重定向出现jsessionid=xxx路径的问题

最新推荐文章于 2024-04-19 23:31:53 发布
最新推荐文章于 2024-04-19 23:31:53 发布
阅读量4k 收藏 8
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011709128/article/details/82809179
版权

web.xml文件配置


第一点,注意配置版本为3.0版本,

Servlet3.0规范中的<tracking-mode>允许你定义JSESSIONID是存储在cookie中还是URL参数中。如果会话ID存储在URL中,那么它可能会被无意的存储在多个地方,包括浏览器历史、代理服务器日志、引用日志和web日志等。暴露了会话ID使得网站被session劫持***的几率大增。然而,确保JSESSIONID被存储在cookie中

xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
version="3.0">

<session-config>
    <tracking-mode>COOKIE</tracking-mode>
</session-config>


===============================我是分割线====================================

在使用shiro之后,shiro的重定向跳转,默认是带有JSESSIONID的

附上ShiroHttpServletResponse源码

    @Override
    public String encodeRedirectURL(String url){
        /** 下面是ShiroHttpServletResponse源码,重写shiro的encodeRedirectURL方法,把url路径里的JSESSIONID去掉 **/
        if (isEncodeable(toAbsolute(url))) {
            return toEncoded(url, request.getSession().getId());
        } else {
            return url;
        }
        return url;
    }

上面是此类第一个方法,下面是此类第二个方法

@Override
    protected String toEncoded(String url, String sessionId) {
        if ((url == null) || (sessionId == null))
            return (url);

        String path = url;
        String query = "";
        String anchor = "";
        int question = url.indexOf('?');
        if (question >= 0) {
            path = url.substring(0, question);
            query = url.substring(question);
        }
        int pound = path.indexOf('#');
        if (pound >= 0) {
            anchor = path.substring(pound);
            path = path.substring(0, pound);
        }
        StringBuilder sb = new StringBuilder(path);
        /**  下面是ShiroHttpServletResponse源码,重写shiro的toEncoded方法使其不拼接JSESSIONID **/
        if (sb.length() > 0) { // session id param can't be first.
            sb.append(";");
            sb.append(DEFAULT_SESSION_ID_PARAMETER_NAME);
            sb.append("=");
            sb.append(sessionId);
        }
        sb.append(anchor);
        sb.append(query);
        return (sb.toString());

    }

由此我们知道shiro第一次访问重定向的时候会带有JSESSIONID=xxxxxxxxxxxx


那么解决方案如下:


新建MyShiroHttpServletResponse继承ShiroHttpServletResponse

重写其方法encodeRedirectURL和toEncoded

package com.uu.back.util;

import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.servlet.ShiroHttpServletResponse;

import javax.servlet.ServletContext;
import javax.servlet.http.HttpServletResponse;

/**
 * Created by Alex on 2016/9/26.
 */
public class MyShiroHttpServletResponse extends ShiroHttpServletResponse {
    public MyShiroHttpServletResponse(HttpServletResponse wrapped, ServletContext context, ShiroHttpServletRequest request) {
        super(wrapped, context, request);
    }

    @Override
    public String encodeRedirectURL(String url){
        /** 下面是ShiroHttpServletResponse源码,重写shiro的encodeRedirectURL方法,把url路径里的JSESSIONID去掉 **/
//        if (isEncodeable(toAbsolute(url))) {
//            return toEncoded(url, request.getSession().getId());
//        } else {
//            return url;
//        }
        return url;
    }
    @Override
    protected String toEncoded(String url, String sessionId) {
        if ((url == null) || (sessionId == null))
            return (url);

        String path = url;
        String query = "";
        String anchor = "";
        int question = url.indexOf('?');
        if (question >= 0) {
            path = url.substring(0, question);
            query = url.substring(question);
        }
        int pound = path.indexOf('#');
        if (pound >= 0) {
            anchor = path.substring(pound);
            path = path.substring(0, pound);
        }
        StringBuilder sb = new StringBuilder(path);
        /**  下面是ShiroHttpServletResponse源码,重写shiro的toEncoded方法使其不拼接JSESSIONID **/
//        if (sb.length() > 0) { // session id param can't be first.
//            sb.append(";");
//            sb.append(DEFAULT_SESSION_ID_PARAMETER_NAME);
//            sb.append("=");
//            sb.append(sessionId);
//        }
        sb.append(anchor);
        sb.append(query);
        return (sb.toString());

    }
}



新建MySpringShiroFilter继承AbstractShiroFilter

package com.uu.back.util;

import org.apache.shiro.web.filter.mgt.FilterChainResolver;
import org.apache.shiro.web.mgt.WebSecurityManager;
import org.apache.shiro.web.servlet.AbstractShiroFilter;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;

import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;


/**
 * Created by Alex on 2016/9/26.
 */
public class MySpringShiroFilter extends AbstractShiroFilter {
    protected MySpringShiroFilter(WebSecurityManager webSecurityManager, FilterChainResolver resolver) {
        super();
        if (webSecurityManager == null) {
            throw new IllegalArgumentException("WebSecurityManager property cannot be null.");
        }
        setSecurityManager(webSecurityManager);
        if (resolver != null) {
            setFilterChainResolver(resolver);
        }
    }

    @Override
    protected ServletResponse wrapServletResponse(HttpServletResponse orig, ShiroHttpServletRequest request) {
        return new MyShiroHttpServletResponse(orig, getServletContext(), request);
    }
}



新建MyShiroFilterFactoryBean继承ShiroFilterFactoryBean

package com.uu.back.util;

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.filter.mgt.FilterChainManager;
import org.apache.shiro.web.filter.mgt.PathMatchingFilterChainResolver;
import org.apache.shiro.web.mgt.WebSecurityManager;
import org.apache.shiro.web.servlet.AbstractShiroFilter;
import org.springframework.beans.factory.BeanInitializationException;

/**
 * Created by Alex on 2016/9/26.
 */
public class MyShiroFilterFactoryBean extends ShiroFilterFactoryBean {
    @Override
    public Class getObjectType() {
        return MySpringShiroFilter.class;
    }

    @Override
    protected AbstractShiroFilter createInstance() throws Exception {

        SecurityManager securityManager = getSecurityManager();
        if (securityManager == null) {
            String msg = "SecurityManager property must be set.";
            throw new BeanInitializationException(msg);
        }

        if (!(securityManager instanceof WebSecurityManager)) {
            String msg = "The security manager does not implement the WebSecurityManager interface.";
            throw new BeanInitializationException(msg);
        }

        FilterChainManager manager = createFilterChainManager();

        PathMatchingFilterChainResolver chainResolver = new PathMatchingFilterChainResolver();
        chainResolver.setFilterChainManager(manager);

        return new MySpringShiroFilter((WebSecurityManager) securityManager, chainResolver);
    }
}


修改shiro的配置文件:

注释掉的就是原有的,现在我们不用原有的,使用我们自己写好的

<!--<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">-->
<bean id="shiroFilter" class="com.uu.back.util.MyShiroFilterFactoryBean">
    /** **/
</bean>


重启,访问:

wKiom1fo06bBRWi4AAAZlAo0TAM661.png-wh_50


Alex233_luo
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro 重定向携带 JSESSIONID 问题解决
qq_29411043的博客
06-25 4470
shiro 请求头携带错误的 token 的问题
JavaWeb高级编程(五)—— 使用会话来维持HTTP状态
云卷云舒的架构师之路
10-28 679
一、需要会话的原因        从服务器的角度来说,当请求结束时,客户端与服务器之间就再有任何联系,如果有下一个请求开始时,就无法将新的请求与之前的请求关联起来。这是因为 HTTP请求自身是完全无状态的,会话就是用来维持请求和请求之间的状态的。         拿生活场景举例:你进入最喜欢的超市购物,找到一个购物车(从服务器获得会话),一边逛一边挑选喜爱的商品并将它们添加到购物车中(将商品添...
Tomcat核心原理学习总结(二)
taylor的博客
09-23 853
Tomcat 专题Tomcat 专题二内容5.Web 应用配置5.1 ServletContext 初始化参数5.2 会话配置5.3 Servlet配置5.4 Listener配置5.5 Filter配置5.6 欢迎页面配置5.7 错误页面配置6.Tomcat 管理配置6.1 host-manager6.2 manager7.JVM 配置7.1 JVM内存模型图7.2 JVM配置选项8. Tomc...
Springboot+Shiro 去除JSESSIONID
最新发布
Gblfy_Blog
04-19 296
Springboot+Shiro 去除JSESSIONID
web.xml中配置session属性
热门推荐
ch717828的专栏
09-18 3万+
为什么要在web.xml配置JSP属性 在许多情况下,都可以在Java EE中直接使用HTTP会话,不需要添加显示地配置。不过可以在部署描述符中配置它们,并且出于安全地目的也应该配置。在部署描述符中使用标签配置会话。 样例 30 JSESSIONID example.org /shop true false 1800 COOK
web.xml文件中的7个错误的安全配置
weixin_30673611的博客
01-29 307
关于Java的web.xml文件中配置认证和授权有大 量 的 文章。本文不再去重新讲解如何配置角色、保护web资源和设置不同类型的认证,让我们来看看web.xml文件中的一些常见的安全错误配置。 (1) 自定义的错误页面没有配置 默认情况下,Java Web应用在发生错误时会将详细的错误信息展示出来,这将暴露服务器版本和详细的堆栈信息,在有些情况下,甚至会显示Java代码的代码片段。这些信息对...
shiro重定向时URL中的JSESSIONID问题
魏晋风范
01-18 1万+
最近开始在项目中使用shiro作为权限控制,配置成功后,访问一切正常。但发现在向登录页面重定向时,URL中总是待;JSESSIONID=****,这时Session的另一种使用方式(一种是Cookie)。本来也不影响使用,但是据说这种方式有漏洞,再就是这样看着实在是不爽。那怎么去掉呢? 第一步:刚开始我以为是tomcat的问题,于是就百度了下tomcat怎么取消url中的JSESSIONID
jsessionid存在的问题及其解决方案
03-16
2. **SEO不友好**:搜索引擎爬虫可能会因URL中的`jsessionid`而遇到问题,因为它可能会导致重复内容的出现,影响网站的搜索引擎排名。 3. **性能**:每次请求都要携带`jsessionid`,可能导致HTTP头信息过大,影响...
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly
11-20
Cookie 路径属性安全设置 ...然而,在某些情况下,Cookie 中的...从代码解决可以通过设置 Cookie 的路径属性来处理问题,而从容器本身解决可以通过配置容器的设置来处理问题。无论哪种思路,都是为了保护项目路径的安全。
获取JsessionId
03-24
重定义URL 使其直接进去网页 不用登录 用于:邮件链接直接进入网站
tomcat修改jsessionid在cookie中的名称
04-14
tomcat修改jsessionid在cookie中的名称
android获取jsessionId和发送jsessionId
05-30
headers.put("Cookie", Collections.singletonList("JSESSIONID=" + jsessionId)); HttpURLConnection connection = (HttpURLConnection) url.openConnection(); connection.setRequestProperties(headers); ``` 四...
重定向路径上自动添加jsessionid=
CSDNY_88的博客
02-08 1059
案发场景 浏览器地址栏输入Web服务器地址,并访问(http://www.XXX.cn/aaa/bbb) Web服务器查询资源地址,并拼接完整路径(resultLink=“http://www.XXX.cn/TT/index.html?param=params”) 使用语句(return “redirect:”+resultLink;)重定向,地址栏显示路径为 http://www.XXX.cn/TT/index.html**;jsessionid=XXXXXX**?param=params,导致访问报4
shiro整合单点登录,setLoginUrl重定向地址会携带JSESSIONID问题
weixin_43165220的博客
03-05 3388
今天遇到一个问题,在springboot+shiro整合的项目中,单点登录,当登录过期时使用setLoginUrl 设置重定向地址,然后这个地址返回一个登录过期请重新登录的提示给前端,然后前端控制页面跳转到登录页面。 问题就出在重定向的时候,setLoginUrl 设置的地址总是会携带JSESSIONID,就一直报302错误 具体情况如下: ShiroConfig配置类 //省略其他配置 /** * Shiro基础配置 */ @Bean public ShiroFilterFactoryBean sh
解决shiro重定向URL中出现sessionID的情况localhost:8080/toLogin;jsessionid=D5C1EE61B97EE2D7098F58A837B82BD4
一名Java语言狂热分子。
04-18 4741
解决Shiro重定向URL中自动添加sessionID信息
关于解决SpringBoot中使用redirect重定向后,页面跳转后ulr地址后面出现jsessionid=xxxxxxx的问题
方方方的博客
06-11 2857
关于解决SpringBoot中使用redirect重定向后,页面跳转后ulr地址后面出现jsessionid=xxxx的问题 参考链接:https://blog.csdn.net/zshake/article/details/37658147 在controller中,做了一个简单的登录判断,判断完成后使用redirect重定向到另一个页面 原本代码如下: @PostMapping("/login") public String main(String userName, String pa
关于shiro重定向后链接带jsessionid问题
_小曾
02-12 1329
shiro重定向后链接带jsessionid 我是在shiro中使用拦截跳转登录界面时,带jsessionid。 解决方法 原因 因为页面提示的是非法请求,所以就是URL带了 ;jsessionid=98CADF5DA49F4A76E 导致请求为非法请求 解决 在shiroConfig中加入 @Bean public DefaultWebSessionManager SessionManager(){ DefaultWebSessionManager defaultSes
解决Shiro第一次重定向url带有jsessionid导致400错误
shellhard的博客
02-20 2694
在Shiro进行第一次重定向时,会在url后携带jsessionid,这会导致400错误(无法找到该网页)。 原因在于ShiroHttpServletResponse配置类的doIsEncodeable当中,会将url自动拼接jsessionid。 解决办法: 在Shiro的配置类中的sessionManager()方法中,将sessionIdUrlRewritingEnabled属性设置为false。该方法返回一个DefaultWebSessionManager实例。 将上面方法返回的实例设置为Defa
解决Shiro第一次重定向url携带jsessionid问题
Ruanes的博客
09-05 2619
Shiro在进行第一次重定向时会在url后携带jsessionid,导致访问400。 实力有限,就不分析源码了,需要了解原因的可以查看ShiroHttpServletResponse类中encodeRedirectURL、encodeRedirectUrl、toEncoded等方法,直接说下解决办法 解决办法: 创建一个DefaultWebSessionManager类实例,并将它的sessionIdUrlRewritingEnabled属性设置成false 再在DefaultWebSecurityMan
spring-boot 请求出现jsessionid=856DC0387CAE5FFCBD4B4A3810AFB646
06-13
这是因为 Spring Boot 默认开启了 Session 支持,会在每个请求中添加一个 JSESSIONID 的 Cookie,用于识别该用户的 Session。JSESSIONID 是一个由服务器自动生成的唯一标识符,用于标识该用户的 Session。 如果你不需要使用 Session,可以在 Spring Boot 的配置文件中将 Session 关闭,以避免 JSESSIONID出现。在 application.properties 或 application.yml 文件中添加以下配置即可: 关闭 Session: ``` server.servlet.session.enabled=false ``` 禁用 Cookie: ``` server.servlet.session.cookie.enabled=false ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值