解决shiro重定向URL中出现sessionID的情况localhost:8080/toLogin;jsessionid=D5C1EE61B97EE2D7098F58A837B82BD4

已于 2022-05-18 20:40:55 修改
阅读量4.7k 收藏 4
点赞数 4
文章标签: java
于 2022-04-18 19:10:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_cpp_/article/details/124256865
版权

先直接说解决办法:
直接在shiro配置类中添加一下代码就能解决:

@Configuration
public class MyShiroConfig {
    /**
     * 解决shiro的URL中出现sessionID的情况
     * EG: localhost:8080/toLogin;jsessionid=D5C1EE61B97EE2D7098F58A837B82BD4
     * @return
     */
    @Bean
    public DefaultWebSessionManager sessionManager() {
        DefaultWebSessionManager defaultWebSessionManager = new DefaultWebSessionManager();
        defaultWebSessionManager.setSessionIdUrlRewritingEnabled(false);
        return defaultWebSessionManager;
    }
}

然后将该bean注入到DefaultWebSecurityManagerbean中即可,一下是完整写法:

@Bean(name = "securityManager")
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("realm") MyRealm myRealm, @Qualifier("webSessionManager") DefaultWebSessionManager sessionManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm);
        securityManager.setSessionManager(sessionManager);
        return securityManager;
    }
/**
     * 解决shiro的URL中出现sessionID的情况
     * EG: localhost:8080/toLogin;jsessionid=D5C1EE61B97EE2D7098F58A837B82BD4
     * @return
     */
    @Bean
    @Qualifier("webSessionManager")
    public DefaultWebSessionManager sessionManager() {
        DefaultWebSessionManager defaultWebSessionManager = new DefaultWebSessionManager();
        defaultWebSessionManager.setSessionIdUrlRewritingEnabled(false);
        return defaultWebSessionManager;
    }

添加后重启项目就会生效,URL中不会出现类似;jsessionid=D5C1EE61B97EE2D7098F58A837B82BD4的sessionID信息

关于这个问题是怎么出现的,可以大致这样理解:
1、当访问localhost:8080/,测试shiro进行拦截发现还没登录,则shiro则会在内部进行一个重定向到localhost:8080/toLogin
2、但是server服务器并不知道是shiro的重定向,重定向的请求中没有session、cookie等信息,服务器就会以为是客户端禁用了该功能,所以服务器就自动为其分配一个sessionid
3、所以响应到客户端的url就被添加上了sessionid

JavaWizard-M
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot项目前后端分离使用shiro情况解决sessionid不同问题
chenyidong521的博客
08-12 1万+
遇到的问题 开发遇到开发app或者前后端分离的项目时候,使用ajax等方式向后台访问的时候session每次都不同,这样使用shiro验证全是不能通过.原来我们使用的是token的方式,可以自己通过验证token来实现权限判断问题,但是使用shiro我们还需要自己写权限判断.那么如何实现shiro通过token来进行sessionid不变呢. 我们通过配置shiro的session管理器来解...
java8源码-ebe-shop:基于SpringBoot+Shiro+Layui构建的商城商店系统,演示地址:http://tysxquan
06-04
java8 源码 ebe-shop 记得安装lombok插件 ...提,或者您发现问题并有非常好的解决方案! 个人开发者不易维护,如有问题或建议可以加我QQ:1042951771 开发环境:IDE:IntelliJ IDEA、DB:Mysql 5.7.
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 1、开发环境 MyBatis-Plus版本: 3.1.0 SpringBoot版本:2.1.5 JDK版本:1.8 Shiro版本:1.4 Shiro-redis插件版本:3.1.0 2、数据库测试号的密码进行了加密,密码皆为123456
解决Shiro第一次定向url携带jsessionid问题
Ruanes的博客
09-05 2627
Shiro在进行第一次定向时会在url后携带jsessionid,导致访问400。 实力有限,就不分析源码了,需要了解原因的可以查看ShiroHttpServletResponse类encodeRedirectURL、encodeRedirectUrl、toEncoded等方法,直接说下解决办法 解决办法: 创建一个DefaultWebSessionManager类实例,并将它的sessionIdUrlRewritingEnabled属性设置成false 再在DefaultWebSecurityMan
关于spirngboot项目localhost:8080任意接口直接跳转到login界面的问题
最新发布
一杯梅子酱的博客
04-21 379
2.新启动SpringBootDemoApplication。在项目的pom.xml依赖使用了security依赖项。
解决Shiro第一次定向url带有jsessionid导致400错误
shellhard的博客
02-20 2706
Shiro进行第一次定向时,会在url后携带jsessionid,这会导致400错误(无法找到该网页)。 原因在于ShiroHttpServletResponse配置类的doIsEncodeable当,会将url自动拼接jsessionid解决办法: 在Shiro的配置类的sessionManager()方法,将sessionIdUrlRewritingEnabled属性设置为false。该方法返回一个DefaultWebSessionManager实例。 将上面方法返回的实例设置为Defa
shiro定向时URLJSESSIONID问题
魏晋风范
01-18 1万+
最近开始在项目使用shiro作为权限控制,配置成功后,访问一切正常。但发现在向登录页面定向时,URL总是待;JSESSIONID=****,这时Session的另一种使用方式(一种是Cookie)。本来也不影响使用,但是据说这种方式有漏洞,再就是这样看着实在是不爽。那怎么去掉呢? 第一步:刚开始我以为是tomcat的问题,于是就百度了下tomcat怎么取消urlJSESSIONID
定向出现jsessionid=xxx路径的问题
u011709128的专栏
09-24 4056
web.xml文件配置第一点,注意配置版本为3.0版本,Servlet3.0规范的<tracking-mode>允许你定义JSESSIONID是存储在cookie还是URL参数。如果会话ID存储在URL,那么它可能会被无意的存储在多个地方,包括浏览器历史、代理服务器日志、引用日志和web日志等。暴露了会话ID使得网站被session劫持***的几率大增。然而,确保JSESSIO...
Spring配置shiro时自定义Realm属性无法使用注解注入的解决办法
08-26
在Spring集成Shiro进行安全控制时,我们常常需要自定义Realm来实现权限验证与授权功能。然而,在实际操作,可能会遇到一个问题:当我们在自定义的Realm类使用注解(@Autowired)尝试注入Spring管理的Bean时,这些...
JavaEESecurityExample:Java EEShiro 安全示例
05-31
Java EE(Java Platform, Enterprise Edition)是用于构建企业级应用程序的平台,它包含了各种服务、API和协议,为开发人员提供了构建分布式、多层应用程序的框架。在Java EE,安全性是一个至关要的方面,它确保...
对应本博客:shiro、基于url权限管理章节的源代码
10-14
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及加密(Cryptography)等功能,广泛应用于Web应用的安全管理。本博客主要关注的是如何利用Shiro进行基于URL的...
去掉shiro登录时url里的JSESSIONID
dwangel
02-05 845
经过查找论坛和分析源码,确认了是在ShiroHttpServletResponse里加上的。 因此extends,覆盖相应方法,把添加JSESSIONID部分去掉。 [code="java"] public class MyShiroHttpServletResponse extends ShiroHttpServletResponse { public MyShiroHttpServ...
shirosession的问题
2301_77664771的博客
07-15 403
原因: 默认DefaultWebSessionManager它只接受Cookie存储的JsessionId. 查询发现再redis不存在对应的key.客户发送请求时,再请求头携带sessionId, 然后写DefaultWebSessionManagergetSessionId()的方法。默认session存储再各自服务的内存,可以让session统一存储再redis。我们发现跨域请求,会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。修改shiro的配置类。
Shiro跳转登录url后面会加上JSESSIONID导致报错
Java精灵
08-27 694
想要去掉JSESSIONID就需要写会话管理器。
shiro session每次请求都不一样_Shiro使用Jwt达到前后端分离
weixin_39653405的博客
11-26 686
作者:fzsywhttps://www.cnblogs.com/fzsyw/p/11405504.html1,概述前后端分离之后,因为HTTP本身是无状态的,Session就没法用了。项目采用jwt的方案后,请求的主要流程如下:用户登录成功之后,服务端会创建一个jwt的token(jwt的这个token记录了当前的操作账号),并将这个token返回给前端,前端每次请求服务端的数据时,都...
RBAC权限与shiro登录与session的思考
wangzibai的博客
12-10 1054
RBAC权限与shiro登录与session的思考 1. 用户登录状态的思考 1.1 Session 参考 多态电脑登录同一个用户/一台电脑登录多个用户 服务端如何识别并处理? cookie/session 来保存交互记录从而实现更多功能 Session 提供了一种用户跨多个页面请求/访问某个web 服务器的用户信息跟踪、识别机制。 Session在网络协议表示面向连接、保持状态的含义 session的实现也许借助cookie在客户端保存标识以便用户身份认证 1.2 cookie 由浏览器存储的源
Apache Shiro去掉URLJSESSIONID
热门推荐
yyf314922957的专栏
04-01 2万+
最近集成框架用到shiro碰到url有时候会带上jsessionid有时候又没有。以前也碰到但是没有深入研究。 网上查了半天各种方法用了都没用。比如web.xml里面加session-config,添加DisableUrlSessionFilter 等等神马都没用。于是自己研究源码。说了半天废话终于进入正题。先申明下我是菜鸟。说的不对的错的请无视。有些是网上复制的。 先说下为什
记一次蛋疼的tomcat、shiro自动生成的JESSIONID去除历程..........
hackerHL的博客
08-25 6148
近日手头上有一份蛋疼的渗透测试报告,洋洋洒洒列了几十条,本菇凉连月加班才勉勉强强,从对这些漏洞的无知,到为web打补丁、防攻击,真是心力交瘁,内忧外患。 今天遇到的漏洞,学名为:会话cookie通过URL传递 按照字面理解呢,就是JESSIONID放在url,直接列在浏览器上,安全公司认为这是敏感信息,不宜大张旗鼓的展示。 好吧,我改。55555555555........... 先给大...
shiro获取session用户_shiro 获取请求头sessionId
05-19
可以使用 Shiro 的 Subject 对象获取当前用户的 Session,具体代码如下: ```java Subject currentUser = SecurityUtils.getSubject(); Session session = currentUser.getSession(); Object sessionId = session.getId(); ``` 如果你想获取请求头sessionId,可以使用 HttpServletRequest 对象获取,具体代码如下: ```java HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest(); String sessionId = request.getHeader("sessionId"); ``` 然后你可以将 sessionId 作为参数传递给 Shiro 的 SessionManager,从而获取对应的用户 Session。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值