Shiro中Session和Cookie的一些思考

最新推荐文章于 2024-06-11 12:15:36 发布
最新推荐文章于 2024-06-11 12:15:36 发布
阅读量1.2w 收藏 16
点赞数 1
分类专栏: 框架整合 文章标签: session cookie redis shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20954959/article/details/66971090
版权
本文探讨了在使用Shiro框架时,关于Session和Cookie的一些问题和解决方案。介绍了如何利用shiro+redis集成缓存权限,动态加载链接权限,以及自定义权限校验Filter。同时,讨论了Shiro中RememberMe功能的工作原理,以及针对Cookie安全性的担忧,包括XSS攻击防护和防止Cookie被盗用的策略。最后,提出了未解决的疑惑,如如何在用户退出后清除服务器上的RememberMe记录。
摘要由CSDN通过智能技术生成

这篇博客就来写一写之前学习shiro框架整合的时候,产生的一些问题,相信大家在学习的时候也有相应的一些疑惑。接下来就针对shiro中的session和cookie来捋一捋。

shiro整合学习的总结

  1. shiro+redis集成,避免每次访问有权限的链接都会去执行MyShiroRealm.doGetAuthenticationInfo()方法来查询当前用户的权限,因为实际情况中权限是不会经常变得,这样就可以使用redis进行权限的缓存。

  2. 实现shiro链接权限的动态加载,之前要添加一个链接的权限,要在shiro的配置文件中添加filterChainDefinitionMap.put(“/add”, “roles[100002],perms[权限添加]”),这样很不方便管理,一种方法是将链接的权限使用数据库进行加载,另一种是通过init配置文件的方式读取。

  3. Shiro 自定义权限校验Filter定义,及功能实现。

  4. Shiro Ajax请求权限不满足,拦截后解决方案。这里有一个前提,我们知道Ajax不能做页面redirect和forward跳转,所以Ajax请求假如没登录,那么这个请求给用户的感觉就是没有任何反应,而用户又不知道用户已经退出了。

  5. 控制同一个用户的在线数量。(挤出之前的登录用户)

  6. Shiro 登录后跳转到最后一个访问的页面

  7. 在线显示,在线用户管理(踢出登录)。

  8. 登录注册密码加密传输。

  9. 集成动态验证码。

  10. 记住我的功能。关闭浏览器后还是登录状态。

<
最低0.47元/天 解锁文章
z77z
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro获取在线人数与ipcookie以及单账号单登录解决方案
afdasfggasdf的博客
12-22 834
在线人数 https://blog.csdn.net/mooyinn/article/details/45288997 Collection<Session> list = ((DefaultSessionManager) ((DefaultSecurityManager) SecurityUtils .getSecurityManager()).getSessionManage...
shirosession ,cookie 以及 sessioncookie 的区别
chuncui2576的博客
06-28 1861
在玩 spring boot 集成 shiro ,,,可是 发现 它的 sessioncookie 把我搞得有点懵了。。。 首先 声明 sessioncookie 的 区别,,,其实 sessioncookie 是 一样的东西, **顺便提一下,,,在web项目里面 s...
shiro当设置sessionIdCookie配置的domain和访问url不匹配时,每次请求都会重新生成session
热门推荐
zsg88的专栏
06-28 1万+
在Servlet容器,默认使用JSESSIONID Cookie维护会话 如下配置了domain <!-- 设置Cookie名字, 默认为: JSESSIONID 问题: 与SERVLET容器名冲突, 如JETTY, TOMCAT 等默认JSESSIONID, 当跳出SHIRO SERVLET时如ERROR-PAGE容器会为JSESSIONID重
Shiro框架封装cookiesession配置实现RememberMe效果------Shiro框架
最新发布
春风若有怜花意,可否许我再少年
06-11 974
Shiro框架封装cookiesession配置实现RememberMe效果------Shiro框架
问题2:shiro配置redis管理session后,每次重新请求重新生成session问题
a151605的博客
04-24 8605
使用shiro时,配置了redis缓存session,但是每次请求,包括刷新页面都会在redis重新保存一个session,后来发现是cookie设置的domian问题,导致每次请求域名不同,后台会自动重新生成session.@Bean(name="sessionIdCookie") public SimpleCookie sessionIdCookie(){ //coo...
shiro框架源码解析与改造(七)---sessioncookie创建及相关
ljz2016的博客
08-10 2292
sessioncookie创建,是在第一次进入shiro域时,访问jsp页面之前。 此时调用了getSession方法。 public HttpSession getSession(){ return getSession(true); } public HttpSession getSession(boolean create) { Htt...
shiro 修改sessionid_Shiro会话管理
weixin_39953236的博客
11-20 1048
Shiro提供了一个完整的企业级会话管理解决方案,不再依赖web容器。可以在web和非web环境下使用。1、Shiro会话管理的特性(1)会话事件监听:提供对对session整个生命周期的监听。 (2) 会话存储/持久化:因为shirosession对象是基于java对象的,所以可以将session存储在任何地方,例如,文件,各种数据库,内存等。(...
shirosession实现的简单分析
tinysakura的博客
08-28 4833
前阵子对shiro进行分布式环境下的改造时跟了一遍源码,当时只是使用了思维带图简要的记录了一下方法的调用过程。最近有空了决定用博客详细的记录分析一下这个流程,以帮助自己更好的理解。 配置 首先看看shiro在web.xml文件的配置 &amp;amp;lt;!-- shiro过滤器 --&amp;amp;gt; &amp;amp;lt;filter&amp;amp;gt; &amp;amp;lt;filter-name&amp;
springboot集成shirosession污染问题
长空
07-03 1843
        近期同事在项目遇到了shiro冲突的问题,问题起因是这样的,有两套系统,系统a和系统b。两套系统均使用shiro做的权限管理,之前部署在两台机器上。使用浏览器打开a系统后另开页签打开b系统,互不干扰都能正常使用,后因业务迁移,两套系统部署到了一个机器上,再使用浏览器打开a系统后再开b系统。问题就出现了,之前a系统要求重新登录。        原因分析,shiro是基于sessio...
sso单点登录的原理详解,及Shiro同时支持Session和JWT Token两种认证方式,和Session和JWT整合方案
阿啄debugIT
08-25 1112
1. 单点登录是什么? 单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群登录一个系统,便可在其他所有系统得到授权而无需再次登录,包括单点登录与单点注销两部分。 2. 单点登录的原理 相比于单系统登录,sso需要一个独立的认证心,只有认证心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证心的间接授权。间接授权通过令牌实现,sso认证心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程,授权令牌作为参数发送给各...
shiro 每次请求都会新建会话,创建session
西门吹吹吹雪
09-03 1万+
在Servlet容器,默认使用JSESSIONID Cookie维护会话 如下配置了domain [html] view plain copy bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">            当跳出SHIRO S
shiro session每次请求都不一样_Shiro使用Jwt达到前后端分离
weixin_39653405的博客
11-26 704
作者:fzsywhttps://www.cnblogs.com/fzsyw/p/11405504.html1,概述前后端分离之后,因为HTTP本身是无状态的,Session就没法用了。项目采用jwt的方案后,请求的主要流程如下:用户登录成功之后,服务端会创建一个jwt的token(jwt的这个token记录了当前的操作账号),并将这个token返回给前端,前端每次请求服务端的数据时,都...
session存储redis但是对应用透明,项目前后端分离,使用shiro做权限管理的关于session知识点整理
〖我的第七章 〗的专栏
10-12 660
          做项目是web的,并且会有移动设备,以及未来会进行分布式部署,所以shiro作为权限管理的时候,就会出现session和应用分离的状况。         因为redis集成在了session,所以sessionshiro项目来说是透明的,这时,就需要前端能保存jsessionid来对项目进行请求的时候不需要再重新登录。         因为session存在redis...
spring - shiro - session交给redis托管
ws6afa88的博客
10-15 676
shiro自己也有session,但是我希望将这个session交给redis托管,因为如果系统采用分布式,登录信息只保存在一个节点是肯定不行的。仔细弄了几天,遇到几个坑,查了很多资料,终于走通了。现在做个笔记。有关shiro的认证与校验见https://blog.csdn.net/ws6afa88/article/details/109061610 0. ShiroDemo目录结构 1. 主要依赖 <!--整合shiro--> <dependency> <gro
七。微信小程序,shiro不用cookie如何维护登录状态
u014203449的博客
07-10 8404
七。shiro不用cookie如何维护登录状态
修改shirocookie的名称
weixin_40010498的博客
04-18 5403
1、情况 在同一个域名下部署两套不同的项目,端口号不同,都采用shiro安全框架。 2、出现问题:两个系统同时登陆后会出现相互干扰的情况 3、原因:同一个域名下两个系统的cookie名称相同(shiro默认的cookie名为;JSESSIONID),相互覆盖; 4、解决方案:修改shiro默认的cookie名 springboot整合shiro修改的代码 //同一个域下两个项目使用shiro,c...
java模拟浏览器不关闭会话_JSP实现浏览器关闭cookies情况下的会话管理
weixin_39546312的博客
02-26 151
通常,会话管理是通过服务器将 Session ID 作为一个 cookie 存储在用户的 Web 浏览器来唯一标识每个用户会话。如果浏览器不支持 cookies,或者将浏览器设置为不接受 cookies,我们可以通过 URL 重写来实现会话管理。实质上 URL 重写是通过向 URL 连接添加参数,并把 session ID 作为值包含在连接。然而,为使这生效,你需要为你的 servlet 响应...
Shiro配置cookie以及共享SessionSession失效问题
weixin_30662011的博客
06-07 560
首先我们看Shiro的会话管理器的配置 <!-- shiro会话管理 --> <!-- 即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的 --> <bean id="sessionManager" class="org.apache.shiro.web.sess...
shiro.session.sessionIdCookie.domain
06-13
shiro.session.sessionIdCookie.domain 是 Apache Shiro 框架用于配置 Session ID Cookie 的域名属性。它指定了应用程序使用的 Session ID Cookie 的域名,以便 Cookie 在跨域请求时正确传递。如果未指定此属性,则默认使用当前请求的服务器名称作为 Cookie 的域名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值