取的问题
JavaWeb】Cookie共享问题
mdong9的博客
04-24 642
上一篇: 会话技术CookieSession详解. 本文目录1.Cookie共享问题1.1 同一个Tomcat服务器1.1.1 验证 1.Cookie共享问题 1.1 同一个Tomcat服务器 正常的cookie只能在一个应用中(简单理解,就是一个目录)共享,即一个cookie只能由创建它的应用获得。默认情况下cookie不能被多个Web应用共享, 比如我的Tomcat/webapp下面有两个...
关于WEB远程服务器在不支持session.save.path的情况下的解决方法
热门推荐
单核CPU的小朋友的博客
11-13 3万+
代码: define('ROOT_PATH',str_replace(&amp;quot;\\&amp;quot;,'/',substr(dirname(__FILE__),0,26))); $savePath=ROOT_PATH.&amp;quot;/tmp/&amp;quot;; if (!file_exists($savePath)){ mkdir($savePath,0777,true); } session_save_path($savePath);...
session共享及禁用cookie时保持登录状态
生而为人我很抱歉
06-09 1450
session共享 session共享通常应用在负载均衡系统中,因为负载均衡,导致如果两次访问如果不是被分配到同一个服务器,则session会丢失,已经登录的用户需要重新登录。 session共享可以使用以下方式实现: 使用关系型数据库 首选当然是大名鼎鼎的mysql数据库,并且建议使用内存表Heap,提高session操作的读写效率。这个方案的实用性比较强,相信大家普遍在使用,它的缺点在于session的并发读写能力取决于mysql数据库的性能,同时需要自己实现session淘汰逻辑,以便定时从数据表
前后端分离--前置路由守卫(登录过滤)和整合shiro安全框架
weixin_43766390的博客
08-09 937
***//*授权方法 当执行权限校验时执行此方法*/@Override}/*认证方法*/@Override/*根据token获取账号*//*定义查询封装类,将查询的条件封装进去*//*根据账号查询用户信息*/if (one!= null) {/*获取盐*//*从数据库获取密码*/}}}/***/@Override//未登录时进入该方法。...
JAVA 重定向 Respone.sendRedirct Cookies丢失
隔壁老瓦的专栏
01-13 3623
啥也不说看代码: Map<String, String> map = login.cookies(); for (String key : map.keySet()) { Cookie cookie = new Cookie(key,map.get(key)); cookie.setPath("/");...
解决session丢失:重定向与框架下的Session问题
解决这种问题通常需要后端支持,例如设置正确的cookie域,或者采用单点登录(Single Sign-On, SSO)等跨域认证方案。 4. **使用RequestDispatcher转发** 而不是重定向,可以选择使用`RequestDispatcher.forward()`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值