使用Shiro共享Session模拟单点登录

最新推荐文章于 2023-09-16 23:01:19 发布
最新推荐文章于 2023-09-16 23:01:19 发布
阅读量745 收藏 1
点赞数
分类专栏: 登录相关技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lihaoxiang123/article/details/88744910
版权

首先我们看Shiro的会话管理器的配置

<!-- shiro会话管理 -->
    <!-- 即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的 -->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <property name="cacheManager" ref="redisCacheManager"/>
        <property name="sessionDAO" ref="redisSessionDAO"/>
<!--         <property name="sessionIdCookie" ref="simpleCookie"/> -->
        <!-- 全局的会话信息时间,,单位为毫秒  -->
        <property name="globalSessionTimeout" value="1800000"/>
        <!-- 检测扫描信息时间间隔,单位为毫秒-->
        <property name="sessionValidationInterval" value="60000"/>
        <!-- 是否开启扫描 -->
        <property name="sessionValidationSchedulerEnabled" value="false"/>
        <!-- 去掉URL中的JSESSIONID -->
        <property name="sessionIdUrlRewritingEnabled" value="true"/>
    </bean>

这里是使用DefaultWebSessionManager默认的Cookie配置

public class DefaultWebSessionManager extends DefaultSessionManager implements WebSessionManager {

    private static final Logger log = LoggerFactory.getLogger(DefaultWebSessionManager.class);

    private Cookie sessionIdCookie;
    private boolean sessionIdCookieEnabled;
    private boolean sessionIdUrlRewritingEnabled;

    public DefaultWebSessionManager() {
        Cookie cookie = new SimpleCookie(ShiroHttpSession.DEFAULT_SESSION_ID_NAME);
        cookie.setHttpOnly(true); //more secure, protects against XSS attacks
        this.sessionIdCookie = cookie;
        this.sessionIdCookieEnabled = true;
        this.sessionIdUrlRewritingEnabled = true;
    }
}

这里可以看出Cookie cookie = new SimpleCookie(ShiroHttpSession.DEFAULT_SESSION_ID_NAME);内部默认创建了一个Cookie。

public SimpleCookie(String name) {
        this();
        this.name = name;
    }

 

而ShiroHttpSession.DEFAULT_SESSION_ID_NAME="JSESSIONID";

 

问题来了--》Session失效问题这里为什么为导致Session失效呢?

因为与SERVLET容器名冲突, 如JETTY, TOMCAT 等默认JSESSIONID, 当跳出SHIRO SERVLET时如ERROR-PAGE容器会为JSESSIONID重新分配值导致登录会话丢失效。

 

因此这里需要自己配置Cookie

<!-- shiro会话管理 -->
<!-- 即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的 -->
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
    <property name="cacheManager" ref="redisCacheManager"/>
    <property name="sessionDAO" ref="redisSessionDAO"/>
    <property name="sessionIdCookie" ref="simpleCookie"/>
    <!-- 全局的会话信息时间,,单位为毫秒  -->
    <property name="globalSessionTimeout" value="1800000"/>
    <!-- 检测扫描信息时间间隔,单位为毫秒-->
    <property name="sessionValidationInterval" value="60000"/>
    <!-- 是否开启扫描 -->
    <property name="sessionValidationSchedulerEnabled" value="false"/>
    <!-- 去掉URL中的JSESSIONID -->
    <property name="sessionIdUrlRewritingEnabled" value="true"/>
</bean>

<!-- sessionIdCookie的实现,用于重写覆盖容器默认的JSESSIONID -->
<bean id="simpleCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
    <!-- 设置Cookie名字, 默认为: JSESSIONID 问题: 与SERVLET容器名冲突, 如JETTY, TOMCAT 等默认JSESSIONID,  
                                当跳出SHIRO SERVLET时如ERROR-PAGE容器会为JSESSIONID重新分配值导致登录会话丢失! -->  
    <property name="name" value="SHIRO-COOKIE"/>
    <!-- JSESSIONID的path为/用于多个系统共享JSESSIONID -->
    <!-- <property name="path" value="/"/> -->
    <!-- 浏览器中通过document.cookie可以获取cookie属性,设置了HttpOnly=true,在脚本中就不能的到cookie,可以避免cookie被盗用 -->
    <property name="httpOnly" value="true"/>
</bean>

好了,这里Shiro配置Cookie就完成了。

 

此外,如果要配置多个系统共享Session,放开Cookie中的注释即可。

<!-- sessionIdCookie的实现,用于重写覆盖容器默认的JSESSIONID -->
    <bean id="simpleCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <!-- 设置Cookie名字, 默认为: JSESSIONID 问题: 与SERVLET容器名冲突, 如JETTY, TOMCAT 等默认JSESSIONID,  
                                    当跳出SHIRO SERVLET时如ERROR-PAGE容器会为JSESSIONID重新分配值导致登录会话丢失! -->  
        <property name="name" value="SHIRO_COOKIE"/>
        <!-- JSESSIONID的path为/用于多个系统共享JSESSIONID -->
        <property name="path" value="/"/>
        <!-- 浏览器中通过document.cookie可以获取cookie属性,设置了HttpOnly=true,在脚本中就不能的到cookie,可以避免cookie被盗用 -->
        <property name="httpOnly" value="true"/>
    </bean>

这样多个系统就能共享Session了。

楚江来客
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Shiro - 关于session
dengtangu7674的博客
12-01 484
Shiro Session session管理可以说是Shiro的一大卖点。 Shiro可以为任何应用(从简单的命令行程序还是手机应用再到大型企业应用)提供会话解决方案。 在Shiro出现之前,如果我们想让你的应用支持session,我们通常会依赖web容器或者使用EJB的Session Bean。 Shirosession的支持更加易用,而且他可以在任何应用、任...
shiro集成redis实现分布式session单点登录
热门推荐
luckyxl029的博客
06-08 1万+
shiro是一款出色的权限框架,能够实现诸如登录校验、权限校验等功能,默认情况下,shir将session保存到内存中,这在应用分布式部署的情况下会出现session不一致的问题,所以我们要将session保存到第三方,应用始终从第三方获取session,从而保证分布式部署时session始终是一致的,这里我们采用redis保存session。单点登陆的实现逻辑是在用户登陆时,生成token,然后...
shiro回话管理
weixin_63544775的博客
08-29 264
?>
SpringBoot 整合Shiro实现动态权限加载更新+Session共享+单点登录
z_ssyy的博客
01-15 1625
ADMIN这个号现在没有sys:info:all这个权限的,所以无法访问getInfoAll接口,我们要动态分配权限后,要清掉缓存,在访问接口时候,Shiro会去重新执行授权方法,之后再次把权限和角色数据放入缓存中。Shiro是一个安全框架,项目中主要用它做认证,授权,加密,以及用户的会话管理,虽然Shiro没有SpringSecurity功能更丰富,但是它轻量,简单,在项目中通常业务需求Shiro也都能胜任.再次访问getInfoAll接口,因为缓存中没有数据,Shiro会重新授权查询权限,拦截通过。
shiro获取session用户_Shiro单用户登录,清理之前登录的用户
weixin_36436373的博客
02-04 810
在自定义的realm中的doGetAuthenticationInfo方法中定义,根据传入参数类型的不同选择对应的处理方法/*** new SimpleAuthenticationInfo(user, pwd, this.getName())中的第一个参数是SysUser对象,* 在其他接收的地方也要转成SysUser对象,使用对象这里对应的处理方式是采用方法一,* 如果是传递的use...
shiro+spring+data+session+redis实现单点登录
08-03
shiro+spring+data+session+redis实现单点登录,这是一个不错的案例,学习和参考都是很不错的
shiro+ springMVC + Redis+mysql 实现 单点登录
12-06
Shiro安全框架, 实现系统的单点登陆和登出功能, 包含数据库文件
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
主要介绍了spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制,需要的朋友可以参考下
单点登录sso-shiro-cas-maven
10-19
spring下使用shiro+cas配置单点登录,多个系统之间的访问,每次只需要登录一次 ## 系统模块说明 1. cas: 单点登录模块,这里直接拿的是cas的项目改了点样式而已 2. doc: 文档目录,里面有数据库生成语句,采用的...
Shiro单用户登录
n009ww的博客
06-18 768
有这样一个需求,两地同时使用一个账号登录,需要将先登录的用户的session删除 流程分析 用户登录时判断是否之前改账号在别的地方登录 若没有登录,直接进行登录 若有登录,则找到登录session,给该session做个标记 当之前登录的用户再次进行操作时,判断其是否有标记,有则删除其session,并返回友好提示 自定义登录验证 /** * 自定义realm,用于用户...
springmvc shiro 框架增加 httpOnly
yuguang的博客
07-01 989
<!-- 自定义会话管理配置 --> <bean id="sessionManager" class="com.thinkgem.jeesite.common.security.shiro.session.SessionManager"> <property name="sessionDAO" ref="sessionDAO"/> <!-- 会话超时时间,单位:毫秒 --> <property name="globalSessi.
Shiro实现登录功能
test253506088的博客
06-24 1166
需要导入的依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version> </dependency> Shiro接管了项目的登录功能,我们只要按照Shiro登录流程走(调用方法)就可以了,下面是Shiro登录功能的简单
Shiro的第一个例子(模拟登陆)及其详细流程(一)
qq_37431224的博客
01-09 660
项目结构: 1)引入需要的jar包 <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.11</version> <scope>t...
单点登录系统原理与实现
m0_37911384的博客
10-17 394
一、单系统登录机制 1、http无状态协议 web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系。 但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,必须鉴别浏览器请...
基于SpringbootShiro实现的CAS单点登录
最新发布
神尐破
09-16 2010
单点登录(Single Sign On,SSO)是一种登录管理机制,主要用于多系统集成,即在多个系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无须多次登录。常见的例子就是,当我们在淘宝网上登录了之后,如果再访问天猫网的话是不需要再次登录的。
使用Shiro 实现登录
m0_67392661的博客
04-28 1189
项目的目录结构 1、login.jsp <script type="text/javascript"> function doLogin(){ var username = $("#username").val(); var password = $("#password").val(); $.ajax({ type: "POST", url: "login",
shiro多系统单点登录
m0_67394006的博客
08-24 1028
最近做项目遇到了多个系统权限用的是shiro框架,需要做成单点登录,虽然shiro单点登录提供了shiro-cas的方案,但是不太符合我们现有项目的框架,现在和大家分享一下我是如何实现单点登录。浏览器执行步骤4中返回js,此时访问系统A时携带的cookie中的sessionid是在单点登录系统登录sessionid,A系统ssoFilter发现该用户已登录允许访问本系统资源。登录服务器判断当前用户是否登录如果该用户登录则重定向到用户访问。业务系统A中的SSOFilter。用户第一次访问系统A。
Springboot整合shiro+jwt---实现单点登录,权限认证和控制+实现代码
drnrrwfs的博客
04-26 5665
shiro用来认证用户及权限控制,jwt用来生成一个token,暂存用户信息。jwt生成一个token存储在客户端,每次请求将其存储在header中,解决了跨域,可以通过自定义的方法进行验证,解决了分布式验证的问题。 大体包含哪些类 (1)LoginAction.java (controller层)。 (2)JwtUtil.java(工具类):实现了利用登陆信息生成token,更新token,根据token获取username,token验证等方法。 (3)JWTFilter.java(过滤器):拦截除登陆
shiro框架如何实现单点登录
07-14
Shiro框架本身并没有提供直接的单点登录(Single Sign-On,SSO)功能,但可以与其他支持SSO的框架或协议进行集成来实现单点登录。 一种常见的实现方式是将Shiro与类似于CAS(Central Authentication Service)或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值