Shiro的 rememberMe 功能使用指导(为什么rememberMe设置了没作用?)

最新推荐文章于 2023-07-05 08:29:44 发布
最新推荐文章于 2023-07-05 08:29:44 发布
阅读量3.5w 收藏 52
点赞数 24
分类专栏: java技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nsrainbow/article/details/36945267
版权

问题

shiro中提供了rememberMe功能,它用起来是这样的

UsernamePasswordToken token = new UsernamePasswordToken(loginForm.getUsername(),loginForm.getPassword());
		
		if(loginForm.getRememberMe() != null && "Y".equals(loginForm.getRememberMe())){
			token.setRememberMe(true);
		}

你可以自己设置一个标志位,然后根据这个标志位判断一下用户是否勾选了记住我,如果勾选了就使用 token.setRememberMe(true) 设置为记住我。

相信很多人跟我一开始想的一样,觉得这样设置完了,然后不退出直接关浏览器再打开浏览器,进入我们的网站就会自动登陆。但是结果是:当你重开了浏览器后,进入网站依然让你输入用户名和密码!

那么,究竟这个功能要怎么使用呢?

原理解释

shiro对cookie做了什么?

其实你设置了这个rememberMe之后shiro还是有做一点事情的,它会生成一个cookie值叫 rememberMe 并保存在你的浏览器里面,而且这个参数会随着你调用 subject.logout() 会被自动清除。这个参数的值是一串很长的Base64加密过的字符串,大概长这样 
名称:	rememberMe
内容:	6gYvaCGZaDXt1c0xwriXj/Uvz6g8OMT3VSaAK4WL0Fvqvkcm0nf3CfTwkWWTT4EjeSS/EoQjRfCPv4WKUXezQDvoNwVgFMtsLIeYMAfTd17ey5BrZQMxW+xU1lBSDoEM1yOy/i11ENh6eXjmYeQFv0yGbhchGdJWzk5W3MxJjv2SljlW4dkGxOSsol3mucoShzmcQ4VqiDjTcbVfZ7mxSHF/0M1JnXRphi8meDaIm9IwM4Hilgjmai+yzdVHFVDDHv/vsU/fZmjb+2tJnBiZ+jrDhl2Elt4qBDKxUKT05cDtXaUZWYQmP1bet2EqTfE8eiofa1+FO3iSTJmEocRLDLPWKSJ26bUWA8wUl/QdpH07Ymq1W0ho8EIdFhOsELxM66oMcj7a/8LVzypJXAXZdMFaNe8cBSN2dXpv4PwiktCs3J9P9vP4XrmYees5x27UmXNqYFk86xQhRjFdJsw5A9ctDKXzPYvJmWFouo3qT5hugX0uxWALCfWg8MHJnG9w7QgVKM8oy3Xy4Ut8lSvYlA==

这串字符串其实是对你登陆后的 Principal 进行了序列化后再Base64的结果。Principal 是 shiro 的一个概念,表示一个唯一的字符串能表示你这个用户的,如果你按照最简单的用户名密码登陆的方式,并且使用的是 SimpleAuthenticationInfo 对象,那么这个 Principal 其实就是一个字符串,就是你的用户名 username
所以这串东西解密出来就是你的username

shiro觉得rememberMe不安全

shiro觉得不能把rememberMe等同于已经登陆了,这样不安全。所以shiro 觉得就算 rememberMe = true 也不能算是 authc 的而是 user 级别的。
我们一般设置路径拦截是这样设置的 
/** = authc

这样就保证了所有路径都需要登陆才能访问。就算你是 rememberMe=true也不能访问,官方说你如果设置成拦截级别为user就能访问,比如 
/** = user

这样就可以访问了,但是官方建议不敏感的部分用user,敏感的部分还是要让用户再登陆一次,就像你上淘宝网就算不登陆,只要上一次有登陆过,你依然可以直接看我的淘宝那个页面,但是点击 我的宝贝的时候就又要让你登陆了。
但是!我们的确有很多时候是 需要记住用户就相当于用户登录了!
设置成user这个方案还有一个问题,就是我们实际项目中在登陆后有做了很多设置用户上下文的工作,比如设置session等,如果我们只是设置拦截级别为user,那么再次进入的时候虽然可以访问,但是session是空的,我们的页面必然异常频出。

解决方案

前提条件

采用这个解决方案的前提是,你必须自己先实现一个realm,不过这个我相信大家都会实现的,毕竟默认的不是jdbcRealm ,真正的项目都是要查数据库才能确定用户是否登录的。那么我就假定大家的项目中都有那么一个负责验证登录的 JdbcRealm, 并且是采用用户名密码认证的,在 doGetAuthenticationInfo 方法里面是采用如下的方法来做认证 
...
info = new SimpleAuthenticationInfo(username, password.toCharArray(), getName());

这个前提条件保证你的principal是username,相信大部分人根据教程做shiro的时候都采用了这种方式

STEP1  复写 FormAuthenticationFilter 的 isAccessAllowed 方法

做一个新类继承FormAuthenticationFilter ,并复写 isAccessAllowed  方法 
package com.yqr.jxc.shiro;

import javax.annotation.Resource;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;

import com.yqr.jxc.service.global.GlobalUserService;

public class RememberAuthenticationFilter extends FormAuthenticationFilter {
	
	@Resource(name="globalUserService")
	private GlobalUserService globalUserService;
	
        /**
        * 这个方法决定了是否能让用户登录
        */
	@Override
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = getSubject(request, response);

        //如果 isAuthenticated 为 false 证明不是登录过的,同时 isRememberd 为true 证明是没登陆直接通过记住我功能进来的
        if(!subject.isAuthenticated() && subject.isRemembered()){

                //获取session看看是不是空的
        	Session session = subject.getSession(true);
                
                //随便拿session的一个属性来看session当前是否是空的,我用userId,你们的项目可以自行发挥
        	if(session.getAttribute("userId") == null){

        		//如果是空的才初始化,否则每次都要初始化,项目得慢死
                        //这边根据前面的前提假设,拿到的是username
        		String username = subject.getPrincipal().toString();
        		
        		//在这个方法里面做初始化用户上下文的事情,比如通过查询数据库来设置session值,你们自己发挥
        		globalUserService.initUserContext(username, subject);
        	}
        }

        //这个方法本来只返回 subject.isAuthenticated() 现在我们加上 subject.isRemembered() 让它同时也兼容remember这种情况
        return subject.isAuthenticated() || subject.isRemembered();
    }
}

STEP2 设置使用这个新的 AuthenticationFilter (认证过滤器)

如果你用的是spring那么 
<!-- 整合了rememberMe功能的filter -->
<bean id="rememberAuthFilter" class="com.yqr.jxc.shiro.RememberAuthenticationFilter" ></bean>

<!--将之前的 /** = authc 替换成 rememberAuthFilter
...
/** = rememberAuthFilter
...

如果你用的是 ini 文件,那么 
rememberAuthFilter=com.yqr.jxc.shiro.RememberAuthenticationFilter

#将之前的 /** = authc 替换成 rememberAuthFilter
...
/** = rememberAuthFilter

然后重启项目我们来测试一下,先登录一次系统,然后直接关掉浏览器,然后打开浏览器直接输入系统某个页面的地址,发现可以直接进去了,session什么的也设置好了

看起来很美?但是!

忙活了半天,最后我还是决定在我的系统中撤下了这个功能。为什么呢?因为这个功能有个致命的安全缺陷就是随便谁把这个cookie值拿到别的浏览器都可以登录。就算你用再牛逼的加密,或者是这个cookie值根据浏览器的各个别的属性来达到仅供这个浏览器使用,但是对于黑客来说,只要你是通过表单把东西发送出去,这整个表单都是可以伪造的。就算是增加了过期时间,在这段时间之内还是有被伪造的风险,我目前没有想到什么好的解决方案。
唯一能想到的就是对于使用场景的选择,在严格的业务系统中不能使用记住我这个功能,在非严格的系统中,比如不敏感的系统,像看看流量看看微博之类的,还是可以使用以上的方式来解决rememberMe的问题的。
所以,请谨慎选择是否要将 rememberMe 功能范围扩大化!

最后感谢来自俄罗斯的 meri 的这篇精辟的shiro研究文 http://meri-stuff.blogspot.com/2011/03/apache-shiro-part-1-basics.html 
本文是根据meri 和 blurblurNick 精彩的问答写成的

alexxiyang
关注
  • 24
    点赞
  • 52
    收藏
    觉得还不错? 一键收藏
  • 16
    评论
专栏目录
跟我学Shiro第13章Demo(RememberMe)
09-23
本人亲自写的Demo,可运行问题,其中包括RememberMy章节的髌,可以用jetty运行,我把Ehcache缓存改成了3秒,有需要可以自己改回来。
SHIRO-550:Shiro RememberMe 1.2.4反序列化突破
03-10
Shiro RememberMe 1.2.4反序列化突破(SHIRO-550)commons-collections-3.2.1.jar java -jar ysoserial-0.0.6-SNAPSHOT-all.jar JRMPClient "10.10.20.166:12345" |python exp.py java -cp ysoserial-0.0.6-SNAPSHOT...
shiro2
Mosqiote的博客
08-13 165
Session Management shiro可以为单机应用到集群应用提供会话管理。 shiro可以在任意应用中使用,不论是不是WEB应用,也不管容器是什么。 使用shiro的会话支持 ,主要是shiro有如下特性: 基于POJO/J2SE(IOC友好) 所有内容都基于接口,并与POJO一起实现。可以轻松使用SpringXML、JSON或YAML进行配置; 轻松定义session的存储 这意味...
Shio-核心
weixin_43877332的博客
06-23 609
1、认证 验证Subjects 第一步:收集用户身份和证明 第二步:提交身份和证明 第三步:处理成功或失败 Remembered vs. Authenticated Logging Out 退出登录 认证序列 Realm 验证的顺序 2、授权 授权要素 权限(permissions) 角色(roles) 用户(users) 授权对象 授权序列 权限(permissions) 通配符的权限 检查权限 3、Realms 4、Session Management 使用Sessions SessionManager
Shiro使用(一)权限管理—shiro的简单使用
孔明的博客
02-25 731
权限管理–shiro的简单使用 文章目录权限管理--shiro的简单使用权限管理1、什么是权限管理2、什么是身份认证3、用户名和密码身份认证的流程4、关键对象5、授权流程是什么6、基本的权限模型7、通用的权限模型7.1、表里面到底都有哪些字段8、目前市场上通用的权限管理框架shiro的简单使用9、shiro是什么10、shiro能干什么11、shiro的整体架构是什么11.1、shiro中常见的名...
shiro 实现多种方式登录_shiro多验证登录代码实例及问题解决
weixin_39771969的博客
12-18 783
这篇文章主要介绍了shiro多验证登录代码实例及问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下1. 首先新建一个shiroConfig shiro的配置类,代码如下:@Configuration是标识这个类是一个配置文件,在启动时会加载这个类里面的内容,这个配置文件的位置的一定一定一定不能防止启动类外面的文件夹中,否则还会在启动类上加注解...
shiro的记住我有生效,有可能是有序列化
pscool的博客
06-18 419
shiro的rememberMe有生效 我擦,忘了让我的user实现序列化接口了,实现后,测试正常。 其实也应该想到的,shiro有很多log.debug所以最好开启debug日志 默认保留时长是1年,所以修改,设置属性 即可 通过走源码的方式 找到DefaultSecurityManager public class DefaultSecurityManager extends SessionsSecurityManager { public Subject login(Subje
为什么Shiro的rememberMe设置作用
wjt的博客
07-27 4814
首先,在这里要感谢涛哥分享的关于shiro系列的博客《跟我学Shiro》。 其次,就是在RememberMe的功能作用。 最后,在翻阅了半天资料的情况下,根据CSDN博主alexxiyang《Shiro的 rememberMe 功能使用指导(为什么rememberMe设置作用?)》得到解决方案,非常感谢!...
Shiro实现rememberMe功能
Massimo__JAVA的博客
10-06 1810
Shiro实现rememberMe功能
Apache Shiro反序列化高危漏洞升级,结果导致org.apache.shiro.crypto.CryptoException: Unable to acquire a Java JCA
weixin_39309402的博客
12-03 1525
突然接到一个通知,关于Shiro RememberMe 1.2.4反序列化高危漏洞加固整改的通知,要求对一个老系统进行整改。这个漏洞的危害以及影响范围是什么呢?因为Shiro默认使用“CookieRememberMeManager”,其在处理cookie的流程中,使用了AES加解密,但是,AES的密钥却是硬编码的,导致攻击者可以构造恶意数据,造成反序列化的远程命令执行漏洞,获取目标系统控制权限,Shiro1.2.4及以下版本都受该漏洞影响,如何解决呢? 1.升级Shiro版本至1.2.5及以上 2.修改
Shiro的rememberMe功能
最新发布
weixin_65824274的博客
07-05 1282
当登录后是可以正常访问/man的主页的,如果使用了记住我功能,会在浏览器写入cookie,关掉浏览器不需要登录即可直接访问/main.Shiro 提供了记住我(RememerMe)的功能,比如访问一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。4.但是,如果我们访问电商平台时,如果要查看我的订单或进行支付时,此时还 是需要再进行身份认证的,以确保当前用户还是你。2.登录时不勾选记住我,关闭浏览器访问主页/main还会拦截到登录页;1.配置记住我功能的cookie设置;
SHIRO-721:RememberMe填充Oracle漏洞RCE
03-08
攻击者可以使用有效的RememberMe cookie作为填充Oracle Attack的前缀,然后制作精心制作的RememberMe来执行Java反序列化攻击,例如SHIRO-550。 0x01重现此问题的步骤: 登录网站,并从cookie中获取RememberMe。 使用...
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle Shiro721 RememberMe Padding Oracle影响版本: - Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1 CVE-2016-4437 ...
Shiro的 rememberMe 功能使用指导(为什么rememberMe设置作用?)【转】
weixin_34038293的博客
06-14 202
{"a":"b"} { "/webjars/": { "bean": "resourceHandlerMapping" }, "/": { "bean": "resourceHandlerMapping" }, "/**/favicon.ico": { "bean": "faviconHandlerMapping" }, "{[/ticket],methods=[GET]}": { "bean":...
shiro在remember me状态下session失效解决办法
u011827709的专栏
03-21 2125
使用shiro的时候,当我们使用remember me功能登录系统的时候,我们在用户登录自定义的session已经失效,这样就会影响系统正常运行;对于这种情况,我的解决方案是在shiro中自定义一个filter检测自定义的session是否失效,如果失效就读取数据加入到session中shiro 配置文件: <!-- 自定义加入filter,起在remember me session失效情况下刷新s
Shiro实现单一登录,并保留使用RememberMe功能
sihan2018的博客
03-05 1144
单一登录:同一个账户同一时间只能在一个地方登录。 项目Spring+SpringMVC+Mybatis,引入了Shiro作认证授权。公司要求实现一个单一登录功能,大部分人做法都是在自定义实现Realm的doGetAuthenticationInfo里面做session过滤和删除,这在有启用Shiro的rememberMe功能是可以生效的,但是启用了rememberMe功能后,会发现session...
Shiro进阶(四)Shiro之RememberMe
jwang的博客
05-13 6250
前言 本章讲解一下Shiro的记住我的功能 方法 1.概念 首先要澄清一点的是,这里的记住我并不是记住用户名和密码。 shiro的记住我是一种基于cookie实现的方式,特定的页面在关掉浏览器后(session消失)也可以进行访问的功能! 2.实现步骤 1)前台登录页面修改 如果需要记住我的功能,那么前台页面需要一个checkbox多选框来让用户进行勾选。 这里我就不...
shiro的rememberMe不生效
weixin_30872867的博客
12-03 1088
问题描述:已经设置了map.put("/**", "user"),但是查看网页Cookie有值。 问题查思路: 1.确定使用UserFilter过滤器,因为只有设置过滤器未user记录了cookie,rememberMe才生效。 2.确定已经设置rememberMe为true。 3.确定CookieRememberMeManager,的正确执行。 解决过程: 确定1,2有问题,跟踪...
shiro关闭rememberme功能
06-07
要关闭Shiro的RememberMe功能,你可以在Shiro的配置文件中设置一个rememberMe属性,将它的值设为false。具体来说,你需要在配置文件中添加如下内容: ``` [main] securityManager.rememberMeManager = org.apache....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值