shiro 重定向携带 JSESSIONID 问题解决

最新推荐文章于 2024-04-19 23:31:53 发布
最新推荐文章于 2024-04-19 23:31:53 发布
阅读量4.4k 收藏 7
点赞数 2
文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29411043/article/details/125459249
版权
shiro 请求头携带错误的 token 的问题
摘要由CSDN通过智能技术生成

问题描述:

环境

Springboot + shiro

前情

shiro 配置好后,登录成功后会生成 auth_token 保存并返回给前端 ,客户端往后每次发送请求都携带 auth_token 在请求头中,以此来判断登录状态。当请求不携带 auth_token 时判断为没登录,会跳转至提醒用户登录的接口(假设为 “/unauthorized”)。

问题发生过程

当发送请求时,携带一个错误的 auth_token 请求头,此时不会跳转,后台会出现 ”shiro Enabling session validation scheduler…“ 的问题。

问题排查

经过排查发现,下面是我自己写的 SessionManager ,用来判断请求是否携带了 “auth_token” 这个 token信息 ,如果携带了则把该 auth_token 返回交给 shiro 底层判断跟之前登录保存的 auth_token 是否一致,不一致则跳转到 “/unauthorized” 接口。

public class CustomWebSessionManager extends DefaultWebSessionManager {
   
    public static final String AUTH_HEAD_TOKEN = "auth_token";

    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
   
        if (request instanceof HttpServletRequest) {
   
            HttpServletRequest req = (HttpServletRequest) request;
            System.out.println(req.getRequestURL());
            String sessionId = req.getHeader(AUTH_HEAD_TOKEN);
            if (!StringUtils.isEmpty(sessionId)) {
   
                return sessionId;
            }
        }
        return super.getSessionId(request, response);
    }
}

问题就出现在这里,我输入了错误的 auth_tok

最低0.47元/天 解锁文章
一位路人
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
shiro整合中登录的时候url地址栏带jsessionid解决方式
周先森爱编程丶的博客
04-02 9476
shiro登录完成的时候,第一次或者重启项目之后访问系统时候 浏览器地址栏会出现后缀带jsessionid,如下图: 解决方式: 1.web.xml web.xml必须为3.0版本 <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-inst...
shiro ajax重定向,Shiro登录成功之后跳到指定URL
weixin_28025327的博客
08-06 1276
通常我们使用shiro,登录之后就会跳到我们上一次访问的URL,如果我们是直接访问登录页面的话,shiro就会根据我们配置的successUrl去重定向,如果我们没有配置successUrl的话,那么shiro重定向默认的/,这个逻辑看shiro的源码就可以知道:1.shiro会把请求信息保存到session中:2.然后判断是否已经登录,如果没有登录,就会跳到登录页面,用户输入凭证之后就会交给Fo...
springboot + shiro 地址栏出现 jsessionid
快乐的小三菊的博客
05-21 1500
解决 springboot + shiro 地址栏出现 jsessionid
Springboot+Shiro 去除JSESSIONID
最新发布
Gblfy_Blog
04-19 296
Springboot+Shiro 去除JSESSIONID
shiro安全框架入门
简书的专栏
02-22 1551
https://github.com/caojx-git/learn/blob/master/notes/shiro/shiro%E5%AE%89%E5%85%A8%E6%A1%86%E6%9E%B6%E5%85%A5%E9%97%A8.md
shiro中登录的时候url地址栏带jsessionid的两种方式
myli92的博客
01-13 1281
1.web.xml web.xml必须为3.0版本 <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http:/
shirosession缓存中关于JSESSIONID失效问题
Anxiaolu的博客
05-14 7104
考研期间,再次抽点时间来搞点开发(其实上的课不想听又放不下之前弄了一半的东西,所以有点开小差了.....),哈哈。用一个小dmeo来学习shiro的权限分配管理,在学习其中的在线会话管理,要用到sesssion管理,结果跟着张凯涛的shiro教程学到这里后使用了自定义实现的缓存管理和session管理,碰到了这么个错误。    测试的时候一直是拿后台的登录页面进行测试。在最初请求该页面时,shir...
Shiro(三)——三种不同的登录方式、RememberMe登录、Shiro 授权、其他配置(配置注销后的跳转页面、处理 JsessionID
qq_41824825的博客
02-12 1862
Shiro(三)—— 一、三种不同的登录方式 1、第一种登录方式 上一篇博客用的就是第一种登录方式,自己定义登录逻辑,自己定义页面,错误信息等,就是第一种登录方式了。 2、第二种登录方式——无状态登录 这是一种比较老的登录方式了。登录网站会弹框让你输入账号密码。这种一般就是属于 httpBasic 登录,然后把账号密码放在请求头信息中,传输到服务端解析。 这种登录有比较大的弊端: 一是不安全,因为信息都放在请求头中了; 二是这种登录是无状态登录,没有会话,也就没有 cookie 了,然后就是登录后账号密码
shiro1.13.0解决IniSecurityManagerFactory过期问题
12-29
为了解决 `IniSecurityManagerFactory` 过期的问题,开发者可以采取以下几种策略: 1. **转换为 Java API 配置**:Shiro 提供了 Java API 来动态创建和配置 `SecurityManager`。通过编写 Java 代码,可以直接实例化...
shiro多验证登录代码实例及问题解决
08-25
Shiro 多验证登录代码实例及问题解决 Shiro 是一个 Java security framework,它提供了许多有用的功能来帮助开发者保护应用程序的安全。Shiro 多验证登录是指在一个应用程序中使用多种身份验证方式来验证用户身份。...
关于shiro中部分SpringCache失效问题解决方法
08-27
"关于shiro中部分SpringCache失效问题解决方法" 本文主要介绍了shiro中部分SpringCache失效问题解决方法,通过示例代码详细介绍了问题解决思路,具有较高的参考学习价值。 一、问题抛出 在使用Springboot和...
SpringShiro整合及加载权限表达式问题
08-25
这篇文章主要介绍了如何将SpringShiro整合,並加载权限表达式,解决了权限表达式的加载问题。 知识点1:SpringShiro整合 SpringShiro是两个不同的框架,Spring是一个Java框架,Shiro是一个身份验证和授权...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题解决方法 在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
Shiro登录成功之后跳到指定URL
weixin_30748995的博客
09-24 822
通常我们使用shiro,登录之后就会跳到我们上一次访问的URL,如果我们是直接访问登录页面的话,shiro就会根据我们配置的successUrl去重定向,如果我们没有配置successUrl的话,那么shiro重定向默认的/,这个逻辑看shiro的源码就可以知道: 1.shiro会把请求信息保存到session中: 2.然后判断是否已经登录,如果没有登录,就会跳到登录...
shiro重定向时URL中的JSESSIONID问题
魏晋风范
01-18 1万+
最近开始在项目中使用shiro作为权限控制,配置成功后,访问一切正常。但发现在向登录页面重定向时,URL中总是待;JSESSIONID=****,这时Session的另一种使用方式(一种是Cookie)。本来也不影响使用,但是据说这种方式有漏洞,再就是这样看着实在是不爽。那怎么去掉呢? 第一步:刚开始我以为是tomcat的问题,于是就百度了下tomcat怎么取消url中的JSESSIONID
Shiro logout 302重定向shiro 302解决方案
蕃薯耀的博客
04-09 1676
================================ ©Copyright 蕃薯耀 2022-04-09 蕃薯耀的博客_CSDN博客 一、问题描述 当登录退出为Ajax请求时,使用Shiro的logout退出登录,会发生302重定向,导致不能正常退出。 二、解决方案 1、重写LogoutFilter过滤器 import java.util.Locale; import javax.servlet.ServletRequest; import javax.se.
shiro整合cas多次验证或者重复重定向问题
热门推荐
喵″的博客
11-26 1万+
很多人初学都会遇到多次验证或者重复重定向,然后拿着异常网上各种查资料,到最后会发现,是因为shiro封装了指定的返回路劲:/、/index、上次request地址 通过配置文件配置的路劲,只是一个辅助作用,在shiro找不到跳转路劲后才会跳转到配置的路劲,所以我们要做的就是:重写跳转方法。
SpringBoot整合Apache Shiro 重定向时去掉URL中的JSESSIONID--重写getSessionId方式
闲言
07-01 866
SpringBoot整合Apache Shiro 重定向时去掉URL中的JSESSIONID--重写getSessionId方式
shiro-all由1.3.2 升级到1.11.0后出现重定向次数过多的问题:ERR_TOO_MANY_REDIRECTS
dulabing的专栏
06-27 1311
1,假设网站的网址是http://localhost:8080/rrsck, 当用户没有认证的时候,在浏览器敲击http://localhost:8080/rrsck网址的时候,会去查找rrsck根目录下的名为index.jsp的文件。在升级shiro之前, loginUrl的value='/', 是没有问题的, 不知道为啥, 升级后, 单纯'/' 就匹配不上index了, 一直在循环调转.所以, 升级shiro后, loginUrl的value='/index.jsp'
shiro实现免密登录,解决三方登录问题
07-28
对于实现免密登录和解决三方登录问题,你可以使用 Apache Shiro 来帮助你完成。Apache Shiro 是一个强大的开源安全框架,提供了身份认证、授权、会话管理等功能。下面是一些步骤来帮助你实现免密登录和解决三方登录问题: 1. 引入 Shiro 依赖:在你的项目中引入 Shiro 的相关依赖,可以通过 Maven 或者 Gradle 进行配置。 2. 配置 Shiro:在你的项目中添加一个 Shiro 的配置文件,一般为 shiro.ini 或者 shiro.yml。在配置文件中,你可以定义 Shiro 的认证器、授权器、过滤器链等。 3. 实现免密登录:免密登录一般可以通过记住我功能来实现。你可以在用户登录成功后生成一个记住我 token,并将该 token 存储在用户的浏览器 cookie 中。下次用户访问时,Shiro 会自动根据 cookie 中的 token 进行自动登录。 4. 解决三方登录问题:对于三方登录,你可以使用 Shiro 的 OAuth2 功能来实现。首先,你需要配置 OAuth2 相关的客户端信息,包括 client id、client secret、授权地址、token 地址等。然后,你可以使用 Shiro 提供的 OAuth2Filter 来处理三方登录的请求和响应。 需要注意的是,以上只是一个简单的概述,实际的实现过程可能会更加复杂。你可以参考 Shiro 的官方文档和示例代码来帮助你完成具体的实现。希望能对你有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值