在某个请求获取HttpSession时,shiro JSESSIONID被覆盖

最新推荐文章于 2022-05-27 11:31:15 发布
最新推荐文章于 2022-05-27 11:31:15 发布
阅读量704 收藏 2
点赞数 1
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiaxibusizzyu/article/details/105583700
版权

在某个请求获取HttpSession时,shiro JSESSIONID被覆盖

业务场景:在用户登录之后,shiro会在cookies中记录自己的sessionid;它对应的key默认是JSESSIONID;然后在某一次请求获取HttpSession(浏览器与服务器交互第一次获取HttpSession);然后在发送一个新的请求就需要重新登录
具体分析:在shiro登录成功之后会默认的给浏览器cookies中写一个sessionid,key是JSESSIONID(shiro与浏览器);然后再第一次获取HttpSession的时候,session是一个空,他回去新建,新建成功之后他也会返回sessionid,key也是JSESSIONID;他就会覆盖掉shiro的JSESSIONID,所以需要重新登录;具体可以看一下request.getSession();源码,还有shiro登录成功之后的具体流程;
修改办法:设置shiro的key为自定义key,我是把设置成了“sid”

@Bean
    public SessionManager sessionManager(){
        CustomSessionManager customSessionManager = new CustomSessionManager();
        customSessionManager.setSessionDAO(sessionDAO());
        //设置登录超时时间
        customSessionManager.setGlobalSessionTimeout(1000*60*60*2);
        //设置自己的cookies里面的sessionid名称
        SimpleCookie sid = new SimpleCookie("sid");
        customSessionManager.setSessionIdCookie(sid);
        return customSessionManager;
    }
small cai
关注
遇到问题----shrio------shiro登录,多个项目session被覆盖问题---两个web项目会导致shiro的session污染
直到世界的尽头
03-08 1万+
情况遇到问题----shrio------shiro登录,多个项目session被覆盖问题---一个项目两个web模块会导致shiro的session污染表现为 我在同一台机子上部署了两个都使用了shiro管理的web项目。它们的访问路径除了端口不一样,ip是一样的。当两个系统同访问,在一个系统中操作之后另一个系统就会自动退出登录。但是 如果用域名访问就不会出现这个问题。原因web项目的ses
springboot项目中,JSESSIONID互相覆盖问题
逍遥大俠
01-14 3902
一、现象 同一台服务器有两个不同域A(端口:9000)和域B(端口:8000),应用CA在域A中,应用CB在域B中,都使用session保存登录状态,进行如下操作 在同一浏览器中,先登录应用CA,再登录应用CB,然后切回应用CA,发现CA的session丢失,需要重新登录 经过调查发现,切回CA的候,JSESSIONID覆盖成了请求CB的JSESSIONID 二、原因 因cookie冲突导致session丢失 三、原理 1. session原理 我们在保存登录状态的候,后台服务一般都会编写如下代码
JSESSIONID覆盖shiro的session污染问题】
https://blog.csdn.net/sinat_36710456
01-28 685
问题描述: 一台机器上部署系统1和系统2,刷新系统1,系统2需要重新登录,刷新系统2,系统1需要重新登录。一台机器上部署系统1和系统2,刷新系统1,系统2需要重新登录,刷新系统2,系统1需要重新登录。 问题分析: shiro是基于session会话的权限管理,那么浏览器打开一次就会产生一个session,在session活跃期间,只要你浏览器不关闭,session信息是一直有效的。其session信息是写在cookie里的。如果你是两个域的话,session信息不回互相干扰。但如果你是一个域问题就来了,系
Apache Shiro去掉URL中的JSESSIONID
yyf314922957的专栏
04-01 2万+
最近集成框架用到shiro碰到url有候会带上jsessionid候又没有。以前也碰到但是没有深入研究。 网上查了半天各种方法用了都没用。比如web.xml里面加session-config,添加DisableUrlSessionFilter 等等神马都没用。于是自己研究源码。说了半天废话终于进入正题。先申明下我是菜鸟。说的不对的错的请无视。有些是网上复制的。 先说下为什
java 获取jsessionid_如何从JSESSIONID加载Java HttpSession
weixin_34739646的博客
02-16 1722
小编典典public class HttpSessionCollector implements HttpSessionListener {private static final Map sessions = new HashMap();@Overridepublic void sessionCreated(HttpSessionEvent event) {HttpSession session...
jsessionid传递对session实现机制的影响
iteye_15234的博客
07-06 165
近期因工作需求探索apache + resin的多机负载分布和多个webapp统一认证的实现方案, 期间设计多个webapp统一认证的实现方案, 发现resin下通过cookie来传递jsessionid和通过url重写将jsessionid放url中传递, 会有细微的差异.   在servlet规范中,HttpServletSession的获取通过调用request.getSession(...
SpringBoot Shiro用户登录控制及同一浏览器登录多个账号 session相互覆盖问题
qq_38322989的博客
05-27 4273
SpringBoot Shiro 框架实现同一个浏览只能一个账号登录 问题点: 同一个浏览器上登录多个三员账号,后登陆的会覆盖前面的session,但是前面的页面没有退出(后续请求使用的是后登录的用户的session),导致日志记录等获取的当前操作主体不准确 解决: 在 login 方法中加入以下方法 Subject subject = SecurityUtils.getSubject(); if(subject.getPrincipal()!= null){ String msg2=
shiro 拦截未登录的ajax_Shiro是如何拦截未登录请求的(二)
weixin_33548183的博客
01-12 621
前言在上一篇文章{% post_link Shiro是如何拦截未登录请求的(一) %}中提到了,我们在实际的项目中采用了基于token的方式来实现用户的身份鉴权,但是由于开发的候对shiro的内部机制不太了解导致那一块的代码实现不够完善、整洁并且还对业务造成了影响,经过了对shiro源码的跟踪分析之后,我们已经知道shiro是如何拦截未登录请求的了,那么接下来我们开始来针对问题制定相应的解决方案...
Shiro
careyliang的博客
08-07 152
Shiro 身份验证底层实现 依然靠数据库完成账号验证 Shiro处理密码验证 Shiro正常调用流程 Controller 页面请求和页面跳转,Subject.login(token)来调用Shiro验证 AuthorizingRealm的doGetAuthenticationInfo方法,来处理验证信息 在doGetAuthenticationInfo方法中,获取HttpSe...
shiro会话监听_Shiro实战(五) - 会话管理
weixin_34434948的博客
02-11 347
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器Tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性即直接使用Shiro的会话管理可以直接替换Web容器的会话管理1 会话简介即用户访问应用保持的连接关系,在多次交互中应用能够识别出当前访...
浏览器不同窗口不同用户Session问题
04-10
正对java Web项目,同浏览器打开两个登录窗口(不同Tag),用不同用户登录,为避免使用同一个Session,需要使用这段代码。否则先登录的用户的Session会变成后登录用户的Session.相关系统使用权限也会变。
你了解shiro吗?手把手教你集成shiro
阿星君
06-21 180
大家好,今天小编给大家带来的小知识是shiro。不知道大家在平的工作和学习中是否使用它进行过身份验证与鉴权呢?接下来就让阿Q带大家一起来学习并实践一下。 Shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作可能并不需要那么复杂的东西,所以使用小而简单的 Shiro
关于两个用户用同一浏览器不能同登录同一网站的问题(session覆盖问题)
热门推荐
一个安全研究员
09-11 2万+
mask和一个小伙伴最近在帮学校搭一个网站,大体完工后,小伙伴告诉mask网站有bug——使用两个用户登录该网站,第一个用户会被挤掉。拿到问题,我就觉得应该是session的问题(网站使用session进行身份验证),于是我用两个不同的浏览器分别登录这两个账户,发现没再出现这一问题,看了果然应了我的想法,session设置有问题。 想了一下网站的应用场景也没在意这个问题,但是我一直记着。今天就...
shiro登录,多用户登陆,session被覆盖问题(解决)
lgf_201212的博客
01-20 1436
@Bean public DefaultWebSessionManager sessionManager() { DefaultWebSessionManager shiroSessionManager = new ShiroSessionManager(); shiroSessionManager.setSessionDAO(redisSessionDAO()); shiroSessionManager.setSessionIdCookieEnabled(false); //此处.
shiro中session缓存中关于JSESSIONID失效问题
Anxiaolu的博客
05-14 7226
考研期间,再次抽点间来搞点开发(其实上的课不想听又放不下之前弄了一半的东西,所以有点开小差了.....),哈哈。用一个小dmeo来学习shiro的权限分配管理,在学习其中的在线会话管理,要用到sesssion管理,结果跟着张凯涛的shiro教程学到这里后使用了自定义实现的缓存管理和session管理,碰到了这么个错误。    测试的候一直是拿后台的登录页面进行测试。在最初请求该页面,shir...
web 浏览器 JSESSIONID 名称被覆盖问题修复 项目一的cookie默认名称是JSESSIONID
MRchen009的博客
04-23 797
项目一的cookie默认名称是JSESSIONID 项目二的cookie默认名称也是JSESSIONID 导致JSESSIONID value值被覆盖 导致其中一个需要重新登录 项目二的cookie 决绝方案: 在application.yml 配置如下信息就可以防止被覆盖了 server: port: 8081 servlet: session: cookie...
shiro是如何实现httpsession的操作的
weixin_34007879的博客
12-11 451
为什么80%的码农都做不了架构师?>>> ...
shiro使用JSESSIONID获取用户信息和判断是否登陆
fuck487的博客
11-16 9528
原文:https://blog.csdn.net/zmken497300/article/details/52278913/ /** * 验证是否登陆 * * org.apache.shiro.subject.support.DefaultSubjectContext_AUTHENTICATED_SESSION_KEY ; true * org.apa...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值