Shiro认证信息是如何保持至浏览器的?

最新推荐文章于 2023-04-16 22:27:28 发布
最新推荐文章于 2023-04-16 22:27:28 发布
阅读量382 收藏
点赞数
分类专栏: # shiro-jwt 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37642480/article/details/116376562
版权

  • 每个浏览器的cookie中都保存某个站点的cookie,cookie中保存的是key-value键值对
    在这里插入图片描述
    在这里插入图片描述

  • 用户登录时进行认证,认证成功后,服务器shiro会保存已经认证的JSESSIONID值

  • JSESSIONID的值会一直保存在web服务器

  • 退出浏览器再次查询界面时,认证失效,其原因是浏览器的JSESSION的值已经发生改变,不在是刚才认证的那个JSESSIONID了

  • 手动修改JSESSIONID后,不需要认证又可以进入需要认证的界面了

  • 当进行subject.logout()操作后,JESSIONID的值才会从web服务器删除

  • 如果不使用shiro,需要自己手写token,和服务器交互,来保持当前认证状态
superkcl2022
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro授权缓存
Entodie的博客
09-04 663
1、授权和身份验证缓存关键点基本一样 不同点: 1、RedisCacheManager 创建授权和身份验证的名字key不同,但是Rediscache为同类不同对象,保存在currrentmap里面 2、保存在redis中的key不同: 授权keykeyprifix+principals 身份验证keykeyprifix+username ...
Shiro教程(六)Shiro整体的配置文件
baidu_37366055的博客
03-02 1370
因为 Shrio 和整体项目结合的话,细节问题还是比较多。我要侧重讲一些地方。下面我先把我整个项目的 Shiro 配置文件先贴出来,如果你需要哪个类的实现方式,你可以针对性的查找,或者问我。 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org...
aes key长度_原创 | 浅谈Shiro反序列化获取Key的几种方式
weixin_39946767的博客
11-22 637
点击“关注”了解更多信息关于Apache Shiro反序列化在shiro≤1.2.4版本,默认使⽤了CookieRememberMeManager,由于AES使用的key泄露,导致反序列化的cookie可控,从而引发反序列化攻击。(理论上只要AES加密钥泄露,都会导致反序列化漏洞)利用的两个关键条件是key和可用gadget。1.2.4版本默认key为kPH+bIxk5D2deZiIxc...
SpringBoot之整合Shiro(最详细)
热门推荐
Java追求者的博客
05-31 4万+
1.SpringBoot整合Shiro思路 2. 环境搭建 2.1 创建项目 2.2 引入依赖 pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency&g
[Java反序列化]Shiro反序列化学习(一)
feng的博客
08-24 2365
前言 看了点Servlet就回来直接看《Java安全漫谈》了,赶紧学点东西,过几天开学回去背sb马原就学不了了。 学习的是**《Java安全漫谈 - 15.TemplatesImpl在Shiro中的利用》**,因为之前刚把TemplatesImpl动态加载字节码还有它的应用CC3给学了,所以学习一下这篇文章。P神主要的还是结合CC6这个通用链,来对1.2.4及其之前的shiro存在的漏洞进行攻击,其中利用TemplatesImpl来对CC6进行改进。我个人感觉其实叫CC3在Shiro的应用更为确切,所以我也
shiro之记住登录信息
08-29
本文将详细介绍 Shiro 如何实现“记住登录信息”(RememberMe)的功能,帮助用户在关闭浏览器后仍能保持登录状态,以便在下次打开时无需重新登录。 1. **RememberMe 的工作原理** RememberMe 功能主要依赖于 ...
shiro-master
01-03
6. **Remember Me & SSO**:Remember Me 功能允许用户在一次登录后,即使关闭浏览器再次打开也能保持登录状态。而Single Sign-On(单点登录)则是用户在一次认证后,可以在多个相互信任的应用系统间自由切换,无需...
shiro相关实现例子以及shiro教程文档
12-25
4. **Remember Me Example**:记住我功能,让用户在关闭浏览器后仍能保持登录状态。 5. **Caching Example**:缓存管理,利用缓存提高性能和减少数据库交互。 6. **Filter Chain Configuration Example**:过滤器...
Java SSM、 shiro开发用户登录权限认证的实例demo
07-31
Java SSM(Spring、Spring MVC、MyBatis)与Apache Shiro框架的结合使用,是构建Web应用中用户登录权限认证的一种常见方案。本实例demo将深入探讨如何利用这两个强大的工具来实现安全、高效的用户身份验证和授权。 ...
shiro-root-1.4.0-RC2.rar
12-14
4. **Remember Me**:记住我功能示例,让用户在关闭浏览器后仍然保持登录状态。 5. **Restful**:对于RESTful API的保护示例,展示如何处理HTTP基本认证和令牌认证。 6. **Spring Integration**:与Spring框架集成...
Shiro 实战教程(上)
weixin_43566977的博客
06-03 1723
注:该shiro教程来源于B站上的一个教程,由于源码是付费的,我就不分享了,下篇讲解springboot搭配shiro进行使用。 我的个人博客: 天涯志 我的公众号:菜鸟小谢 1.权限的管理 1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证认证通过后用户具有.
shiro在配置文件中实现授权
常军凯的博客
06-17 750
创建项目,引入jar包 创建maven 在pom.xml文件中引入jar <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance...
X-ray捡洞中遇到的高频漏洞(Shiro默认key、备份文件&敏感目录泄露、Druid未授权访问、phpstudy-nginx解析
begefefsef的博客
04-11 2762
文章首发于Freebuf https://www.freebuf.com/articles/web/304364.html 用 X-Ray 刷洞发现一些出现频率高的漏洞,把漏洞原理和利用方式稍作整理,按照危害排名,低危漏洞可以收集一些信息然后深度利用变高危 文章目录 直接利用 Shiro默认key Sql注入 备份文件&敏感目录泄露 Druid未授权访问 XSS 有条件利用 phpstudy-nginx解析漏洞 dedecms-cve-2018-6910 鸡肋 Apa..
shiro反序列化漏洞复现(CVE-2016-4437)
huangyongkang666的博客
04-14 3627
shiro反序列化漏洞复现(CVE-2016-4437) 1.漏洞简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro易于理解的API,开发者可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序 漏洞原理: 在Shiro <= 1.2.4中,反序列化过程中所用到的AES加密的key是硬编码在源码中,当用户勾选RememberMe并登录成功,Shiro会将用户的cookie值序列化,AES加密,接着base64编
Shiro笔记(三)----Shiro配置文件ini详解
fendo
07-09 3万+
一、INI简介 INI配置文件是一种key/value的键值对配置,提供了分类的概念,每一个类中的key不可重复,#号代表注释,shiro.ini文件默认在/WEB-INF/ 或classpath下,shiro会自动查找,INI配置文件一般适用于用户少且不需要在运行时动态创建的情景下使用。 1.在web.xml中配置shiro的过滤器 要使用Shiro必须在web
Shiro 自学笔记六】Shiro 的默认缓存机制和 Redis 实现缓存
Koorye今天自学了吗
07-24 2053
文章目录Shiro 的登录验证机制Shiro 的默认缓存机制导入依赖配置 RealmRedis 实现缓存导入依赖修改配置配置 Redis 序列化编写 Service 层配置 Redis 缓存配置 Redis 缓存管理器修改 Shiro 配置类测试 上一期我们实现了登录验证,然而,每次登录 Shiro 都需要去查询一次数据库,而查询数据库是极其耗费资源的,因此,我们需要引入缓存来减小资源开支。 Shiro 的登录验证机制 我们给 Service 层加入日志打印,再行测试: @Service public c
使用shiro对数据库中的密码进行加密存储(java+springboot+shiro
最新发布
jakelihua
04-16 1899
shiro加盐,加密,数据库加密存储
Shiro高版本默认密钥的漏洞利用
12-10 6348
Shiro反序列化漏洞修复的过程中,如果仅进行Shiro的版本升级,而没有重新生成密钥,那么AES加密的默认密钥扔硬编码在代码里,仍然会存在反序列化风险。01、漏洞案例本案例引用的shi...
Shiro主配置文件分析
weixin_66107852的博客
04-10 270
Shiro主配置文件分析
如何使用Shiro进行用户的认证以及授权?
03-08
要使用 Shiro 进行用户认证,需要先创建一个 Realm 对象,然后在 Realm 中实现认证逻辑,比如查询数据库中的用户信息并验证密码。在应用程序中,可以通过调用 SecurityUtils.getSubject() 方法获取当前用户的 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值