自定义shiro过滤器没有Set Cookie问题。

已于 2022-02-16 18:42:48 修改
阅读量1k 收藏 3
点赞数
分类专栏: java 文章标签: shiro session shiro cookie shiro filter
于 2022-02-16 18:39:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang124454731/article/details/122969687
版权
本文详细介绍了在使用Shiro自定义过滤器处理Ajax请求时遇到的SetCookie问题,即非登录用户在响应时缺少SetCookie,导致sessionId不断变化,前端无法获取JSESSIONID。通过对比Shiro的源码,发现在返回false之前缺少了saveRequest(request)操作,补充这一操作后解决了问题。此问题的关键在于理解Shiro的Session管理和过滤器流程。
摘要由CSDN通过智能技术生成

自定义shiro过滤器没有Set Cookie问题。

比如我们通常会针对ajax的请求,返回json数据,一般的实现大概是这样。

public class MyUserFilter extends UserFilter {

    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        String requestedWith = request.getHeader("X-Requested-With");
        Subject subject = SecurityUtils.getSubject();
        if (!subject.isRemembered() && !subject.isAuthenticated() && StringUtils.isNotEmpty(requestedWith)
                && StringUtils.equals(requestedWith, "XMLHttpRequest")) {//如果是ajax返回指定数据
            response.setContentType("application/json");
            response.setCharacterEncoding("UTF-8");
            response.getWriter().write(JSONObject.toJSONString(ResultBean.noLogin("请先登录")));
            return false;
        } else {//不是ajax进行重定向处理
            return super.onAccessDenied(request, response);
        }

    }
    
}

这个基本满足了ajax请求的拦截后返回json的需求,但是引起了一个非常怪的问题,非登录用户,网站在响应的时候没有Set Cookie的动作(清理缓存后,这个问题百分百重现),也就是在后台会产生这样一个问题:每次非登录用户的sessionId一直在变,前端的请求没有相应的JSESSIONID(自定义的名称)。

先上解决方法,在return false之前执行saveRequest(request),即:

if (!subject.isRemembered() && !subject.isAuthenticated() && StringUtils.isNotEmpty(requestedWith)
    && StringUtils.equals(requestedWith, "XMLHttpRequest")) {//如果是ajax返回指定数据
  // 省略,同上
  super.saveRequest(request);
  return false;
} else {//不是ajax进行重定向处理
  return super.onAccessDenied(request, response);
}
解决过程:

我反复找原因,反复对比,发现问题就是出在自定义的过滤器这里。

网上找了一大圈,竟然都没有相关的回答,我只能去参考shiro的UserFilter,查看了AccessControlFilter中的

protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
  saveRequest(request);
  redirectToLogin(request, response);
}

发现它是有一个saveRequest操作,代码如下:

public static void saveRequest(ServletRequest request) {
  Subject subject = SecurityUtils.getSubject();
  Session session = subject.getSession();
  HttpServletRequest httpRequest = toHttp(request);
  SavedRequest savedRequest = new SavedRequest(httpRequest);
  session.setAttribute(SAVED_REQUEST_KEY, savedRequest);
}

可以明显地看到,它是有个session key的设置动作的。

像在我自己实现的onAccessDenied中,return false前没有保存动作,那么JSESSIONID就不会保存,然后这个JSESSIONID大概会在哪里被清空,并且不会再response,那么之后在登录之前,前端都不会有这个id,

所以在return false之前加上saveRequest(request),可以解决前端没有JSESSIONID的问题。

深蓝浅蓝的天
关注
专栏目录
SpringBoot集成Shiro自定义过滤器自定义Token、加盐加密、记住密码、自动登录、Session管理)...
海若的博客
07-10 999
导入依赖 <!--thymeleaf集成shiro模版--> <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro<...
“如何避开 shiro自定义拦截和WebMvcConfigurationSupport 过滤器的各种坑!!!!!”
萝卜坑
12-24 1892
场景:因开发需要,时间有限,便在某云上下载了一个开源框架-脚手架,希望能便捷开发,提高开发效率 ps:框架是个好框架,大家也可以学习学习[springboot_v2](https://gitee.com/bdj/SpringBoot_v2) 问题描述:因为这个框架本身采用shiro 做权限拦截,本身是属于一个web管理后台框架,但是我这边需求是还需要对接手...
七。微信小程序,shiro不用cookie如何维护登录状态
u014203449的博客
07-10 8425
七。shiro不用cookie如何维护登录状态
Shiro框架封装cookiesession配置实现RememberMe效果------Shiro框架
最新发布
春风若有怜花意,可否许我再少年
06-11 1443
Shiro框架封装cookiesession配置实现RememberMe效果------Shiro框架
关于shiro使用时候,cookie被禁用的处理
zhenxing_zr的专栏
04-19 6819
shiro使用过程中,保持客户端的状态是通过两种方式关联。一种方式是通过cookie返回,一种是通过重定向回写url。但是重定向解决不了ajax请求。 如果客户端禁用了cookie,会导致shiro无法获得seesion保存的认证,授权信息。导致shiro无法使用。         解决思路:在客户端与服务端进行交互之前,普通请求通过重定向会写url带上会话信息。ajax请求通过写消息头形式,
禁用cookie情况下,前端传递当前登录人信息给shiro
haohao123nana的专栏
05-15 1390
有个springboot项目,登录和权限采用shiro管理。某天前端开发人员突然说小程序页面里面无法把cookie 传递给后端, 导致服务器获取登录人信息空指针。百度了一圈不知道怎么搞,最后请教了老大,算是解决了。下面把解决方案记下来 前端用问号传参方式传递sessionid 后端重写shiro获取sessionid方法 原来的 shiro配置DefaultWebSessionManager...
Shiro配置cookie以及共享SessionSession失效问题
weixin_30662011的博客
06-07 567
首先我们看Shiro的会话管理器的配置 <!-- shiro会话管理 --> <!-- 即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的 --> <bean id="sessionManager" class="org.apache.shiro.web.sess...
Shiro session丢失跳登录页面
初级驾照的博客
05-25 548
修改ShiroConfig.java NEWJSESSIONID是自定义的,不要用JSESSIONID /** * 设置JSESSIONID Cookie * @return */ public SimpleCookie sessionIdCookie(){ //这个参数是cookie的名称 SimpleCookie simpleCookie = new SimpleCookie("NEWJSESSIONID");
shiro过滤器与ajax访问
qq_40108680的博客
05-02 393
文章目录1.shiro自定义sessionManager2.自定义身份认证过滤器3.自定义权限认证过滤器4.**FilterChainDifinitionMapBuilder**5.shiro xml配置6.realm 1.shiro自定义sessionManager 当登录成功时后端生成一个sessionid并返回给前端,前端当前每次请求时携带此次sessionid /** * * 传统结构...
springboot过滤器排除掉一些url_理解这9大内置过滤器,才算是精通Shiro
weixin_39794340的博客
11-26 1183
小Hub领读:权限框架一般都是一堆过滤器、拦截器的组合运用,在shiro中,有多少个内置的过滤器你知道吗?在哪些场景用那些过滤器,这篇文章希望你能对shiro有个新的认识!别忘了,点个 [在看] 支持一下哈~前两篇原创shiro相关文章:1、极简入门,Shiro的认证与授权流程解析2、只需要6个步骤,springboot集成shiro,并完成登录我们都知道shiro是个认证权限框架,除了登录、退出...
客户端禁用cookie时如何使用shiro框架
m0_54096780的博客
07-28 1391
1、问题shiro框架的授权依赖于shiro内置的session,这意味着如果客户端禁用掉cookie的话,shiro无法通过sessionId来获取内置session中的内容,也就无法实现权限管理方面的操作。 2、解决思路: shirosession管理核心在于org.apache.shiro.web.session.mgt.DefaultWebSessionManager这个类,其中的getSessionId()方法是shiro获取sessionId的方法,shiro通过获取到的sessio
记一次与Shiro有关的错误,404导致session丢失需要重新登录
weixin_34292924的博客
11-07 1163
问题描述 前段时间上司突然叫我帮忙解决老项目上的一个bug,出现的问题是不同用户账号,进入同一个页面,有个别用户刷新一下当前页面就会重定向到登录页面,需要重新登录。 这是一个几年前的一个项目,使用的是Srping + Spring MVC + Shiro + Jsp的项目,之前没用过Shiro,所以对Shiro了解得不多。 二 问题排查 打开项目源码,先看进那个页面前时都做了什么处理。这是一个...
Nginx反向代理cookie丢失的问题
知行合一
07-10 4264
在开发项目中,前端脚手架工具搭建好的环境,请求后台接口时,一切正常,可以请求到后台的接口,但是在快开发完成时,得先边做边测试,好吧,那就部署一个环境到测试环境,打包完成后,部署到nginx里面,发现接求接口地址成功,但是就是没有返回数据,后台打断点,没有请求到后台接口去,怪事,得找原因,后台接收到的信息只有: Returning null to indicate a session could not be found. 后台使用shiro框架没有接收到session,也就是nginx反向代理cookie
Shiro中的sessioncookie
qq_36816062的博客
11-26 2929
Shiro中的sessioncookie 最近项目在整合Shiro框架,顺便深入学习了Shirosessioncookie。 HTTP协议是无状态的,所以在web项目中一般都是通过sessioncookie来保持浏览器和服务器之间的会话的。 shiro也是如此,当浏览器第一次请求服务器时,服务器会生成一个session,同时创建cookie,将sessionId保存在cookie中,cookie再作为响应头返回到浏览器并保存。这也就是我们常说的“cookie保存在客户端,session保存在服务器端
关于带Cookie的跨域问题导致Shiro授权和认证失败的问题
geren0408的博客
05-03 3720
问题描述:后端框架为SpringBoot,安全框架为Shiro。其中认证和授权都已经做好了,授权和认证主要是用注解的方式,主要采用了@RequiresAuthentication这个注解,意思是加上这个注解的方法,必须经过授权才可以访问,也就是必须登陆才可以。之后整个项目只用了Postman进行测试。 主要测试就是两方面,在不登陆的情况下去访问带有@RequiresAuthentication的...
前后端分离使用shiro登录认证cookie跨域问题踩坑
gitcat的博客
10-30 3639
基于cookie, session的登录认证一般后端需要将session id保存在cookie中,这样下次请求时浏览器带上cookie,服务器才知道是同一个会话,根据session id取出session中保存的用户信息,以确定用户是否已登录。 在前后端分离模式下,前端一般通过ajax请求向服务器请求数据,但是如果前后端部署在不同的域名下,因为一些安全机制,cookie无法跨域携带,所以如果还想基于cookie, session来实现就要做一些配置以实现cookie可以跨越携带。 ...
shiro会话设置
qq_38930240的博客
01-29 392
一般选用DefaultWebSessionManager DefaultWebSessionManager : 用 于 Web 环境的实 现 , 可 以 替 代ServletContainerSessionManager,自己维护着会话,直接废弃了 Servlet 容器的会话管理。 &lt;!-- 会话ID生成器 --&gt; &lt;bean id="sessionIdGene...
shiro反序列化漏洞分析
qq_35976649的博客
03-30 1396
准备: 在github下载shiro-root-1.2.4源码. 在IDEA中打开项目,进行如下配置: 添加 samples-web:war exploded即可 可以看见已经搭建成功了,我们通过burp抓包可以看到shiro反序列化的特征 加密分析 HTTP/1.1 302 Set-Cookie: rememberMe=deleteMe; Path=/samples; Max-Age=0; Expires=Tue, 29-Mar-2022 08:48:15 GMT Set-Cookie: re
Spring Boot自定义Shiro过滤器Autowired问题与解决方案详解
本文档主要围绕Spring Boot与Shiro集成时遇到的自定义过滤器@Autowired注解无法使用的难题展开讨论。首先,它强调了在应用开发和链码(chaincode)开发中的重要性,特别是在区块链技术框架Hyperledger Fabric中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值