Shiro配置cookie以及共享Session和Session失效问题

最新推荐文章于 2022-08-24 02:33:01 发布
最新推荐文章于 2022-08-24 02:33:01 发布
阅读量552 收藏 1
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/onlymate/p/9151010.html
版权

首先我们看Shiro的会话管理器的配置

<!-- shiro会话管理 -->
    <!-- 即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的 -->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <property name="cacheManager" ref="redisCacheManager"/>
        <property name="sessionDAO" ref="redisSessionDAO"/>
<!--         <property name="sessionIdCookie" ref="simpleCookie"/> -->
        <!-- 全局的会话信息时间,,单位为毫秒  -->
        <property name="globalSessionTimeout" value="1800000"/>
        <!-- 检测扫描信息时间间隔,单位为毫秒-->
        <property name="sessionValidationInterval" value="60000"/>
        <!-- 是否开启扫描 -->
        <property name="sessionValidationSchedulerEnabled" value="false"/>
        <!-- 去掉URL中的JSESSIONID -->
        <property name="sessionIdUrlRewritingEnabled" value="true"/>
    </bean>

这里是使用DefaultWebSessionManager默认的Cookie配置

部分源代码

public class DefaultWebSessionManager extends DefaultSessionManager implements WebSessionManager {

    private static final Logger log = LoggerFactory.getLogger(DefaultWebSessionManager.class);

    private Cookie sessionIdCookie;
    private boolean sessionIdCookieEnabled;
    private boolean sessionIdUrlRewritingEnabled;

    public DefaultWebSessionManager() {
        Cookie cookie = new SimpleCookie(ShiroHttpSession.DEFAULT_SESSION_ID_NAME);
        cookie.setHttpOnly(true); //more secure, protects against XSS attacks
        this.sessionIdCookie = cookie;
        this.sessionIdCookieEnabled = true;
        this.sessionIdUrlRewritingEnabled = true;
    }
}

这里可以看出Cookie cookie = new SimpleCookie(ShiroHttpSession.DEFAULT_SESSION_ID_NAME);内部默认创建了一个Cookie。

继续看

 

 public SimpleCookie(String name) {
        this();
        this.name = name;
    }

 

而ShiroHttpSession.DEFAULT_SESSION_ID_NAME="JSESSIONID";

 

问题来了--》Session失效问题这里为什么为导致Session失效呢?

因为与SERVLET容器名冲突, 如JETTY, TOMCAT 等默认JSESSIONID, 当跳出SHIRO SERVLET时如ERROR-PAGE容器会为JSESSIONID重新分配值导致登录会话丢失效。

 

因此这里需要自己配置Cookie

<!-- shiro会话管理 -->
<!-- 即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的 -->
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
    <property name="cacheManager" ref="redisCacheManager"/>
    <property name="sessionDAO" ref="redisSessionDAO"/>
    <property name="sessionIdCookie" ref="simpleCookie"/>
    <!-- 全局的会话信息时间,,单位为毫秒  -->
    <property name="globalSessionTimeout" value="1800000"/>
    <!-- 检测扫描信息时间间隔,单位为毫秒-->
    <property name="sessionValidationInterval" value="60000"/>
    <!-- 是否开启扫描 -->
    <property name="sessionValidationSchedulerEnabled" value="false"/>
    <!-- 去掉URL中的JSESSIONID -->
    <property name="sessionIdUrlRewritingEnabled" value="true"/>
</bean>

<!-- sessionIdCookie的实现,用于重写覆盖容器默认的JSESSIONID -->
<bean id="simpleCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
    <!-- 设置Cookie名字, 默认为: JSESSIONID 问题: 与SERVLET容器名冲突, 如JETTY, TOMCAT 等默认JSESSIONID,  
                                当跳出SHIRO SERVLET时如ERROR-PAGE容器会为JSESSIONID重新分配值导致登录会话丢失! -->  
    <property name="name" value="SHIRO-COOKIE"/>
    <!-- JSESSIONID的path为/用于多个系统共享JSESSIONID -->
    <!-- <property name="path" value="/"/> -->
    <!-- 浏览器中通过document.cookie可以获取cookie属性,设置了HttpOnly=true,在脚本中就不能的到cookie,可以避免cookie被盗用 -->
    <property name="httpOnly" value="true"/>
</bean>

好了,这里Shiro配置Cookie就完成了。

 

此外,如果要配置多个系统共享Session,放开Cookie中的注释即可。

    <!-- sessionIdCookie的实现,用于重写覆盖容器默认的JSESSIONID -->
    <bean id="simpleCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <!-- 设置Cookie名字, 默认为: JSESSIONID 问题: 与SERVLET容器名冲突, 如JETTY, TOMCAT 等默认JSESSIONID,  
                                    当跳出SHIRO SERVLET时如ERROR-PAGE容器会为JSESSIONID重新分配值导致登录会话丢失! -->  
        <property name="name" value="SHIRO_COOKIE"/>
        <!-- JSESSIONID的path为/用于多个系统共享JSESSIONID -->
        <property name="path" value="/"/>
        <!-- 浏览器中通过document.cookie可以获取cookie属性,设置了HttpOnly=true,在脚本中就不能的到cookie,可以避免cookie被盗用 -->
        <property name="httpOnly" value="true"/>
    </bean>

这样多个系统就能共享Session了。

 

转载于:https://www.cnblogs.com/onlymate/p/9151010.html

weixin_30662011
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring boot整合redis实现shiro的分布式session共享的方法
08-28
Spring Boot 整合 Redis 实现 Shiro 的分布式 Session 共享 Shiro 是一个优秀的 Java 安全框架,提供了强大的身份验证、授权和会话管理功能。然而,在分布式架构中,Shiro 的会话管理机制需要进行特殊处理,以便...
关于shiro session失效报错问题
热门推荐
小牛的成长史
08-03 4万+
最近做了一个项目,要用到shiro,做完之后发现有个异常经常发生,经过多天的研究,终于得以解决 登录的时候异常信息: org.apache.shiro.session.UnknownSessionException: There is no session with id [4e8fe40a-6347-4c53-b273-829889656f6e] at org.apache.shi
shiro session每次请求都不一样_Shiro使用Jwt达到前后端分离
weixin_39653405的博客
11-26 693
作者:fzsywhttps://www.cnblogs.com/fzsyw/p/11405504.html1,概述前后端分离之后,因为HTTP本身是无状态的,Session就没法用了。项目采用jwt的方案后,请求的主要流程如下:用户登录成功之后,服务端会创建一个jwt的token(jwt的这个token中记录了当前的操作账号),并将这个token返回给前端,前端每次请求服务端的数据时,都...
springmvc+shiro 同一会话,后台获取的sessionid不一致问题
一个程序员的专栏
06-02 1776
SecurityUtils.getSubject().getPrincipal()为null,shiro 同一会话sessionid不一致
Shiro中的sessioncookie
m0_67265464的博客
08-24 2004
注意:在使用SessionListenerAdapter来监听session生命周期时,onStart()方法不能作为用户登陆日志的开始时间节点,因为session的创建是在第一次请求服务器创建的,而不是用户登陆时创建的,所以不要搞混;cookie都是key-value类型的,key的值是可以改变的,这点看下源码就可以知道,存储sessionid的cookie的key的值默认为JSESSIONID.4.此时我们在浏览器看下保存的cookie值,和服务端sessionsessionid时一样的。
Nginx反向代理cookie丢失的问题
知行合一
07-10 4200
在开发项目中,前端脚手架工具搭建好的环境,请求后台接口时,一切正常,可以请求到后台的接口,但是在快开发完成时,得先边做边测试,好吧,那就部署一个环境到测试环境,打包完成后,部署到nginx里面,发现接求接口地址成功,但是就是没有返回数据,后台打断点,没有请求到后台接口去,怪事,得找原因,后台接收到的信息只有: Returning null to indicate a session could not be found. 后台使用shiro框架没有接收到session,也就是nginx反向代理cookie
SSM项目集成shiro搭建session共享
04-06
在实际集成过程中,我们需要配置Shiro的 Realm(认证和授权),SessionManager(管理session),CacheManager(使用Redis作为缓存),以及Filter Chain定义,确保请求经过正确的过滤器链。同时,需要在每个节点...
shiro redis session共享
05-24
这种配置下,Spring Boot项目能够方便地利用Shiro与Redis配合,实现session数据的持久化和跨服务器共享。 首先,我们需要了解Apache Shiro如何处理session。在默认情况下,Shirosession信息存储在内存中,但这种...
shiro+redis session共享实现
02-15
通过以上步骤,我们就成功地利用Shiro和Redis实现了session共享。这种解决方案有助于提升大型Web应用的可扩展性和健壮性,同时也简化了跨服务器用户状态的管理。在实际开发中,可以根据项目需求进行适当的调整和优化...
springboot +shiro+redis实现session共享(方案二)1
08-08
本文档旨在介绍如何使用 Spring Boot、Shiro 和 Redis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 在实现 session 共享之前,需要在项目中引入相关依赖项,包括: * ...
ShiroSessionCookie的一些思考
qq_20954959的博客
03-27 1万+
这篇博客就来写一写之前学习shiro框架整合的时候,产生的一些问题,相信大家在学习的时候也有相应的一些疑惑。接下来就针对shiro中的sessioncookie来捋一捋。shiro整合学习的总结 shiro+redis集成,避免每次访问有权限的链接都会去执行MyShiroRealm.doGetAuthenticationInfo()方法来查询当前用户的权限,因为实际情况中权限是不会经常变得,这样就
问题2:shiro配置redis管理session后,每次重新请求重新生成session问题
a151605的博客
04-24 8581
使用shiro时,配置了redis缓存session,但是每次请求,包括刷新页面都会在redis中重新保存一个session,后来发现是cookie设置的domian问题,导致每次请求域名不同,后台会自动重新生成session.@Bean(name="sessionIdCookie") public SimpleCookie sessionIdCookie(){ //coo...
shiro 无法传递及接收cookie信息
01-05 5209
转载自:http://www.cnblogs.com/helloyy/p/6109665.html Ajax跨域请求action方法,无法传递及接收cookie信息(应用于系统登录认证及退出)解决方案   最近的项目中涉及到了应用ajax请求后台系统登录,身份认证失败,经过不断的调试终于找到解决方案。 应用场景:   项目测试环境:前端应用HTML,js,jQuery ajax请求,部署
shiro当设置sessionIdCookie配置的domain和访问url不匹配时,每次请求都会重新生成session
zsg88的专栏
06-28 1万+
在Servlet容器中,默认使用JSESSIONID Cookie维护会话 如下配置了domain <!-- 设置Cookie名字, 默认为: JSESSIONID 问题: 与SERVLET容器名冲突, 如JETTY, TOMCAT 等默认JSESSIONID, 当跳出SHIRO SERVLET时如ERROR-PAGE容器会为JSESSIONID重
ShiroShiro 权限URL配置部分细节
12程序猿的博客
10-12 636
一、部分细节 [urls] 部分的配置,其格式是: “url=拦截器[参数],拦截器[参数]”; 如果当前请求的 url 匹配 [urls] 部分的某个 url 模式,将会执行其配置的拦截器。 anon(anonymous) 拦截器表示匿名访问(即不需要登录即可访问) authc (authentication)拦截器表示需要身份认证通过后才能访问 二、URL 匹配模式 三、URL 匹配顺序 URL 权限采取第一次匹配优先的方式,即从头开始使用第一个匹配的 url 模式对应的拦截器链。 如: – /
关于shiro登录认证成功,却一直返回登录页面的问题
star_kite的博客
09-18 6653
Shiro登录的时候,已经认证成功了 但一直未跳转到登录成功页面,最后找了半天......... 发现,自己在把https换成http的时候,设置了cookie manager.getSessionIdCookie().setSecure(false); 这个应该设置成false,我设置成true了,所以一直无法登录 原来我的访问URL协议头是HTTP,而Weblogic里...
shiro-redis session共享
最新发布
08-26
Shiro-Redis 是一个用于在 Shiro 中实现 Session 共享的插件,它使用 Redis 作为数据存储和缓存,以实现分布式环境下的 Session 共享。 要实现 Shiro-Redis 的 Session 共享,你需要进行以下步骤: 1. 引入 Shiro-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值