shiro session序列化失败问题

最新推荐文章于 2024-06-11 19:15:14 发布
最新推荐文章于 2024-06-11 19:15:14 发布
阅读量3.8k 收藏 1
点赞数
分类专栏: 【shiro】 【遇到的问题】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengxiangxingdong/article/details/88537105
版权

场景

今天一时兴起想要做个在线用户功能,同时支持内存,mysql,redis三库 都能够持久化的功能,没想到被序列化打败了
shiro SessionDao 的session 实现了ValidatingSession接口,当序列化时转变成字符串会导致多出来

“valid”:true

解决方法

存储session字段修改为byte[]
反序列化的代码修改为

                SimpleSession simpleSession = (SimpleSession) SerializationUtils.deserialize(userSession.getSessionStr());
                session = simpleSession;

如果还没解决请看这里

1.首先我们只看序列化session代码

    @Test
    public void testSession() throws UnsupportedEncodingException {
        Session session = new SimpleSession();
        // 序列化为byte数组
        byte[] bytes = SerializationUtils.serialize((Serializable) session);
        System.err.println(new String(bytes)); // ��
        System.err.println(FastJsonUtil.toJSONString(session)); // {"attributeKeys":[],"valid":true}
//        Session session2 = (Session) SerializationUtils.deserialize(bytes);
//        System.err.println(session2);
    }

我们看对应的输出中 明显多了这个属性"valid":true
2.所以解决方式就不能转变成String入手
以下解决方案
1.采用byte[]存储
2.采用流的方式

xmind果果
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro session 放入到 redis 中不被序列化以及 SimpleSession 的 transient 属性序列化方式踩到的坑
weixin_41069382的博客
06-16 5057
1、先来说一下 shiro session 序列化到 redis 中的过程 shiro session 放入到 redis 中的 过程(序列化过程):1、将 shiro 的 SimpleSession 通过 RedisTemple 模板,有两种方案,即 Jackson 和 fastJson ,都是将 Java对象 打成 json,在转成 buty[] 。补充:在将 Java 对象 打成 ...
shiro反序列化测试工具.zip
06-04
2. **Shiro中的序列化问题**:Shiro在处理会话(Session)时,可能会将Session对象序列化并存储到持久化介质(如内存、数据库或分布式缓存)。如果Shiro反序列化过程中没有进行足够的安全性检查,恶意构造的序列化...
Shiro默认session SimpleSession反序列化错误
chuihuitiao5256的博客
12-22 3238
问题:项目整合Shiro,使用redis做cacheManger和sessionManager,使用过程中报SimpleSession反序列化错误,SimpleSession虽然没有实现Serializable接口,但可以通过writeObject(ObjectOutputStream out...
shiro反序列化分析
2301_79724395的博客
06-11 740
Apache Shiro 是一个 Java 安全框架,包括如下功能和特性:Authentication:身份认证/登陆,验证用户是不是拥有相应的身份。在 Shiro 中,所有的操作都是基于当前正在执行的用户,这里称之为一个 Subject,在用户任意代码位置都可以轻易取到这个Subject。
Spring Boot分布式系统实践【扩展1】shiro+redis实现session共享、simplesession反序列化失败问题定位及反思改进...
dbqg57671的博客
03-18 859
前言 调试之前请先关闭Favicon配置 spring: favicon: enabled: false 不然会发现有2个请求(如果用nginx+ 浏览器调试的话) 序列化工具类【fastjson版本1.2.37】 ```public class FastJson2JsonRedisSerializer implements RedisSerializer { ...
shiro反序列化漏洞
wutiangui的博客
09-07 1970
序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,保证对象的完整性和可传递性;反序列化即逆过程,由字节流还原成对象。根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。漏洞影响版本。
Apache Shiro反序列化漏洞研究及解决方法
技术点滴
04-02 1万+
前言 一个阳光明媚的午休,我正惬意的喝着茶听着音乐,享受美好生活的时候,客户的QQ头像闪动了,原以为是出了什么新需求临时需要调整,没想到客户反馈的是平台出现了严重漏洞,不敢小视,抄起电脑开弄 我根据客户给出的安全厂商反馈的问题,总结如下: 1,Shiro反序列化漏洞 2,提到了dnslog.cn平台 了解Shiro反序列化漏洞 参考官方的JIRA文档记录,https://issues....
Shiro反序列化漏洞检测工具
01-05
Shiro框架中,这个漏洞主要存在于其会话管理组件,特别是当使用默认的`DefaultSessionManager`和`DefaultSessionDAO`时,它们可能受到反序列化攻击的影响。 `ShiroExploit-Deprecated-2.51.zip`和`ShiroExploit.V...
shiro反序列化漏洞检测工具,含链接教程
08-17
在网络安全领域,Shiro反序列化漏洞是一个常见的安全问题,攻击者可能利用这个漏洞执行恶意代码,对系统造成严重威胁。 该压缩包文件包含的`shiro_tool.jar`很可能是一个专门用于检测Apache Shiro反序列化漏洞的...
反序列化利用工具ShiroExploit.V2.51.7z
08-31
ShiroExploit.V2.51通过模拟恶意的序列化数据,可以帮助安全研究人员检测Shiro应用是否存在反序列化漏洞,同时也可能被恶意攻击者用于实际攻击。 该工具的工作流程大致如下: 1. 分析目标Shiro版本的反序列化入口点...
springboot +shiro+redis实现session共享(方案二)1
08-08
本文档旨在介绍如何使用 Spring Boot、Shiro 和 Redis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 在实现 session 共享之前,需要在项目中引入相关依赖项,包括: * ...
redis反序列化session报错
giianhui的专栏
07-03 3340
Caused by: java.lang.Exception: Failed to deserialize object type at com.jfinal.plugin.redis.SerializeUtils.deserialize(SerializeUtils.java:36) ... 33 more Caused by: java.lang.ClassNotFoundExcepti
session序列化错误
07-18 1922
严重: IOException while loading persisted sessions: java.io.WriteAbortedException: writing aborted; java.io.NotSerializableException: cn.itcast.shop.category.vo.Categoryjava.io.WriteAbortedException: wr
shiro 采用redis共享session,出现反序列化错误的排查过程
ght521的专栏
03-30 598
有关jfinal shiro 共享session反序列化
Shiro-集成Redis序列化失败报错解决
JolyouLu的博客
06-17 1802
Shiro-集成Redis序列化失败报错解决 最近在使用Shiro集成Redis,使用分布式缓存时序列化序列化时报错,报错信息如 Cannot serialize; nested exception is org.springframework.core.serializer.support.SerializationFailedException: Failed to serialize object using DefaultSerializer; nested exception is java.
Springboot整合shiro设置自定义redis缓存时出现序列化失败问题
qq_45488981的博客
07-15 393
前言 无 问题分析 暂无 解决方法 方法一 package com.baizhi.shiro.config; import com.fasterxml.jackson.annotation.JsonAutoDetect; import com.fasterxml.jackson.annotation.PropertyAccessor; import com.fasterxml.jackson.databind.ObjectMapper; import org.springframework.cach
序列化的几种方式
zhangxiaomin1992的专栏
05-04 993
反序列化工具类
shiro继承redis序列化失败-----坑
喝醉的咕咕鸟
12-05 8986
shiro继承redis进行session的管理: package com.maobc.common.core.redis; import lombok.Data; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Value...
shiro——session会话管理
热门推荐
dgh112233的博客
08-23 1万+
目录 1. 会话 1.1 Session 接口 1.2 SessionManager 会话管理 1.3 SessionListener 会话监听 2. 会话持久化 2.1 SessionDAO接口 2.2AbstractSessionDAO类 2.3 CachingSessionDAO 类 2.4 EnterpriseCacheSessionDAO 类 2.5 Memo...
shiro反序列化原理
最新发布
06-25
Shiro (Security Infrastructure for Java) 是一个开源的身份和权限管理框架,它提供了安全的身份验证、授权、会话管理和加密等功能。关于反序列化Deserialization)原理,Shiro 并不是直接处理反序列化的,但其在处理JSON或XML等外部数据格式时,可能会涉及到与序列化相关的安全性考虑。 当Shiro从存储(如数据库或配置文件)加载配置信息时,这些信息通常是以字符串形式表示的,然后需要转换为Java对象。这个过程涉及到了反序列化。在反序列化过程中,如果输入的数据不正确或者恶意构造,可能会触发安全漏洞,比如`序列化攻击`(也称为`Deserialization of Untrusted Data`),攻击者可能会利用这种漏洞执行任意代码。 Shiro通过以下机制来提高反序列化安全性: 1. **安全的反序列化库**:Shiro使用了像Jackson、Gson这样的库来进行JSON解析,这些库提供了一些选项来限制对反序列化的控制,例如`@JsonAutoDetect`注解可以防止默认字段被反序列化。 2. **白名单和黑名单**:可以配置只允许特定类型或特定构造方法的序列化,避免不受信任的数据结构。 3. **检查输入**:在某些情况下,Shiro可能对反序列化后的数据进行一些检查,确保它们符合预期的安全格式。 4. **配置保护**:Shiro允许开发者禁用自动反序列化,或者仅在受信任的环境中启用。 **相关问题--:** 1. Shiro如何避免序列化攻击? 2. 如何在Shiro中启用对反序列化的安全控制? 3. Shiro如何配合Jackson或其他库来确保反序列化安全?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值