springboot集成shiro的session污染问题

最新推荐文章于 2023-10-14 22:58:08 发布
最新推荐文章于 2023-10-14 22:58:08 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: 开发技术 springboot 文章标签: shiro springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w6025110/article/details/80066749
版权
本文介绍了在SpringBoot应用中使用Shiro进行权限管理时遇到的Session污染问题。当两个使用Shiro的系统部署在同一服务器并共用同一域名时,导致用户在切换系统时需要重新登录。问题的根本原因是Shiro基于Session的权限管理机制,同一域名下Session信息互相覆盖。解决方案包括:修改Shiro配置文件中Session的key值,确保每个项目使用独立的Session名称;或者通过配置域名服务器,使每个系统拥有独立域名,避免Session冲突。
摘要由CSDN通过智能技术生成

        近期同事在项目中遇到了shiro冲突的问题,问题起因是这样的,有两套系统,系统a和系统b。两套系统均使用shiro做的权限管理,之前部署在两台机器上。使用浏览器打开a系统后另开页签打开b系统,互不干扰都能正常使用,后因业务迁移,两套系统部署到了一个机器上,再使用浏览器打开a系统后再开b系统。问题就出现了,之前a系统要求重新登录。

        原因分析,shiro是基于session会话的权限管理,那么浏览器打开一次就会产生一个session,在session活跃期间,只要你浏览器不关闭,session信息是一直有效的。其session信息是写在cookie里的。如果你是两个域的话,session信息不回互相干扰。但如果你是一个域问题就来了,a登录后session信息会写入浏览器cookie里,当b登录时session信息更新此域的信息。a原始登录的session信息就会失效。因此b登录后,会挤占a的session信息。

        原因分析明白,如何解决,其实很简单:

        方案一:

            在shiro配置文件的sessionManager&#

最低0.47元/天 解锁文章
长空殿
关注
专栏目录
遇到问题----shrio------shiro登录,多个项目session被覆盖问题---两个web项目会导致shirosession污染
直到世界的尽头
03-08 1万+
情况遇到问题----shrio------shiro登录,多个项目session被覆盖问题---一个项目两个web模块会导致shirosession污染表现为 我在同一台机子上部署了两个都使用了shiro管理的web项目。它们的访问路径除了端口不一样,ip是一样的。当两个系统同时访问时,在一个系统中操作之后另一个系统就会自动退出登录。但是 如果用域名访问就不会出现这个问题。原因web项目的ses
Spring Boot + Shiro 实现 Session 持久化实现思路及遗留问题
最新发布
DN金猿的博客
07-23 252
从这个角度而言,我们可以通过 Session 监听器监听 Session 创建销毁,属性变更,并将所有创建的SessionId 存储起来,当要踢出某个用户时,用户的Request请求到来时判断Request中SessionId是否一致,一致的话令Session失效,从而实现这个功能!6、上图显示,我们可以拿到所有获得的session,并且内部用户信息无误,此时我们只需要将上述代码中的(1)、(2)打开在完全遵守Shiro的应用规则下理应可以删除对应用户!在用户基础服务中,需要实现删除用户功能。
shiro登录,多个项目session被覆盖问题
KF30350的博客
11-17 5589
有两个项目都使用了shiro权限校验框架,且部署在一台服务器下两个Tomcat中。 测试时发现在一个浏览器中,登录A后,再登录B。这时A失效,需要重新登录,且登录后B又失效。查看log后发现是cookieId相同的原因。先排查tomcat。 在tomcat下的server.xml中添加sessionCookieName,A项目设置为A_SESSION,B项目设置为B_SESSION。测试后发现问
springboot+shiro 一个项目部署多个,session名冲突问题
陌兴的博客
12-14 897
问题 前几天遇到一个比较奇怪的问题, 一个项目部署多个,端口不同。启动之后在同一浏览器中进行登录,后一个登录的会把前一个登录的挤掉,导致只能登录一个。 原因 是因为sessionid相同,然后修改了springbootsessionManager的相关配置,主要是sessionIdCookie中的name。修改之后两个项目可以同时登录了。 解决方案 1,修改每个springboot WEB工程的 application.properties 文件中的 server.session.cookie.name
shirosession+redis),基于springboot,基于前后端分离,从登录认证到鉴权
web13618542420的博客
03-28 1456
这个demo是基于springboot项目的。 名词介绍: Shiro 主要分为 安全认证 和 接口授权 两个部分,其中的核心组件为 Subject、 SecurityManager、 Realms,公共部分 Shiro 都已经为我们封装好了,我们只需要按照一定的规则去编写响应的代码即可… Subject 表示主体,将用户的概念理解为当前操作的主体,因为它即可以是一个通过浏览器请求的用户,也可能是一个运行的程序,外部应用与 Subject 进行交互,记录当前操作用户。Subject 代表了当前用户的安全操作
SpringBoot整合shiro、自定义sessionManager
热门推荐
延陵缥缈的博客
07-23 1万+
       Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。相比较Spring Security,shiro有小巧、简单、易上手等的优点。所以很多框架都在使用shiro。而springboot作为一个开源框架,必然提供了和shiro整合的功能!接下来就用springboot整合shiro完成对于用户登录的判定和权限的验证. 1.基础数据 公司...
springboot-shiro Session/SessionDao/SessionManager/Cache
YinJuan791739156的博客
10-14 274
shiro本身提供了很多场景的sessionmanager,我们这里主要讨论web场景。web场景下的sessionmanager:DefaultWebSessionManager。这里介绍一下sessionmanager。如果对源码不感兴趣,可以跳过本小节。SessionManage 本身是一个接口,定义了start和getSeesion 两个方法。先看一下getSession ,确认一下session 是如何缓存的,又如何取获取session。再次强调一下,这里研究是的web场景。
springboot +shiro+redis实现session共享(方案二)1
08-08
本文档旨在介绍如何使用 Spring Boot、Shiro 和 Redis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 在实现 session 共享之前,需要在项目中引入相关依赖项,包括: * ...
SpringBoot集成Shiro、Jwt和Redis
10-24
SpringBoot项目中集成Shiro,可以轻松地处理用户的登录、权限验证等安全问题Shiro通过配置拦截器,可以对URL进行访问控制,实现权限的动态分配。 **Jwt** 是一种开放标准(RFC 7519),定义了一种紧凑的、自...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不...
springboot整合shiro,redis缓存session
02-09
为实现Web应用的分布式集群部署,要解决登录session的统一。本文利用shiro做权限控制,redis做session存储,结合spring boot快速配置实现session共享。
SpringBoot集成 Shiro安全框架【完整源码+数据库】
02-16
**SpringBoot集成Shiro安全框架详解** 在现代Web开发中,安全框架的使用至关重要,它可以帮助我们保护应用程序免受未经授权的访问和攻击。SpringBoot作为轻量级的Java开发框架,因其简洁高效的特性深受开发者喜爱。...
两个不同springboot+shiro的项目登录冲突
sq287197314的博客
06-21 4167
前几天遇到一个比较奇怪的问题,建了两个不同springboot+shiro的项目,一个集成了cas单点登录,另一个是普通的登录。启动之后在同一浏览器中进行登录,后一个登录的会把前一个登录的挤掉,导致只能登录一个。一开始以为是有一个集成了单点登录的原因,把去掉之后,仍然有这个问题。在一个前辈的提醒下,发现可能是因为sessionid相同,然后修改了springbootsessionManager的...
springboot多个项目部署在tomcat服务器上的shirosession污染问题
selina5288的专栏
12-18 1050
一个项目有多个web 模块时,同一台服务器启动多个项目,会导致session 自动失效问题, 原因:多个项目的部署在同一服务器上,使用同样的url 访问,会出现 cookie中的sessionid 重复问题,导致自动退出 Caused by: org.apache.shiro.cache.CacheException: net.sf.ehcache.ObjectExistsException...
springboot + shiro 配置session管理
快乐的小三菊的博客
05-27 5773
提供了完整的企业级会话管理功能,不用依赖于底层容器(如等),不管是还是环境都可以使用,还提供了。即直接使用的会话管理可以直接替换如容器的会话管理。
SpringBoot整合Shiro
蛋饼吧的博客
01-07 1248
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。主要功能三个核心组件:Subject, SecurityManager 和 Realms.即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。
springboot集成shiro
07-27
对于Spring Boot集成Shiro,你可以按照以下步骤进行操作: 1. 首先,在你的Spring Boot项目中添加Shiro的依赖。你可以在pom.xml文件中添加以下依赖关系: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> ``` 2. 创建一个Shiro的配置类,用于配置Shiro的相关组件和属性。可以使用`@Configuration`注解来标记该类作为配置类,并使用`@EnableShiroAnnotation`注解来启用Shiro的注解支持。 ```java @Configuration @EnableShiroAnnotation public class ShiroConfig { // 配置Shiro的相关组件和属性 // ... } ``` 3. 在上述配置类中,可以配置Shiro的Realm、Session管理器、缓存管理器等组件。你可以根据自己的需求选择相应的实现类并进行配置。 ```java @Configuration @EnableShiroAnnotation public class ShiroConfig { @Bean public Realm realm() { // 配置自定义的Realm实现类 // ... return realm; } @Bean public SessionManager sessionManager() { // 配置自定义的Session管理器实现类 // ... return sessionManager; } @Bean public CacheManager cacheManager() { // 配置自定义的缓存管理器实现类 // ... return cacheManager; } // 其他配置项... } ``` 4. 在主配置类中,添加`@Import`注解来引入Shiro的配置类。 ```java @SpringBootApplication @Import(ShiroConfig.class) public class YourApplication { public static void main(String[] args) { SpringApplication.run(YourApplication.class, args); } } ``` 5. 在需要进行权限控制的地方,使用Shiro的注解来标记需要进行权限验证的方法或类。例如,可以使用`@RequiresRoles`注解来限制具有特定角色的用户才能访问方法。 ```java @RestController public class YourController { @RequiresRoles("admin") @GetMapping("/admin") public String admin() { return "Hello, admin!"; } } ``` 这样,你就成功地集成了Spring Boot和Shiro,并可以进行基于角色的权限控制了。当然,以上只是一个简单的示例,你可以根据自己的需求进行更详细的配置和使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值