shiro相同subject重复登录问题

最新推荐文章于 2023-03-19 21:09:27 发布
最新推荐文章于 2023-03-19 21:09:27 发布
阅读量9.4k 收藏 3
点赞数
分类专栏: web后台 文章标签: shiro 异常
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lcbiao45/article/details/72784128
版权

刚学shiro不久,在相同的subject重复登录时,也就是登陆成功的subject再次登录时出现空指针异常.出现的位置是处理登陆失败的controller方法.

我往前追溯发现是shiro的filter在认证的时候是先通过isAceessAllowed()方法的实现进行判断是否已经登录认证的
而这个isAceessAllowed()方法的实现如下,其实是调用了当前subject的一个isAuthencated()方法


而,这个方法是获取一个叫做authenticated的boolean参数,这个参数就是代表当前subject是否登录的标志,当你登录成功时会被赋值为true

既然来龙去脉已经明白,那么言归正传,为什么会出现空指针异常呢?原来是subject已经登录,导致isAceessAllowed()判断为真,所以过滤器直接就放行了,而shiro的配置是登录的时候用POST方式处理,所以自然而然就跳到了处理登录页的POST的Controller中,而正常情况下shiro在认证错误抛出异常的时候会直接跳转到POST的controller中,而且我在controller中写了异常类型的判断.

由于是重复登录,并没有异常错误,所有exceptionName其实是null,而在异常类型判断的时候调用了equals()所有出现了空指针异常.

解决方法就是在异常判断之前先进行非空判断,如果为空则设置返回类型为重复登录就行了.

lcbiao45
关注
专栏目录
Shiro实现互斥登录,并踢出登录用户功能。
08-20 1454
作为一名小白,初遇到这种业务也着实头疼了一段时间。经历了各种查资料,总结出了一个相对简便的方法。 首先在登陆之后使用 Collection<Session> list = sessionDAO.getActiveSessions(); 方法获取...
Shiro 之简单Subject 登录、认证、权限检查
Zllvincent的博客
09-21 9389
一、简介 使用INI 配置文件创建一个简单的登录授权管理,相关权限检查。 二、工程创建 1.maven依赖文件pom.xml 添加如下依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> &lt...
SpringBoot 整合Shiro 遇到多次重复调用登录方法的问题
sandwichhmzh的博客
04-23 6721
 SptringBoot在整合Shiro在设定登录url(shiroFilterFactoryBean.setLoginUrl("/login"))时发现,一直在登录里面循环调用/login。 @RequestMapping(value = "/login") public String login(HttpServletRequest request, ModelMap map) { Stri...
一个用户在同一个浏览器多次登录shiro互踢的问题
許先生的博客
11-02 4883
关键代码如下: //判断是否同一个用户再同一个浏览器中登录,是就不踢除 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException { //获取基于用户名和密码的令牌 //实际上这个...
Shiro的验证机制 和同一浏览器 多次登录的BUG
zhangxinly的博客
05-19 6230
Shiro同时登陆多个账户异常 5条回复 5571 views 关于一个浏览器同时登陆多个账户,自动跳转到原登录页面的逻辑错误。 方法1 对shiro源码进行了调试,发现是AuthenticationFilter验证逻辑的问题: 1.它首先验证是否有允许访问页面(isAccessAllowed方法)。 2.在拒绝访问中(FormAuthenticationFilt
springboot集成shiro禁止用户多点登录重复登录剔除
热门推荐
qq_35113996的博客
11-19 1万+
近期用springboot整合shiro,进行了一个小项目。因为shiro只是一个Java安全框架,并不会做重复登录的拦截,当一个用户登录成功后(chrome登录),再用另外一个浏览器登录(IE登录)或者另外一台电脑进行登录,两个都会登录成功,两个不同的session。(题外话:同一个浏览器登录后,再打开一个标签页访问项目会直接进入登录后跳转的页面,两者是同一个session。) 预期目的:不允...
Shiro使用手册
03-29
- **定义**:Shiro 提供了一个跨平台且一致的会话管理 API,使得开发人员可以在任何应用层面上使用相同的会话管理机制。 - **作用**:提供统一的会话编程模型,适用于各种类型的应用程序。 ##### 3.4 CacheManager ...
关于shiro同一帐号同一时刻多处登录问题
henry_chatter的博客
12-08 6844
这段时间做项目遇到一个关于shiro登录问题。同一帐号不能同时登录,如果同时登录的话前面一个人的session就失效。百转千回,因为shiro登录到权限控制没有任何问题,就把问题点转移到存储端。去检查redis,检查reids的配置相关,结果也没发现什么毛病。后来在网上查阅文章,多看了看shiro相关的东西。问题锁定在shiro控制同一用户不能在同一时刻多处登录,然后修改程序: 1.s
Shiro安全框架
weixin_35994859的博客
02-05 227
Shiro安全框架 1 认识Shiro 1.1 Shiro介绍 ​ Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 Apache Shiro 是 Java 的一个安全( 权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境。 Shiro 可以完成:认证、授权
Shiro安全框架最全面解析
S_mengyong的博客
06-28 1297
Shiro 一、权限框架介绍 1. 什么是权限管理 权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。   权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.1 用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一
shiro session互踢,一个用户只能一处登录
liuzhen_333的专栏
04-18 7270
shiro 实现redis共享session, 一个用户只能一处登录 shiro 核心类AuthorizingRealm, 自己写一个类AuthRealm继承AuthorizingRealm @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws Authe...
Spring + Shiro 线程复用时session获取问题
Azhuzhu_chaste的博客
06-28 1054
项目上使用Shiro框架,在使用多线程进行业务处理的时候,发现用shiro获取到的session不对 源码追踪,查找原因 Shiro获取session Session session = SecurityUtils.getSubject().getSession() 然后我们往下看 SecurityUtils 的 getSubject() 方法 /** * Returns the currently accessible {@code Subject} available to t.
apache shiro 保证一个用户只能在一个客户端登录,实现一个用户的互踢,基于hashmap的实现
zouhong19的博客
07-26 2513
apache shiro 保证一个用户只能在一个客户端登录,实现一个用户的互踢 找到原项目的XXXRealm类,该类继承了AuthorizingRealm 在XXXRealm类中重写doGetAuthenticationInfo(AuthenticationToken token)方法 在XXXRealm类中new的一个存储数据的容器,本文代码使用hashmap,当然也可以...
springmvc+shiro用户登录后更改用户名怎么样更新subject中的principal
lixuanfeng blog
06-24 6214
springmvc+shiro用户登录后更改用户名怎么样更新subject中的principal 用户登录后,有一个功能是修改用户信息,比如用户名,当更改过用户名后,页面顶部显示的用户信息是从之前登录时在realm中生成的AuthenticationInfo, 这里面的用户名还是修改之前的,如果想在修改用户名之后更新AuthenticationInfo,要怎么办? ShiroUser user =...
Web应用安全————多点登录互斥
Morty的技术乐园
09-22 2560
引言 在实际生活中,很多网站都做了多点登录互斥的操作,简单来说就是同一个账号,只能在一台电脑上登录,如果有人在其他地方登录,那么原来登录的地方就会自动下线,再进行操作就会弹出登录界面。 实现思路 在《Web应用安全————账号冻结与 Session 实时失效》中,我们通过map 来维护一个全局的“用户名 - Session Id” 关系,这样,就可以方便的根据用户名来找到此用户的Sessio...
shirosubject创建,以及shiro如何保证用户登录状态
qq_45507768的博客
03-19 1643
在该仓库下的adminsys项目)。重要概念什么是subjectsubject是一个主体,用于保存一个用户或者是一个对象,指代和当前应用交互的任何对象。它更像是一个门面,只要是关于认证和授权的操作都需要委托它去完成。提出问题问题背景:在一个springboot项目中整合了shiro做认证授权,由于srpingboot的web-starter中内嵌了tomcat,而tomcat是使用线程池去处理浏览器发来的每一个请求。已知条件:假如这是用户第一次登陆,访问对应login接口。
shiro中给某个接口添加权限的两种方法,若没有权限则返回特定值
m0_67266585的博客
08-24 1337
接口需要有user:add权限才可访问。
Shiro 控制并发登录人数限制实现,登录踢出实现
AinUser的博客
03-14 1万+
Shiro + SSM(框架) + Freemarker(jsp)讲解的权限控制Demo,还不赶快去下载? 我们经常会有用到,当A 用户在北京登录 ,然后A用户在天津再登录 ,要踢出北京登录的状态。如果用户在北京重新登录,那么又要踢出天津的用户,这样反复。 这样保证了一个帐号只能同时一个人使用。那么下面来讲解一下 Shiro  怎么实现这个功能,现在是用到了缓存 Redis  。我们也
shiro注销其他用户_Shiro实现互斥登录,并踢出登录用户功能。
weixin_33587161的博客
01-30 1035
作为一名小白,初遇到这种业务也着实头疼了一段时间。经历了各种查资料,总结出了一个相对简便的方法。首先在登陆之后使用Collection list = sessionDAO.getActiveSessions();方法获取到所有登录的用户,循环该list,取到集合中单个的session对象Subject s = new Subject.Builder().session(session).build...
shiroSubject
最新发布
06-13
SubjectShiro的核心概念之一,它是所有安全交互的中心点,代表了应用程序中的某个用户或角色。 SubjectShiro中扮演的角色如下: 1. **身份标识**:Subject关联了一个或多个人或角色的标识,比如用户名、密码或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值