shiro1.4.0是不是有bug啊

最新推荐文章于 2024-04-17 02:42:09 发布
最新推荐文章于 2024-04-17 02:42:09 发布
阅读量3.5k 收藏
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hxpjava1/article/details/77915913
版权

做了redis shiro session缓存,但是登入成功后再连接,得不到sessionId,redis又生成一条session缓存,又跳转到登入界限,怎么回事





没有sessionId我怎么从redis读出session


问题在于多次SecurityUtils.getSubject()得到的不是一个对象


subject被重新bind了



结果

bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="userAuthorizingRealm"/>
        <property name="rememberMeManager" ref="rememberMeManager"/>
        <property name="sessionManager" ref="sessionManager"/>
        <property name="cacheManager" ref="shiroCacheManager"/>
        <property name="sessionMode" value="http"></property>
    </bean>

加一个sessionMode解决问题,但是sessionMode已经过期了啊



找到病根DefaultWebSessionManager这个类居然是native的session


问题是<property name="sessionMode" value="http"></property>用了这个后不会更新redis session


找到原因是配置的问题

<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <property name="sessionDAO" ref="sessionDAO"/>
        <property name="globalSessionTimeout" value="1800000"/>
        <property name="sessionValidationInterval" value="120000"/>
        <property name="sessionValidationSchedulerEnabled" value="true"/>
        <!-- <property name="sessionIdCookie" ref="sessionIdCookie"/>
        <property name="sessionIdCookieEnabled" value="true"/> -->
    </bean>

hxpjava1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
Apache Shiro系列漏洞利用以及实战总结
jammny
10-14 1万+
前言: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。 目录 RememberMe RCE-550(CVE-2016-4437) 远程安全限制绕过漏洞(CVE-2016-6802) Padding Orac
shiro 1.4.0所有jar包(全)
02-15
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Shiro框架漏洞总结
zhuyi666的博客
03-23 7804
Apache Shiro是一个强大且易用的Java安全框架,能够用于身份验证、授权、加密和会话管理。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞Shiro拥有易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序到最大的网络和企业应用程序。
shiro漏洞部分修复方法
m0_60721514的博客
04-22 2200
1.shiro反序列化漏洞解决方案: https://blog.csdn.net/ying_521125/article/details/109893850 2.Xss漏洞攻击: 在程序内配有java类XssHttpServletRequestWrapperNew适配器,确定泰安那边的是否有这个类,若没有则加上。这个类引用到的相关类也修改.(SessionFilter) ...
Dependency not found解决方案(Springboot,绝对有效)
最新发布
2301_76268112的博客
04-17 1329
我们学习Python必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有阿里大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
shiro的maven依赖包
m0_67391518的博客
04-07 1862
spring + springmvc + shiro所需引入的shiro以及shiro集成到spring的包,maven依赖如下: org.apache.shiro shiro-core 1.2.1 org.apache.shiro shiro-spring 1.2.1 org.apache.shiro shiro-web 1.2.1 org.apache.shiro shiro-ehcache 1.2.1
Apache Shiro < 1.7.0 权限绕过漏洞集合
java小白翻身
10-08 1046
今天发现阿里云服务器出现了告警: shiro 1.3.2 进程ID:3932 路径:xxx\shiro-core-1.3.2.jar 命中:shiro version less than 1.7.0 网上一搜,找到了如下资料: 2020年11月2日,阿里云应急响应中心监测到Apache Shiro官方发布安全更新,修复了一个最新权限绕过漏洞。攻击者利用该漏洞可以绕过验证访问到后台功能,风险较高。 漏洞描述 Apache Shiro是一个应用广泛的权限管理的用户认证与授权框架。近日,Apache Shiro
shiro 1.4.0 源码、jar包、javadoc
02-12
包含 apache shiro-core v1.4.0 的 java源码、jar包、以及 javadoc。从源码库中整理而来。手动补充了源库 shiro-core-1.4.0-sources.jar 中缺少的 aop、cache、io、event、config、cryptor 等源代码,便于统一查看
Spring Boot 2.0.4 & Shiro1.4.0 权限管理系统
03-08
Spring Boot 2.0.4 & Shiro1.4.0 权限管理系统。 文章地址:https://xttblog.blog.csdn.net/article/details/88353878 FEBS是一个简单高效的后台权限管理系统。项目基础框架采用全新的Java Web开发框架 —— Spring ...
shiro-demo:基于spring-boot2.0.3,shiro 1.4.0版本的简易demo
05-08
基于spring-boot2.0.3,shiro 1.4.0版本的简易demo; 配置文件根据自己的实际需要进行修改。 使用时需要注意跟进自身的实际需要对UserShiroRealm类进行修改; Session管理使用的默认方式,如果需要请根据实际情况...
shiro-core-1.4.0-API文档-中文版.zip
07-12
赠送jar包:shiro-core-1.4.0.jar; 赠送原API文档:shiro-core-1.4.0-javadoc.jar; 赠送源代码:shiro-core-1.4.0-sources.jar; 赠送Maven依赖信息文件:shiro-core-1.4.0.pom; 包含翻译后的API文档:shiro-core...
Apache Shiro核心jar包:shiro-core-1.3.2
12-07
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
shiro-root-1.4.1-source-release.zip
06-10
给广大开发爱好者一个开发框架:shiro-root-1.4.1-source-release.zip
shiro-root-1.4.0
02-22
包含shirojar包和整合配置官方例子说明,以及jar包。 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
shiro-spring-1.4.0-API文档-中文版.zip
07-12
赠送jar包:shiro-spring-1.4.0.jar; 赠送原API文档:shiro-spring-1.4.0-javadoc.jar; 赠送源代码:shiro-spring-1.4.0-sources.jar; 赠送Maven依赖信息文件:shiro-spring-1.4.0.pom; 包含翻译后的API文档:shiro-spring-1.4.0-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.shiro:shiro-spring:1.4.0; 标签:apache、shiro、spring、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
shiro 1.4.1.rar
07-26
Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大. Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单.
Cannot resolve .....报错问题解决
qq_34548728的博客
11-17 3404
当导入maven管理的项目后,maven进行自动的下载和解析依赖,有时候因为网络问题,等待太久没下载好,我们就关闭了IDEA,再次打开IDEA时就会报错某某依赖无法解析:Cannot resolve …,是因为我们下载到一半就关闭了IDEA,导致下载的内容不全,所以无法解析.然后再回idea中点击maven的重新导入按钮,就会重新下载解析了。此时的解决方法是复制报错依赖的版本号前的那段依赖名称:如下图。切换到该文件夹,找到报错文件夹,就能看到待报错的依赖:如下图。找到包下载到那个文件夹中:如下图。
shiro1
Mosqiote的博客
08-12 252
#一,引入shiro框架 *环境:所以将shiro的一些经验记录下来,希望能帮助到读到本文的你,本文环境shiro1.3.2、spring4.3.5没有使用boot、jdk8、tomcat8.5、mysql5.6、redis3.2.11。 目标:通过shiro实现对后端接口进行权限控制,所有静态资源都不需要权限验证,使用redis实现session共享,避免session单点问题。 shiro版本...
漏洞复现】Apache Shiro 反序列化漏洞
热门推荐
网络安全知识分享
12-31 1万+
Apache Shiro 反序列化漏洞一、简介二、环境三、漏洞原理四、AES秘钥1、判断AES秘钥五、Shiro rememberMe反序列化漏洞Shiro-550)1、版本1.4.2之前该版本漏洞利用2、版本1.4.2之后该版本漏洞利用六、Shiro Padding Oracle Attack(Shiro-721)1、漏洞利用七、图形化工具 欢迎大家关注我的公众号“嘀嗒安全” shiro漏洞已经曝光很久了,一直没有整理思路与详细步骤,最近在学习java的反序列化,复现该漏洞来方便之后的学习 一、简介
Apache Shiro 历史版本有哪些
07-29
Apache Shiro 是一个强大而灵活的 Java 安全框架,它提供了身份验证、授权、加密和会话管理等安全功能。以下是 Apache Shiro 的一些历史版本: 1.0.0:Apache Shiro 的第一个正式版本,发布于2010年11月。 1.1.0:发布于2011年12月,增加了对 OAuth 和多因素认证的支持。 1.2.0:发布于2013年6月,增加了对缓存和会话管理的改进。 1.3.0:发布于2014年8月,增加了对无状态 Web 应用程序和 RESTful 服务的支持。 1.4.0:发布于2015年8月,增加了对 Spring Boot 和 Spring MVC 的集成支持。 1.5.0:发布于2017年6月,增加了对 Servlet 3.1 规范的支持。 1.6.0:发布于2020年5月,增加了对 Java 8 的支持,并修复了一些 bug。 这些是 Apache Shiro 的一些主要历史版本,每个版本都带来了新的功能和改进。你可以根据你的需求选择合适的版本来使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hxpjava1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值