sessionIdUrlRewritingEnabled无效问题处理

最新推荐文章于 2022-08-24 03:24:01 发布
最新推荐文章于 2022-08-24 03:24:01 发布
阅读量2.1k 收藏 5
点赞数 7
分类专栏: shiro 文章标签: html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/narutots/article/details/120363843
版权

为了处理shiro自动跳转登录也面不自动在URL后面拼接:JSESSIONID,逐步排查定位到shiro,根据资料需要增加sessionIdUrlRewritingEnabled的配置,但是增加后依然无效。

而且我发现在我使用的1.7.1版本的shiro里,sessionIdUrlRewritingEnabled的初始值已经被设置成false了,所以根本不需要再设置。

public class DefaultWebSessionManager extends DefaultSessionManager implements WebSessionManager {
    private static final Logger log = LoggerFactory.getLogger(DefaultWebSessionManager.class);
    private Cookie sessionIdCookie;
    private boolean sessionIdCookieEnabled;
    private boolean sessionIdUrlRewritingEnabled;

    public DefaultWebSessionManager() {
        Cookie cookie = new SimpleCookie("JSESSIONID");
        cookie.setHttpOnly(true);
        this.sessionIdCookie = cookie;
        this.sessionIdCookieEnabled = true;
        this.sessionIdUrlRewritingEnabled = false;
    }

那么问题出在哪里?

后续经过排查,问题出在项目中sessionManager是继承的DefaultWebSessionManager,

重写了getSessionId方法,主要是为了自定义获取sessionid的途径,在分析原super.getSessionId

方法的源码后发现一下代码,这里可以看到sessionIdUrlRewritingEnabled这个配置是在第一次请求获取sessionid的时候设置到request里面的,后续的跳转也会根据这个配置设置url后面的JSESSIONID:

 private Serializable getReferencedSessionId(ServletRequest request, ServletResponse response) {
        String id = this.getSessionIdCookieValue(request, response);
        if (id != null) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "cookie");
        } else {
            id = this.getUriPathSegmentParamValue(request, "JSESSIONID");
            if (id == null) {
                String name = this.getSessionIdName();
                id = request.getParameter(name);
                if (id == null) {
                    id = request.getParameter(name.toLowerCase());
                }
            }

            if (id != null) {
                request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "url");
            }
        }

        if (id != null) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
        }

        request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, this.isSessionIdUrlRewritingEnabled());
        return id;
    }

所以修改如下,在自定义的getSessionId方法里也增加request的这几个信息

	@Override
	protected Serializable getSessionId(ServletRequest request, ServletResponse response) {

		String sid = request.getParameter("__sid");
		if (StringUtils.isNotBlank(sid)) { 
			request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "url");
			request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, sid);
			request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
			//禁止在url上拼接SessionId
			request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, this.isSessionIdUrlRewritingEnabled());

        	return sid;
		}else{
			return super.getSessionId(request, response);
		}
	}

narutots
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
解决Shiro第一次重定向url带有jsessionid导致400错误
shellhard的博客
02-20 2701
在Shiro进行第一次重定向时,会在url后携带jsessionid,这会导致400错误(无法找到该网页)。 原因在于ShiroHttpServletResponse配置类的doIsEncodeable当中,会将url自动拼接jsessionid。 解决办法: 在Shiro的配置类中的sessionManager()方法中,将sessionIdUrlRewritingEnabled属性设置为false。该方法返回一个DefaultWebSessionManager实例。 将上面方法返回的实例设置为Defa
去除jessionid时shiro设置sessionIdUrlRewritingEnabled报错,超级坑
baikunlong的博客
11-17 1262
项目场景: 使用shiro进行权限认证时,登录地址第一次访问总是自动携带JESSIONID,现在需要把它去掉不能显示。 问题描述: 首先翻遍百度发现大多数解决方案就是在DefaultWebSecurityManager注入时设置sessionManager。该方法还需要 shiro 1.3.2以上才行,巧了我的1.3.0肯定不行,直接去pom改下版本号。 注解方式: @Bean public DefaultWebSessionManager sessionManager(){
【笔记】 关于 shiro.sessionManager.sessionIdUrlRewritingEnabled 会失效(无效),自动生成的JSESSIONID=xxx那些事
深渊码头
01-27 1594
关于使用 shiro-redis-spring-boot-starter,shiro.sessionManager.sessionIdUrlRewritingEnabled 失效, 导致 url首次访问,自动生成的JSESSIONID=xxx的问题
SpringBoot整合Apache Shiro 重定向时去掉URL中的JSESSIONID--重写getSessionId方式
闲言
07-01 873
SpringBoot整合Apache Shiro 重定向时去掉URL中的JSESSIONID--重写getSessionId方式
解决shiro重定向URL中出现sessionID的情况localhost:8080/toLogin;jsessionid=D5C1EE61B97EE2D7098F58A837B82BD4
一名Java语言狂热分子。
04-18 4741
解决Shiro重定向URL中自动添加sessionID信息
shiro的session管理
你就像甜甜的益达
01-07 1235
目录shiro的SessionManager在web容器里面的session跟HttpSession是同一个吗?自定义sessionManager我们先看SessionDAO使用内存缓存使用redis剩下的配置比较简单:总结 shiro的SessionManager 在官方架构图里面: 在默认的SecurityManager的uml图里面: 前面的CacheSecurityManager,re...
Shiro重构:整合token和cookie实现登陆及验证
July_whj
10-16 4062
Shiro重构:整合token和cookie实现登陆及验证 认证服务开始只支持PC端的cookie认证方式,因业务需要,要对小程序、H5、App等移动端设备进行认证,这里复用认证服务。由于小程序不支持cookie认证方式,采用token认证方式,这里对认证服务进行重构。认证服务主要是有Shiro框架研发,我们简单熟悉下Cookie的认证流程。 Shiro的cookie认证流程我们简单说明下, shiro是在其默认的会话管理器DefaultWebSessionManager中获取请求携带过来的cooki
springboot + shiro 地址栏出现 jsessionid
快乐的小三菊的博客
05-21 1506
解决 springboot + shiro 地址栏出现 jsessionid
Shiro学习(10)Session管理
m0_67403073的博客
08-24 2573
但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。更新会话最后访问时间及销毁会话;
解决Shiro第一次重定向url携带jsessionid问题
Ruanes的博客
09-05 2620
Shiro在进行第一次重定向时会在url后携带jsessionid,导致访问400。 实力有限,就不分析源码了,需要了解原因的可以查看ShiroHttpServletResponse类中encodeRedirectURL、encodeRedirectUrl、toEncoded等方法,直接说下解决办法 解决办法: 创建一个DefaultWebSessionManager类实例,并将它的sessionIdUrlRewritingEnabled属性设置成false 再在DefaultWebSecurityMan
记一次蛋疼的tomcat、shiro自动生成的JESSIONID去除历程..........
hackerHL的博客
08-25 6137
近日手头上有一份蛋疼的渗透测试报告,洋洋洒洒列了几十条,本菇凉连月加班才勉勉强强,从对这些漏洞的无知,到为web打补丁、防攻击,真是心力交瘁,内忧外患。 今天遇到的漏洞,学名为:会话cookie通过URL传递 按照字面理解呢,就是JESSIONID放在url中,直接列在浏览器上,安全公司认为这是敏感信息,不宜大张旗鼓的展示。 好吧,我改。55555555555........... 先给大...
Apache Shiro去掉URL中的JSESSIONID
yyf314922957的专栏
04-01 2万+
最近集成框架用到shiro碰到url有时候会带上jsessionid有时候又没有。以前也碰到但是没有深入研究。 网上查了半天各种方法用了都没用。比如web.xml里面加session-config,添加DisableUrlSessionFilter 等等神马都没用。于是自己研究源码。说了半天废话终于进入正题。先申明下我是菜鸟。说的不对的错的请无视。有些是网上复制的。 先说下为什
去掉shiro登录时url里的JSESSIONID
zp532068183的博客
06-11 2099
需要在配置文件如下配置中添加红色部分,配置前请先检查shiro版本是否支持 <!-- 会话管理器 --> <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <!-- session的失效时长,单位毫秒 --> &...
Shiro在请求头中获取sessionId以及rememberMe信息
_好好学习的博客
01-30 1万+
默认情况,Shiro会把sessionId或rememberMe放入cookie中,每次请求会在cookie中获取,但在前后端分离下,跨域请求会导致cookie保存失败,本人介绍把sessionId或rememberMe放入request header中,兼容PC、App以及移动端浏览器。
springboot + shiro 去除登录界面url后的JESSIONID
qq_30517167的博客
09-17 1659
公司最近的一个安全产品要拿销售许可证,管理界面是基于B/S做的,本来在公司悠闲地敲着代码,突然测试人员发了一份英文的web漏洞扫描报告过来,大致长这个样子的: 然后就百度这个logo acunetix 一家做安全产品的公司,我就栽在这上面了。 然后有一个中危漏洞: 这个当时就看不懂了,查了下CSRF,俗称跨站点请求伪造。我在想,我都没登录进去,怎么伪造啊,后来在csdn里查了半天...
shiro框架的详细配置及使用
pengjwhx的博客
04-18 3180
shiro框架的详细配置及使用
SpringBoot进阶(十)整合Shiro上篇
白玉梁的专栏
10-27 1254
一般的,SpringBoot常用的安全模块有Spring下的Security和Apache下的Shiro,Security功能强大但复杂,Shiro则相对小而简单,通常的,Shiro能满足我们实际开发中的绝大部分需求,所以使用Shiro的开发人员也越来越多了! 安全模块的作用: 身份认证 (登录验证/加密) 授权(授予权限、角色) Session管理 加密 记住我 … 所以,安全模块,是一个web网站必不可少的东西了!关于Shiro的详细使用方法,大家可以查看相关文档,本篇属于实战型案例,整合Shiro
在前后端分离的项目中,后台使用shiro框架时,怎样使用它的会话管理系统(session),从而实现权限控制
热门推荐
palerock的博客
06-19 6万+
前后端分离的项目中,ajax跨域和保存用户信息是其中的重点和难点。 如果在后台使用shiro框架来进行权限控制,就需要用到cookie+session的模式来保存用户的信息。 在前一篇文章中,我具体写了怎样在ajax跨域的情况下携带cookie,使用该方法使跨域请求携带cookie便可以在前后端分离的项目中使用shrio的session(会话管理系统)。 但是由于那种方法近乎与取巧的将Access-Control-Allow-Origin由*改为"null"不是所有的前端ajax框架所公认的,我们需要一种更
shiro配置sessionmanager
最新发布
05-19
在 Shiro 中,SessionManager 负责管理用户的会话信息,其主要职责包括创建、获取、删除和管理会话等。下面是一个简单的 Shiro SessionManager 的配置示例: ```xml <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <!-- session过期时间,单位:毫秒 --> <property name="globalSessionTimeout" value="1800000" /> <!-- 是否开启URL地址栏中的SessionID重写 --> <property name="sessionIdUrlRewritingEnabled" value="false" /> <!-- 是否开启删除无效的session对象 --> <property name="deleteInvalidSessions" value="true" /> <!-- 是否开启定时调度器检测失效的session对象 --> <property name="sessionValidationSchedulerEnabled" value="true" /> <!-- 定时清理失效session的时间间隔,单位:毫秒;默认1小时 --> <property name="sessionValidationInterval" value="3600000" /> <!-- 会话DAO --> <property name="sessionDAO" ref="redisSessionDAO" /> </bean> ``` 其中,`DefaultWebSessionManager` 是 Shiro 默认提供的 Web 环境下的 SessionManager 实现类,我们可以通过配置它的属性来实现相关功能。具体的属性含义如下: - `globalSessionTimeout`:会话超时时间,单位为毫秒,默认为30分钟。 - `sessionIdUrlRewritingEnabled`:是否在URL地址栏中重写Session ID,默认为false,建议不开启,因为这会让URL泄漏了Session ID,存在安全风险。 - `deleteInvalidSessions`:是否开启删除无效Session对象,默认为true,表示当Session超时或者被踢出时自动删除相应的Session对象。 - `sessionValidationSchedulerEnabled`:是否开启定时调度器检测失效的Session对象,默认为true,表示在应用启动时会启动一个定时任务,定期检测失效的Session并删除它们。 - `sessionValidationInterval`:定时清理失效Session的时间间隔,单位为毫秒,默认为1小时。 - `sessionDAO`:指定会话DAO,即会话的存储方式。这里我们使用 Redis 作为会话存储方式,所以指定了 `redisSessionDAO`。 需要注意的是,如果要使用 Redis 作为会话存储方式,还需要配置相应的 `redisSessionDAO`。具体的配置可以参考下面的示例: ```xml <bean id="redisSessionDAO" class="org.crazycake.shiro.RedisSessionDAO"> <!-- 配置RedisManager --> <property name="redisManager" ref="redisManager" /> <!-- session在Redis中的过期时间,单位是秒 --> <property name="expire" value="1800" /> </bean> <bean id="redisManager" class="org.crazycake.shiro.RedisManager"> <!-- Redis服务器地址,格式为:host:port --> <property name="host" value="127.0.0.1:6379" /> <!-- Redis服务器连接超时时间,单位为毫秒,默认为2000ms --> <property name="timeout" value="2000" /> <!-- Redis服务器密码,如果没有设置可以不填 --> <property name="password" value="your_password" /> <!-- Redis数据库编号,默认为0 --> <property name="database" value="0" /> </bean> ``` 其中,`RedisSessionDAO` 是一个实现了 Shiro `SessionDAO` 接口的 Redis Session 存储类。`RedisManager` 则是一个 Redis 连接管理类,用于管理与 Redis 服务器的连接。需要注意的是,上面的 `redisSessionDAO` 和 `redisManager` 需要通过 Spring 容器进行管理,所以需要在 Spring 配置文件中进行相应的配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值