shiro中session的常见的问题

已于 2023-07-12 13:07:06 修改
阅读量842 收藏 1
点赞数
文章标签: spring boot
于 2023-07-11 20:37:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58259152/article/details/131667666
版权

解决shiro中前后端session共享问题

添加shiro的配置类。

DefaultWebSessionManager 获取请求头中JSESSION ID的值

通过RedisSessionDao 从Redis中查询该值对应的key 如果存在则认为当前用户登录

 @Bean
    public DefaultWebSecurityManager sexcurityManager(){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm());
        securityManager.setCacheManager(cacheManager());
        // 设置session管理器
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }

// 设置缓存管理器
    @Bean
    public CacheManager cacheManager() {
        RedisCacheManager cacheManager = new RedisCacheManager();
        cacheManager.setRedisManager(redisManager());
        return cacheManager;
    }

    @Bean
    public SessionManager sessionManager() {
        /*DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();*/
        MyWebSessionManager sessionManager = new MyWebSessionManager();
        // SessionDao用于操作session对象,再容器中把对象session进行crud
        sessionManager.setSessionDAO(sessionDAO());
        return sessionManager;
    }

    @Bean
    public SessionDAO sessionDAO() {
        // 该类会把对象session进行crud操作
        RedisSessionDAO sessionDAO = new RedisSessionDAO();
        sessionDAO.setRedisManager(redisManager());
        return sessionDAO;
    }

解决前端不支持cookie的效果

原因: 默认DefaultWebSessionManager它只接受Cookie中存储的JsessionId. 查询发现再redis中不存在对应的key.

解决原理:

客户发送请求时,再请求头中携带sessionId, 然后重写DefaultWebSessionManager中getSessionId()的方法。

把sessionId放入请求头

@RestController
/**
 * @RestController是Spring4.0之后新增的注解。
 * 相当于@Controller+@ResponseBody合在一起的作用。
 */
@Api(tags ="登录接口类")
public class LoginController {

    @RequestMapping("/login")
    @ResponseBody
    public Result login(@RequestBody LoginVo loginVo){
        Subject subject = SecurityUtils.getSubject();

        // UsernamePasswordToken 用户名密码令牌
        /**
         * 具体的身份验证逻辑和配置可能因应用程序和使用的身份验证框架
         */
        UsernamePasswordToken token = new UsernamePasswordToken(loginVo.getUsername(), loginVo.getPasword());
        try{
            subject.login(token);
            return new Result(200,"登录成功",subject.getSession().getId());
        } catch (Exception e){
            e.printStackTrace();
            return new Result(500,"登录失败",null);
        }
    }

}

添加前端登录方法

<template>
  <div>
    <el-form label-width="80px" :model="loginForm">
      <el-form-item label="账号:">
        <el-input v-model="loginForm.username"></el-input>
      </el-form-item>
      <el-form-item label="密码:">
        <el-input v-model="loginForm.pasword"></el-input>
      </el-form-item>

      <el-form-item>
        <el-button type="primary" @click="login">创建</el-button>
        <el-button @click="resetForm('ruleForm')">重置</el-button>
      </el-form-item>
    </el-form>
  </div>
</template>

<script>
export default {
  name: "Login",
  // 定义数据
  data(){
    return{
      loginForm:{},
    }
  },
  methods:{
    login(){
      this.$http.post("http://localhost:8080/login",this.loginForm).then(result=>{
                if(result.data.code==200){
                  this.$message.success("登录成功");
                  sessionStorage.setItem("token",result.data.data);
                  this.$router.push("/product")
                /*console.log("对对对");*/
                }else{
                  this.$message.error("账号或密码错误");
                }
      })
    }
  }
}
</script>

<style scoped>

</style>

添加main.js文件

// 创建vue对象
// 设置axios的请求拦截器
axios.interceptors.request.use(config=>{
  // 从localStorage 中 获取token值
  var item = sessionStorage.getItem("token");
  if (item){
    config.headers.token=item;
  }
  return config;
})

重写DefaultWebSessionManager的方法

public class MyWebSessionManager extends DefaultWebSessionManager {

    private static final String AUTHORIZATION = "token";
    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";
    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        //获取请求头中名称为token的内容
        String id = WebUtils.toHttp(request).getHeader("token");
        if (!StringUtils.isEmpty(id)) { //如果存在该token
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "Stateless request");
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        } else {
            //从cookie中获取sessionId.
            return super.getSessionId(request, response);
        }
    }

}

修改shiro配置类

@Bean
    public SessionManager sessionManager() {
        /*DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();*/
        MyWebSessionManager sessionManager = new MyWebSessionManager();
        // SessionDao用于操作session对象,再容器中把对象session进行crud
        sessionManager.setSessionDAO(sessionDAO());
        return sessionManager;
    }

shiroFilter过滤器

运行发现跨域请求,会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。

OPTIONS请求:先头部队。

所以要对OPTIONS请求都要放行。

package com.aaa.filter;

import com.aaa.vo.Result;
import com.alibaba.fastjson.JSON;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.PrintWriter;

/**
 * @ClassName: LoginFilter
 * @Description: TODO
 * @date: 2023/7/11 16:33
 * @author: zzj
 * @Version: 1.0
 */
public class LoginFilter extends FormAuthenticationFilter {

    //未登录访问资源时,会触发该方法。---默认内容是重定向到登录页面---重写改为返回json数据
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        response.setContentType("application/json;charset=utf-8"); //解决响应数据的中文乱码问题
        PrintWriter writer = response.getWriter();
        Result result=new Result(401,"请先登录2",null);
        //吧java对象转换为json字符串---JSON
        String jsonString = JSON.toJSONString(result);
        writer.print(jsonString);
        writer.flush();
        writer.close();
        return false;
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response,Object mappedValue){
        HttpServletRequest requestRequest = (HttpServletRequest)request;
        // 获取请求方式
        String method = requestRequest.getMethod();
        if ("OPTIONS".equals(method)){
            return true;
        }
        return super.isAccessAllowed(request, response, mappedValue);
    }

}

 如何设置前端前置路由守卫

在main.js文件中设置前端前置路由

前置路由守卫是在路由跳转前触发的钩子函数,主要用于登录验证

每个守卫方法接收三个参数:

  • to: Route: 即将要进入的目标 路由对象

  • from: Route: 当前导航正要离开的路由

  • next: Function: 一定要调用该方法来 resolve 这个钩子。执行效果依赖 next 方法的调用参数。

  • router.beforeEach((to,from,next) =>{
  var path = to.path;
  if (path == "/login"){
    return next();
  }
  // 判断是否登录过
  var token = sessionStorage.getItem("token");
  if (token){
    return next();
  }
  return next("/login");
})

    如何防止恶意重复登录

获取当前登录用户的信息,账号退出

后端退出

 后端获取用户信息

 前端

<template>
    <div>
      这是商品的页面
    <el-button type="primary" @click="logout">退出</el-button>
    <el-button @click="info">获取用户信息</el-button>
      <span v-text="userinfo.username"></span>

  </div>

</template>

<script>
export default {
  name: "Product",
  data(){
    return{
      userinfo:{},
    }
  },

  created(){

  },
  methods:{
      info(){
        this.$http.get("http://localhost:8080/user/info").then(result=>{
          this.userinfo=result.data.data;
        })
      },
    logout(){
       this.$http.post("http://localhost:8080/logout").then(result=>{
         console.log(result)
        if (result.data.code==200){
          this.$message.success("退出成功");
          // 清空sessionStorage
          sessionStorage.clear();
          this.$router.push("/login")
        }
      })
    }
  }
}

</script>

<style scoped>

</style>

像太阳那样耀眼
关注
shiro的缓存及session.html
weixin_67696142的博客
06-29 286
shiro的缓存及session.html
shirosession的共享问题与完成前后端权限的校验
07-11
本文将深入探讨Shirosession的共享问题以及如何利用Shiro进行前后端权限的校验。 首先,理解ShiroSession机制至关重要。Session是Web应用程序用于跟踪用户状态的一种机制,它存储了用户登录后的相关信息,...
Spring + Shiro 线程复用时session获取问题
Azhuzhu_chaste的博客
06-28 1065
项目上使用Shiro框架,在使用多线程进行业务处理的时候,发现用shiro获取到的session不对 源码追踪,查找原因 Shiro获取session Session session = SecurityUtils.getSubject().getSession() 然后我们往下看 SecurityUtils 的 getSubject() 方法 /** * Returns the currently accessible {@code Subject} available to t.
Spring boot Shiro 使用DefaultWebSessionManager + MemorySessionDAO 来保存登录的用户,检测相同浏览器的登录情况,检测在不同浏览器的登录。
最新发布
花花鱼的专栏
07-10 295
spring boot 通过shiro 配制,实现session共享,检测不同浏览器的登录情况,同一浏览器的登录情况。
Shiro - 关于session
dengtangu7674的博客
12-01 520
Shiro Session session管理可以说是Shiro的一大卖点。 Shiro可以为任何应用(从简单的命令行程序还是手机应用再到大型企业应用)提供会话解决方案。 在Shiro出现之前,如果我们想让你的应用支持session,我们通常会依赖web容器或者使用EJB的Session Bean。 Shirosession的支持更加易用,而且他可以在任何应用、任...
基于shiro实现session持久化和分布式共享
孟凡霄
06-12 840
前言 本文写下session持久化和分布式共享 基于shiro框架对session的管理机制来实现 必要性 一直处于登陆状态:你登陆微信 不可能三天两头就让你重新登陆吧?而是一直处于登陆状态 除非主动退出微信 session共享 对于分布式系统 一个用户的多次请求到不同的机器上 不可能每次请求都生成一个session 彼此没有联系吧? 而是希望一个用户登陆一次就有一个session 每次请求都会使用这一个session的信息 shirosession的管理机制 shiro
Shiro + Redis 经常提示 UnknownSessionException:There is no session with id [XXX]
良月柒
09-10 1855
背景:整合Shiroredis后,经常会提示There is no session with id报错,但不影响运行。 框架:使用的是shiro-redis框架。 解决方案:重新DefaultWebSessionManager 类的getSessionId 方法,在里面加上 session 是否过期的判断,如果过期就返回 null。 @Override protected Serializable getSessionId(ServletRequest request, Ser..
shirosession的会话管理
02-06
在分布式系统或微服务架构,会话管理成为一个关键问题,因为默认情况下,Shirosession管理是基于单个服务器的,无法在多台服务器之间共享用户会话信息。 在传统的Web应用session信息通常存储在服务器的内存...
springboot +shiro+redis实现session共享(方案二)1
08-08
本文档旨在介绍如何使用 Spring BootShiroRedis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 在实现 session 共享之前,需要在项目引入相关依赖项,包括: * ...
SSM项目集成shiro搭建session共享
04-06
SSM项目集成Shiro搭建session共享是一个常见的需求,特别是在构建分布式系统时,为了实现用户登录状态在多个服务器间的一致性。在这个项目,我们使用了SpringMvc4.3、Spring4.3、Mybatis3.4作为基础框架,Shiro1.4...
shiro redis session共享
05-24
Redis则是一个高性能的键值存储系统,常用于实现分布式环境下的session共享,以解决单体应用或微服务架构session粘滞性问题。 描述提到的"数据库、redis改为本地"意味着在配置Redis服务器可能被设置为...
shirosession问题
2301_77664771的博客
07-15 468
原因: 默认DefaultWebSessionManager它只接受Cookie存储的JsessionId. 查询发现再redis不存在对应的key.客户发送请求时,再请求头携带sessionId, 然后重写DefaultWebSessionManagergetSessionId()的方法。默认session存储再各自服务的内存,可以让session统一存储再redis。我们发现跨域请求,会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。修改shiro的配置类。
SpringBoot整合Shiro使用记住我登录,session获取不到用户信息问题解决
weixin_45616246的博客
11-17 2376
一、自定义一个拦截器实现HandlerInterceptor接口: package com.demengshop.interceptor; import com.alibaba.dubbo.config.annotation.Reference; import com.demengshop.service.AdminUserService; import org.apache.shiro.Sec...
shiro使用reids缓存session 踩坑 (已解决)
reol44的博客
03-19 664
shiro使用redis存储session
Shirosession和cookie
m0_67265464的博客
08-24 2171
注意:在使用SessionListenerAdapter来监听session生命周期时,onStart()方法不能作为用户登陆日志的开始时间节点,因为session的创建是在第一次请求服务器创建的,而不是用户登陆时创建的,所以不要搞混;cookie都是key-value类型的,key的值是可以改变的,这点看下源码就可以知道,存储sessionid的cookie的key的值默认为JSESSIONID.4.此时我们在浏览器看下保存的cookie值,和服务端sessionsessionid时一样的。
解决通过shiro获取登录用户信息时出现的getAttribute: Session atready invalidated的问题
Melo_FengZhi的博客
01-03 2121
  元旦假期自己居然感冒了,不过自己还是逼自己挤出了一点时间出来更新自己的博客。今天的博客写的是我在元旦前解决的一个bug的经过,希望对大家有帮助。   相信大家对Apache Shiro这个框架不陌生,没错,它是一个功能强大且易于使用的Java安全框架,可以进行身份验证,授权,加密和会话管理等等。我在公司开发的项目的登录模块恰好运用到了shiro的身份验证功能,本来一直都相信自己使用的shiro框架开发的登录功能不会有问题,谁知在放假前程序给我整出了Caused by; java.Lang.Ille.
springboot整合shiro无法获取当前用户session值为null
iijik55的博客
04-26 1126
maven包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.3</version> </dependency> 实现AuthorizingRealm接口 //校验权限
shiro 采用redis共享session,出现反序列化错误的排查过程
ght521的专栏
03-30 628
有关jfinal shiro 共享session反序列化
Shiro获取不到用户问题/不同请求不同session
MOKE_SPACE
07-16 4549
这个问题困扰了我好久,看源码从线程分析到Session,最后确定是 session问题,我发现每次在 swagger 请求后,后台的 Shiro 都是重新创建一个 session,且没有把用户信息更新到新的 session 。 也就是说,swagger 的每次请求是没有携带 JSESSIONID 的,而无意间听到前辈说,后端 swagger 一般是不会出现跨域问题,而我却为 swagger ...
shiro通过sessionid获取session
03-01
可以回答这个问题Shiro是一个用于身份验证、授权和加密的Java安全框架。通过以下代码可以通过session id获取session对象: ``` Session session = SecurityUtils.getSubject().getSession(false); if (session != null) { Serializable sessionId = session.getId(); if (sessionId.equals("yourSessionIdHere")) { // session found } } ``` 其,`"yourSessionIdHere"`需要替换为你要获取的session id。注意,如果获取到的session对象为null,则需要根据具体情况进行错误处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值