shiro重定向时URL中的JSESSIONID问题

最新推荐文章于 2024-03-08 09:34:04 发布
最新推荐文章于 2024-03-08 09:34:04 发布
阅读量1.3w 收藏 3
点赞数 1
分类专栏: java shiro 文章标签: tomcat cookie session shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oShuSheng1/article/details/50534641
版权

最近开始在项目中使用shiro作为权限控制,配置成功后,访问一切正常。但发现在向登录页面重定向时,URL中总是带;JSESSIONID=****,这时Session的另一种使用方式(一种是Cookie)。本来也不影响使用,但是据说这种方式有漏洞,再就是这样看着实在是不爽。那怎么去掉呢?

第一步:刚开始我以为是tomcat的问题,于是就百度了下tomcat怎么取消url中的JSESSIONID。

https://fralef.me/tomcat-disable-jsessionid-in-url.html。因为使用的是tomcat7,于是在wen.xml中配置

<session-config>
     <tracking-mode>COOKIE</tracking-mode>
</session-config>

也自定义配置了listener,但是怎么弄都没用

servletContext.setSessionTrackingModes(EnumSet.of(SessionTrackingMode.COOKIE));

解决不了问题后,我在想可能不是tomcat的问题,于是想是在重定向时出现问题,那应该问题是在javax.servlet.http.HttpServletResponseWrapper.encodeRedirectURL方法时的问题,就开始debug找找问题的根源。

第二步:一步一步找到了问题

1、org.apache.shiro.web.filter.AccessControlFilter.redirectToLogin(ServletRequest, ServletResponse)

2、org.apache.shiro.web.util.RedirectView.sendRedirect(HttpServletRequest, HttpServletResponse, String, boolean)

protected void sendRedirect(HttpServletRequest request, HttpServletResponse response,
                                String targetUrl, boolean http10Compatible) throws IOException {
        if (http10Compatible) {
            // Always send status code 302.
            response.sendRedirect(response.encodeRedirectURL(targetUrl));
        } else {
            // Correct HTTP status code is 303, in particular for POST requests.
            response.setStatus(303);
            response.setHeader("Location", response.encodeRedirectURL(targetUrl));//<span style="color:#ff0000;">这里调用了<span style="font-family: Arial, Helvetica, sans-serif;">response.encodeRedirectURL</span></span>

        }
    }
public String <span style="color:#ff0000;">encodeRedirectURL</span>(String url) {
        if (isEncodeable(toAbsolute(url))) {
            return toEncoded(url, request.getSession().getId());
        } else {
            return url;
        }
    }
protected String <span style="color:#ff0000;">toEncoded</span>(String url, String sessionId) {

        if ((url == null) || (sessionId == null))
            return (url);

        String path = url;
        String query = "";
        String anchor = "";
        int question = url.indexOf('?');
        if (question >= 0) {
            path = url.substring(0, question);
            query = url.substring(question);
        }
        int pound = path.indexOf('#');
        if (pound >= 0) {
            anchor = path.substring(pound);
            path = path.substring(0, pound);
        }
        StringBuilder sb = new StringBuilder(path);
        if (sb.length() > 0) { // session id param can't be first.
            sb.append(";");
            sb.append(DEFAULT_SESSION_ID_PARAMETER_NAME);//<span style="color:#ff0000;">在这里加入了JSESSIONID</span>
            sb.append("=");
            sb.append(sessionId);
        }
        sb.append(anchor);
        sb.append(query);
        return (sb.toString());

    }

这样就明白问题出在哪里了。于是自定义MyShiroHttpServletResponse继承ShiroHttpServletResponse,覆写encodeRedirectURL直接返回url

                @Override
		public String encodeRedirectURL(String url) {
			// return super.encodeRedirectURL(url);
			return url;
		}
                @Override
<span style="white-space:pre">		</span>public String encodeURL(String url) {
<span style="white-space:pre">			</span>// return super.encodeURL(url);
<span style="white-space:pre">			</span>return url;
<span style="white-space:pre">		</span>}
在org.apache.shiro.web.servlet.ShiroFilter中覆写wrapServletResponse方法,返回自定的ServletResponse包装器 

                @Override
		protected ServletResponse wrapServletResponse(HttpServletResponse orig, ShiroHttpServletRequest request) {
			// TODO Auto-generated method stub
			// return super.wrapServletResponse(orig, request);
			return MyShiroHttpServletResponse(orig, getServletContext(), request);
		}
问题解决了,也在过程中学习了servlet3的新特性


我心随意
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
解决SpringBoot集成Thymeleaf,首次访问静态资源路径拼接jsessionid问题
qq_41355222的博客
12-16 2066
问题描述: 在用springboot+mybatis做myblog后台管理页面,发现首次跳转页面生成的文件内js、css、图片等资源URL后面被添加上了 ;jsessionid=… 的后缀,导致页面静态资源丢失,访问不到 html文件 登录成功跳转index页面 index页面代码 去浏览器访问,静态资源全没 看一眼控制台 可以看到被加了个jsessionid,所以访问不到! 不过,再次刷新页面有可以拿到静态资源,路径正常! 翻看Thymeleaf有关源码文件,知道Thymeleaf调用了 Ht
解决shiro第一次定向url会带上JSESSIONID问题
最新发布
superyu1992的专栏
03-08 392
设置sessionManager的SessionIdUrlRewritingEnabled设置成false,第一次定向url上面就不会带有JSESSIONID了。这是个小问题,不过因为好久没发布博客了,所以上来发一篇,说明I am still coding!
shiro 定向携带 JSESSIONID 问题解决
qq_29411043的博客
06-25 4329
shiro 请求头携带错误的 token 的问题
定向出现jsessionid=xxx路径的问题
u011709128的专栏
09-24 4004
web.xml文件配置第一点,注意配置版本为3.0版本,Servlet3.0规范的&lt;tracking-mode&gt;允许你定义JSESSIONID是存储在cookie还是URL参数。如果会话ID存储在URL,那么它可能会被无意的存储在多个地方,包括浏览器历史、代理服务器日志、引用日志和web日志等。暴露了会话ID使得网站被session劫持***的几率大增。然而,确保JSESSIO...
shiro整合单点登录,setLoginUrl定向地址会携带JSESSIONID问题
weixin_43165220的博客
03-05 3267
今天遇到一个问题,在springboot+shiro整合的项目,单点登录,当登录过期使用setLoginUrl 设置定向地址,然后这个地址返回一个登录过期请新登录的提示给前端,然后前端控制页面跳转到登录页面。 问题就出在定向的候,setLoginUrl 设置的地址总是会携带JSESSIONID,就一直报302错误 具体情况如下: ShiroConfig配置类 //省略其他配置 /** * Shiro基础配置 */ @Bean public ShiroFilterFactoryBean sh
解决shiro定向URL出现sessionID的情况localhost:8080/toLogin;jsessionid=D5C1EE61B97EE2D7098F58A837B82BD4
一名Java语言狂热分子。
04-18 4709
解决Shiro定向URL自动添加sessionID信息
前端开发对JSESSIONID的初步了解:JSESSIONID的产生以及简单说明
yimeichengxuyuan的博客
06-07 7208
Jsessionid只是tomcat的对sessionid的叫法,其实就是sessionid;在其它的容器也许就不叫jsessionid了。 首先谈一下对session对象在web开发的创建以及sessionId生成并返回客户端的运行机制。 session对象当客户端首次访问,创建一个新的session对象,并同生成一个sessionid,并对次响应将sessionid以响应报文的方式显回客户端浏览器内存或以url方式送回客户端,来保证整个会话,只要sever端的这个session对象没有销毁,
shiro官方文档(文)
06-16
shiro官方文档(文)
对应本博客:shiro、基于url权限管理章节的源代码
10-14
权限管理原理知识,权限管理解决方案,基于url的权限管理、shiro介绍、shiro认证
shiro动态URL权限控制
01-16
shiro动态URL权限控制 用过Spring Security的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL进行权限匹配;如果没有权限直接跳到相应的错误页面。Shiro也支持类似的机制,不过需要稍微改造下来满足实际需求...
基于Shiro 拦截URL,实现权限控制
08-02
NULL 博文链接:https://vti-iteye.iteye.com/blog/1963397
SpringBoot 19 Shrio 使用Mybatis和解决拼接jsessionid问题
小哞^同^学的技术博客
08-03 302
Shrio+Mybatis+druid其实 都是 互相独立的。所以 兼容性 极高,没有冲突。我们 只能说 Shrio 使用 Mybatis 做 数据 的操纵。Mybatis 用 druid 做连接池。就是如此。当然 我们也可以说 这是整合,只是太牵强罢了。...
处理SpringMVC整合shiro url出现jsessionid
lhd992692552的博客
06-14 253
springmvc+shiro 出现jsessionid
解决spring boot项目链接多出jsessionid问题
qq_40805231的博客
09-11 3992
在HTML会发现得到的链接会是 " /项目名/;jsessionid=xxxxxxxxxxxxxxxxxxxx" 这样的形式,这样再去拼接链接访问就会报错。访问不到指定的页面。 在启动类继承SpringBootServletInitializer,然后写这个方法 public void onStartup(ServletContext servletContext) thro...
spring项目解决静态url自动拼接;jsession的问题
kitahiragawa的博客
07-07 1401
转载自https://my.oschina.net/wangnian/blog/648022 1.jsessionid是什么? Jsessionid只是tomcat的对sessionid的叫法,其实就是sessionid;在其它的容器也许就不叫jsessionid了 2.那么有什么问题? 首先这是一个保险措施 因为Session默认是需要Cookie支持的,但有些客户浏览器是关闭Cookie的,所以在这个候就需要在URL指定服务器上的session标识,也就是EDE802AB96CD1E0CA2AFB3
关于shiro定向后链接带jsessionid问题
_小曾
02-12 1288
shiro定向后链接带jsessionid 我是在shiro使用拦截跳转登录界面,带jsessionid。 解决方法 原因 因为页面提示的是非法请求,所以就是URL带了 ;jsessionid=98CADF5DA49F4A76E 导致请求为非法请求 解决 在shiroConfig加入 @Bean public DefaultWebSessionManager SessionManager(){ DefaultWebSessionManager defaultSes
解决Shiro第一次定向url携带jsessionid问题
Ruanes的博客
09-05 2566
Shiro在进行第一次定向会在url后携带jsessionid,导致访问400。 实力有限,就不分析源码了,需要了解原因的可以查看ShiroHttpServletResponse类encodeRedirectURL、encodeRedirectUrl、toEncoded等方法,直接说下解决办法 解决办法: 创建一个DefaultWebSessionManager类实例,并将它的sessionIdUrlRewritingEnabled属性设置成false 再在DefaultWebSecurityMan
解决Shiro第一次定向url带有jsessionid导致400错误
shellhard的博客
02-20 2643
Shiro进行第一次定向,会在url后携带jsessionid,这会导致400错误(无法找到该网页)。 原因在于ShiroHttpServletResponse配置类的doIsEncodeable当,会将url自动拼接jsessionid。 解决办法: 在Shiro的配置类的sessionManager()方法,将sessionIdUrlRewritingEnabled属性设置为false。该方法返回一个DefaultWebSessionManager实例。 将上面方法返回的实例设置为Defa
shiro拦截url动态配置在数据库
09-03
而将Shiro的拦截URL配置存储在数据库,可以在运行动态修改权限配置,不需要新编译代码。 使用数据库作为权限配置的存储介质,我们可以通过数据库操作来修改URL的权限信息,如添加新的URL权限、修改已有URL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值