Shiro记住我无效,被拦截;

最新推荐文章于 2024-08-27 17:27:03 发布
最新推荐文章于 2024-08-27 17:27:03 发布
阅读量3.1k 收藏
点赞数 1
分类专栏: Java Shiro 文章标签: Shiro Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/henrymrz/article/details/81267160
版权
Java 同时被 2 个专栏收录
40 篇文章 0 订阅
订阅专栏
Shiro
1 篇文章 0 订阅
订阅专栏

Shiro记住我无效,被拦截

场景描述:

       Shiro的记住我功能就是登录的时候,选择了记住当前用户的选项来登录,关闭浏览器之后,在登录信息存活期间再次访问项目里的某个页面可以直接访问。可以在程序中对某些敏感操作进行判断是否为通过记住我登录的用户,从而进行其他一系列限制操作。

       在按照网上的配置配置完之后,发现记住我之后再次访问其他功能时,会被拦截,并且不会通过项目中debug打了断点的部分,直接被跳转到未登录处理的登录页面,而且我查了很多很多的相关配置文档,都试了就是实现不了。事实上是取到了cookie中保存的信息,被拦截后的页面地址栏如下:

http://localhost:xxxx/xxxx/login.do;jsessionid=4D328B61960C713B2F563385F85EC43C

原因:

        通过询问其他朋友,发现是因为实体类没有序列化,Shiro是将实体对象序列化保存到本地cookie中,但是很多文档都没有提及这一点,或许是自己没有这个意识。

解决办法:

       更改之前:

public class User  {
...
}

        更改之后:

public class User implements Serializable {
...
}

     再次测试的时候,发现通过debug就会走项目中的打了断点的地方。

设置自定义拦截器将本地用户放入到session中

参考文章地址:https://blog.csdn.net/u011277123/article/details/70214599

场景描述:

       其他所有的controller中涉及到用户的都是从session中获取,但是通过记住我登录的用户的用户信息是放在本地的cookie中,然后shiro获取后是将其放入的subject中,通过subject可以获取记住我用户的信息,但是我的jsp页面中通过el标签获取了用户对象并展示在前台页面,所以干脆我就做了一个自定义过滤器,所有访问都需要走一遍这个过滤器,如果是通过记住我登录的,就把本地获取的用户对象放入到session中,配置如下:

java类:

public class MyRememberFilter extends FormAuthenticationFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject=getSubject(request,response);
        // 如果是记住我登录的,则需要处理一下
        // isRemembered为true、isAuthenticated为false
        if(!subject.isAuthenticated() && subject.isRemembered()){
            // 通过记住我第一次进程序,并且保存的principal中有内容,添加用户到session
            if(subject.getSession().getAttribute("user")==null && subject.getPrincipal() != null){
                subject.getSession().setAttribute("user",subject.getPrincipal());
            }
        }
        return subject.isAuthenticated() || subject.isRemembered();
    }
}

 

applicationContext.xml中的bean引入shiro过滤器配置:

	<!--自定义全局过滤器-->
	<bean id="MyRememberFilter" class="com.xxx.xxx.shrio.MyRememberFilter"></bean>	
    ...
    <!-- web.xml中shiro的filter对应的bean -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        ...
		<!--在shiro中使用自定义过滤器-->
		<property name="filters">
			<util:map>
				<entry key="MyRemember" value-ref="MyRememberFilter"></entry>
			</util:map>
		</property>
		<!-- 指定过滤器
            Anon:不指定过滤器,这个过滤器是空的,什么都没做,跟没有一样。
            Authc:验证,这些页面必须验证后才能访问,也就是我们说的登录后才能访问。
            user:验证+记住我
         -->
		<property name="filterChainDefinitions">
			<value>
				<!--静态资源-->
				/static/** = anon
				<!--链接-->
				/login.do=anon
				/toLogin.do=anon
				/** = user
                <!--自定义过滤器-->
                /** = MyRemember
			</value>
		</property>
	</bean>
</beans>

        我只放了相关的配置,无关的都省略掉了;

by the way:

1.Shiro的其他配置建议看这位博主文章,我认为是写的最工整易懂的:https://blog.csdn.net/u012737182/article/category/6489910

2.序列化与反序列化的相关文章:https://blog.csdn.net/qq_27093465/article/details/78544505

Org丶bug
关注
专栏目录
SpringSecurity学习笔记 记住功能无效
weixin_42215775的博客
01-22 1265
今天学习SpringSecurity的时候,在实现记住功能这里发现并没有把登录的用户信息保存起来 .and() .rememberMe() // 记住我 .tokenRepository(jdbcTokenRepository()) // 保存登录信息 .tokenValiditySeconds(securityProperties.getAuthentication().getTokenValiditySeconds()) // 记住我有效时长 原来是少了userDetailsService,注入Us
Shiro快速入门 —— 2.拦截
哼哼的博客
01-07 3146
ShiroFilter拦截器是整个Shiro的入口,用于拦截需要安全控制的请求并进行处理。 shiro封装了很多不同用途的拦截器,这里只介绍几个比较常用的拦截器,更详细介绍可以参考博文 《第八章拦截器机制——跟我学Shiro》:http://jinnianshilongnian.iteye.com/blog/2025656 登录拦截器(FormAuthenticationFilter) 由于此拦截器经常需要继承并重写里面的方法,来扩展自己的登录拦截规则,所以会进行详细介绍。 等录拦截器主要有两个作用
Shiro记住功能失效原因
weixin_33748818的博客
09-05 1093
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro550反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)_shiro550原理
最新发布
zzz6583zz的博客
08-27 918
如何判断我的服务器是否受到了针对shiro550漏洞的攻击?检查日志:查看系统的日志文件,看是否有异常的访问记录或登录失败记录,如果发现了异常,可以进一步分析该记录是否与Shiro550漏洞有关。检查系统状态:检查系统是否存在异常状态,如系统崩溃、服务宕机等,这可能是攻击者利用Shiro550漏洞进行攻击导致的。检查用户行为:检查是否有用户在短时间内多次尝试登录或者进行异常操作,这可能是攻击者正在利用Shiro550漏洞尝试获取系统权限。
javashiro记住密码_关于shiro记住功能失效
weixin_31281613的博客
03-01 166
该楼层疑似违规已被系统折叠隐藏此楼查看此楼这是前端/style/** = anon/image/** = anon/index.html = anon/** = user这是shiro与spring集成的部分代码String username = request.ge...
spring boot+shiro 记住我 会话失效(已解决)
weixin_43750315的博客
12-28 2053
标题spring boot+shiro 记住我 会话失效(已解决) 看了很多博客,发现大部分都是使用拦截器。个人感觉还是非常繁琐的,所以自己也做了一个比较简单的。 自定义一个过滤器,代码的意思注释写的很清楚了 package com.example.demo.filter; import com.example.demo.entity.User; import org.apache.shir...
SpringBoot学习:整合shiro(rememberMe记住我后自动登录session失效解决办法)
weixin_30423977的博客
04-09 388
项目下载地址:http://download.csdn.NET/detail/aqsunkai/9805821 定义一个拦截器,判断用户是通过记住我登录时,查询数据库后台自动登录,同时把用户放入session中。 配置拦截器也很简单,Spring 为此提供了基础类WebMvcConfigurerAdapter ,我们只需要重写addInterceptors 方法添加注册拦截器。 实现自定...
spring boot + shiro 实现登陆 踢出用户功能 (挤人) 以及UnknownSessionException异常问题 记住功能
AmbroseLe
12-23 8089
简介:踢出用户功能:就是限制一个账号登陆人数。 本文限定一个账号一个用户登陆,并且是挤掉前一个用户 目录 首先 pom 然后Shiro配置Bean ShiroConfigBean 然后配置 ShiroRealm(百度翻译: Realm 领域) 然后sessiondao SessionDAO 然后 配置踢人(挤人)逻辑 Kicko...
shiro自动登录及session失效解决办法(1详解)不用缓存
weixin_42886104的博客
04-15 9908
这是一个困扰了我一周的问题,几乎找遍了全网,也没有找到合适的解决办法,问题的难度在于,不使用任何缓存技术,实现以下问题。 1、当用户登录时,使用shiro rememberme,加密保存cookie 到本地。 2、当用户再次登录时是自动登录状态,但是这时候是没有session的,这里就要解决session的问题。 这里用到的是idea项目:springboot+shiro 文件目录:...
vue+shiro登录成功却还是无法认证授权问题
r877282840的博客
07-30 1684
我在本地用postman单独测试接口时没问题,能实现正常登录认证授权,但是将接口对接到vue上就出问题了。折磨了两天后终于发现了答案:axsio跨域请求不会携带cookie!而shiro的工作原理又需要一个叫做JSESSIONID的cookie值来找到登录的用户。 浏览器控制台可以看到没有发出cookie: 而postman本地测试是有的: 要解决这个问题,首先在springboot后端中解决跨域问题: @Configuration public class CORSFilte..
Shiro学习笔记
a_letter的博客
05-12 460
Shiro 1、权限管理 1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两 部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 什么是身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看
shiro记住我没有生效,有可能是没有序列化
pscool的博客
06-18 485
shiro的rememberMe没有生效 我擦,忘了让我的user实现序列化接口了,实现后,测试正常。 其实也应该想到的,shiro有很多log.debug所以最好开启debug日志 默认保留时长是1年,所以修改,设置属性 即可 通过走源码的方式 找到DefaultSecurityManager public class DefaultSecurityManager extends SessionsSecurityManager { public Subject login(Subje
shiro的rememberMe不生效
weixin_30872867的博客
12-03 1140
问题描述:已经设置了map.put("/**", "user"),但是查看网页Cookie没有值。 问题查思路: 1.确定使用UserFilter过滤器,因为只有设置过滤器未user记录了cookie,rememberMe才生效。 2.确定已经设置rememberMe为true。 3.确定CookieRememberMeManager,的正确执行。 解决过程: 确定1,2没有问题,跟踪...
shiro配置rememberMe(记住我)功能时,抛异常SerializationException
weixin_44732379的博客
03-15 270
问题: shrio框架配置"记住我"功能时,控制台抛出异常org.apache.shiro.io.SerializationException 解决: 需将实体类实现序列化 Serializable
解决shiro登录后,isAuthenticated还是false问题
weixin_34402090的博客
02-22 6251
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro登陆成功后被拦截_Springboot+Shiro+redis整合
weixin_39907133的博客
12-13 675
1、Shiro是Apache下的一个开源项目,我们称之为Apache Shiro。它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。shiro属于轻量级框架,相对于security简单的多,也没有securit...
【机房报修管理系统开发日志】1.Shiro的自定义拦截不生效
CheungChingYin的博客
11-06 1006
我的环境 Shiro 1.4.0 SpringBoot 2.0.6 一、遇到的问题 在我刚写好了Realm文件和ShiroConfig文件,做好了自定义拦截,代码如下所示 AdminRealm.java package com.repairsystem.realm; import com.repairsystem.entity.Administrator; import com.rep...
shiro quickstart日志不显示
weixin_43770221的博客
04-01 769
shiro官方Quickstart中的日志无法输出 出错版本: idea 2021 系统MacOS shiro:截止2022.4.1官网最新版 官方git地址:https://github.com/apache/shiro的sample模块中有QuickStart模块 省略配置文件,直接看Quickstart.java import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.*; import org.apache.s
springboot:shiro登录拦截
m0_47268721的博客
09-18 472
shiro的三大对象 Subject:是指用户,即与application进行交互的第三方,不一定是人,也可能是另一个程序。每一个subject都要绑定一个subjectMannger。 SubjectMannger:SecurityManager是Shiro体系结构的核心,并充当一种“伞”对象,该对象协调其内部安全组件,这些安全组件一起形成对象图。但是,一旦为应用程序配置了SecurityManager及其内部对象图,通常就不理会它。 Realm:本质上是特定于安全性的DAO:它封装了数据源的连接详细信
shiro记住功能的前端要怎么写
03-31
shiro记住功能的前端主要需要实现以下几个步骤: 1. 在登录页面添加一个“记住我”的复选框,并绑定相应的事件。 2. 当用户勾选“记住我”复选框时,前端需要将用户名和密码保存到cookie中。 3. 在登录时,前端需要先检查是否存在“记住我”的cookie,如果存在,则自动填充用户名和密码,并勾选“记住我”复选框。 4. 如果用户点击了“退出登录”按钮,前端需要清除保存的用户名和密码的cookie。 下面是一个简单的示例代码: HTML代码: ```html <form> <label for="username">用户名:</label> <input type="text" id="username" name="username"> <br> <label for="password">密码:</label> <input type="password" id="password" name="password"> <br> <input type="checkbox" id="rememberMe" name="rememberMe"> <label for="rememberMe">记住我</label> <br> <button type="submit">登录</button> <button type="button" id="logout">退出登录</button> </form> ``` JavaScript代码: ```javascript // 检查是否存在“记住我”的cookie,并自动填充用户名和密码 if (document.cookie.indexOf('rememberMe=1') !== -1) { const username = localStorage.getItem('username'); const password = localStorage.getItem('password'); document.getElementById('username').value = username; document.getElementById('password').value = password; document.getElementById('rememberMe').checked = true; } // 绑定登录表单的提交事件 document.querySelector('form').addEventListener('submit', (event) => { event.preventDefault(); const username = document.getElementById('username').value; const password = document.getElementById('password').value; const rememberMe = document.getElementById('rememberMe').checked; // 记住用户名和密码 if (rememberMe) { localStorage.setItem('username', username); localStorage.setItem('password', password); document.cookie = 'rememberMe=1'; } else { localStorage.removeItem('username'); localStorage.removeItem('password'); document.cookie = 'rememberMe=0'; } // 发送登录请求 // ... }); // 绑定退出登录按钮的点击事件 document.getElementById('logout').addEventListener('click', () => { localStorage.removeItem('username'); localStorage.removeItem('password'); document.cookie = 'rememberMe=0'; // 发送退出登录请求 // ... }); ```
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值