shiro将ServletHttpSession包装成了ShiroHttpSession

最新推荐文章于 2024-05-16 10:23:10 发布
最新推荐文章于 2024-05-16 10:23:10 发布
阅读量207 收藏 1
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67402564/article/details/124344152
版权

最近在做Oauth SSO单点登录集成,目标有三个:
A:各个业务系统在统一门户登录,各业务系统不用再次登录,即SSO;
B:原来各业务系统的登录入口暂时保留;
C:解决同一个浏览器登录多个账户,session覆盖的问题。

因为业务系统使用的是SpringMVC,并且使用了shiro安全框架。我的实现逻辑是,先执行OauthFilter,后执行Shiro认证。

但是在shiro中session设置的属性,在OauthFilter中始终无法获取,于是决定打印一下日志。

在shiro中:

HttpSession session = req.getSession();
System.out.println("shiroFilter-session:"+session);
session.setAttribute("CURRENT_USER"+accessToken, token.getUsername());

在OauthFilter中:

HttpSession  session = request.getSession();
System.out.println("OauthFilter-session:"+session);

输出日志:

shiroFilter-session:org.apache.shiro.web.servlet.ShiroHttpSession@757b94e7
OauthFilter-session:org.apache.catalina.session.StandardSessionFacade@69093ef8

发现,这两个session不是同一个Session,shiro将ServletHttpSession转换成了ShiroHttpSession。
跟踪一下源码:AbstractShiroFilter

    protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain)
            throws ServletException, IOException {

        Throwable t = null;

        try {
            final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
            final ServletResponse response = prepareServletResponse(request, servletResponse, chain);

            final Subject subject = createSubject(request, response);

            //noinspection unchecked
            subject.execute(new Callable() {
                public Object call() throws Exception {
                    updateSessionLastAccessTime(request, response);
                    executeChain(request, response, chain);
                    return null;
                }
            });
        } catch (ExecutionException ex) {
            t = ex.getCause();
        } catch (Throwable throwable) {
            t = throwable;
        }

        if (t != null) {
            if (t instanceof ServletException) {
                throw (ServletException) t;
            }
            if (t instanceof IOException) {
                throw (IOException) t;
            }
            //otherwise it's not one of the two exceptions expected by the filter method signature - wrap it in one:
            String msg = "Filtered request failed.";
            throw new ServletException(msg, t);
        }
    }


   @SuppressWarnings({"UnusedDeclaration"})
    protected ServletRequest prepareServletRequest(ServletRequest request, ServletResponse response, FilterChain chain) {
        ServletRequest toUse = request;
        if (request instanceof HttpServletRequest) {
            HttpServletRequest http = (HttpServletRequest) request;
            toUse = wrapServletRequest(http);
        }
        return toUse;
    }

  protected ServletRequest wrapServletRequest(HttpServletRequest orig) {
        return new ShiroHttpServletRequest(orig, getServletContext(), isHttpSessions());
    }

protected boolean isHttpSessions() {
        return getSecurityManager().isHttpSessionMode();
    }

现在终于知道shiro是怎么把request对象包装成ShiroHttpServletRequest类型的了.

一开始session的困惑也能解开了:

因为session是通过request获取的,所以先看一下ShiroHttpServletRequest获取session的源码:

public HttpSession getSession(boolean create) {

        HttpSession httpSession;

        if (isHttpSessions()) {
            httpSession = super.getSession(false);
            if (httpSession == null && create) {
                //Shiro 1.2: assert that creation is enabled (SHIRO-266):
                if (WebUtils._isSessionCreationEnabled(this)) {
                    httpSession = super.getSession(create);
                } else {
                    throw newNoSessionCreationException();
                }
            }
        } else {
            if (this.session == null) {

                boolean existing = getSubject().getSession(false) != null;

                Session shiroSession = getSubject().getSession(create);
                if (shiroSession != null) {
                    this.session = new ShiroHttpSession(shiroSession, this, this.servletContext);
                    if (!existing) {
                        setAttribute(REFERENCED_SESSION_IS_NEW, Boolean.TRUE);
                    }
                }
            }
            httpSession = this.session;
        }

        return httpSession;
    }

如果this.isHttpSessions()返回true,则返回父类HttpServletRequestWrapper的

也就是servelet规范的session,否则返回ShiroHttpSession对象.

那么this.isHttpSessions()是什么呢

这里的this.isHttpSessions()取决于this.getSecurityManager().isHttpSessionMode()的值.

我们项目里SecurityManager设置为DefaultWebSecurityManager.其中isHttpSessionMode()方法为:

我们这个项目使用的sessionManager是DefaultWebSessionManager,DefaultWebSessionManager实现了sessionManager 接口.
但是DefaultWebSessionManager中该方法返回的是false.

public boolean isServletContainerSessions() {
        return false;
    }

所以最终session得到的是ShiroHttpSession.

如果不想让Session转换为ShiroHttpSession,我们可以自己实现sessionManager

<!-- sessionManager -->
	<!-- <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> -->
	<bean id="sessionManager" class="com.unis.module.auth.shiro.MyWebSessionManager">
		<property name="globalSessionTimeout" value="7200000" /> 
	    <property name="sessionDAO" ref="redisSessionDAO" />
	    <property name="sessionValidationScheduler" ref="sessionValidationScheduler"/>  
        <property name="sessionValidationSchedulerEnabled" value="true"/>  
        <property name="sessionIdCookie" ref="wapsession"/>
	</bean>


public class MyWebSessionManager extends DefaultWebSessionManager{
	
	@Override
	public boolean isServletContainerSessions() {
		return true;
	}

}
m0_67402564
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro简介及入门
qq_44847231的博客
10-13 430
文章目录shiro简介1. 什么是shiro2. 在应用程序角度来观察如何使用Shiro工作3. shiro架构Shiro入门案例Shiroweb容器的集 shiro简介 1. 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过...
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
web中的session和shiro中的session
MuCchang的博客
11-25 612
转载自:https://www.cnblogs.com/OnlyCT/p/8391274.html 在shiro使用过程中,我们是可以调到httpSession对象的,调用方式即为shiro获取session的方法。 (1)controller中的request,在shiro过滤器中的doFilterInternal方法,将被包装ShiroHttpServletRequest 。 (2)在controller中,通过 request.getSession(_) 获取会话 session ,该session
Shiro入门以及Shiroweb整合
m0_67401417的博客
08-24 263
Apache shiro是一个强大,易用的java安全框架执行身份认证,授权,密码和会话管理。
ShiroServlet授权(十)
分享我的点点滴滴,在成长路上与你同行!
06-14 643
   Shiro提供了与Web的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制,ShiroFilter类似于如Struts2/SpringMVC这种web框架的前端控制器,其是安全控制的入口点,其负责读取配置(如ini配置文件),然后判断URL是否需要登录/权限等工作。 使用maven来搭建shiro+serlvet授权 (1)pom.xml文件&lt...
有的请求获取的为shirohttpservletrequest 有的请求为request
lipingping951462的专栏
04-30 6440
HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder .getRequestAttributes()).getRequest(); 获取的对象不一样 有的请求获取的为shirohttpservletrequest 有的请求为request 这是由于 <...
ShiroHttpServletRequest转MultipartHttpServletRequest
新的开始的专栏
03-12 3591
项目用到shiro框架时,上传文件时,会遇到拿到的request是ShiroHttpServletRequest,所以需要转一下,有俩种方式 1. ShiroHttpServletRequest shiroRequest = (ShiroHttpServletRequest) httpRequest; CommonsMultipartResolver commonsMultipartResol...
Spring Boot:基于Apache Shiro实现权限认证和授权
言尭的博客
05-17 600
Apache Shiro简介 Apache Shiro是一个安全开源框架,可用于处理认证、授权、session管理和加解密。 Authentication(认证):用户身份识别,通常被称为用户“登录”。 Authorization(授权):访问控制,比如某个用户是否具有某个操作的使用权限。 Session Management(会话管理):特定于用户的会话管理,甚至在非web或EJB应用程序。 Cryptography(加密):在对数据源使用加密算法加密的同时,保证
shiro(shiro1.3.2)
03-21
压缩包内容: shiro-all-1.3.2.jar log4j-1.2.15.jar slf4j-api-1.6.1.jar slf4j-log4j12-1.6.1.jar
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiro1.9.1源码及jar
08-25
目前无漏洞版本shiro1.9.1源码+jar
ShiroHttpServletRequest 转HttpServletRequest 类型
Alfred_tfk的博客
03-30 396
ShiroHttpServletRequest 转HttpServletRequest 类型不可强制转换。
彻底解决Shiro跨域访问(简单http请求或复杂http请求)
fycghy0803的专栏
05-30 5957
由于shiro使用redirect进行url的跳转,在遇到前端界面与后台业务处理不在一个域名下时,会遇到跨域问题,我们在使用springBoot时,一般会增加一个configuration类的问题允许进行跨跨请求,代码如下所示: @Configuration public class WebConfig extends DefaultWebMvcConfig { @Override ...
解决ShiroHttpServletRequest文件上传的问题
lixiaoyi01的博客
01-10 2076
  如果controller带有request参数不存在下面问题。   前提是要规范代码,controller中不带有request参数,所以request通过上下文去获取 ((ServletRequestAttributes)RequestContextHolder.currentRequestAttributes()).getRequest() 本来想转 CommonsMultipa...
ShiroHttpServletRequest,文件上传时报错ClassCastException
浅月流苏
04-04 867
第一个方法不适用我们这边,我们没用自己配置的bean,所以用了第二个方法试了一下,发现还是没解决问题,controller不能解决问题,思路还是回到了页面上来,html页面不会有问题,看一下JS发送请求的问题,仔细看了一下提交数据的接口,终于发现了问题,有图片上传的功能,提交请求数据方法直接使用。之前也做过很多次了,开发完之后自测一下上传,图片上传之后,页面也有返显,但是在提交的时候报错了,看了一下日志,报了java.lang.ClassCastException: org.apache.
springmvc集shiro后,session、request姓汪还是姓蒋?
weixin_34150830的博客
06-18 371
2019独角兽企业重金招聘Python工程师标准>>> ...
jar包增量更新分析
最新发布
junlaiyan的专栏
05-16 320
借助jdeps分析出jar包的增量文件
springboot shiro 网关配置shiro
10-16
2. 创建一个ShiroFilter类,继承自org.apache.shiro.web.servlet.AbstractShiroFilter,并实现其抽象方法。 3. 在Spring Boot的配置类中,创建一个ShiroFilterFactoryBean对象,并设置其属性。 4. 在配置类中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值