springboot集成shiro的session污染问题

最新推荐文章于 2021-12-10 21:12:19 发布
最新推荐文章于 2021-12-10 21:12:19 发布
阅读量440 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/yaomajor/p/9617426.html
版权

问题起因是这样的,有两套系统,系统a和系统b。两套系统均使用shiro做的权限管理,之前部署在两台机器上。使用浏览器打开a系统后另开页签打开b系统,互不干扰都能正常使用,后因业务迁移,两套系统部署到了一个机器上,再使用浏览器打开a系统后再开b系统。问题就出现了,之前a系统要求重新登录。

        原因分析,shiro是基于session会话的权限管理,那么浏览器打开一次就会产生一个session,在session活跃期间,只要你浏览器不关闭,session信息是一直有效的。其session信息是写在cookie里的。如果你是两个域的话,session信息不回互相干扰。但如果你是一个域问题就来了,a登录后session信息会写入浏览器cookie里,当b登录时session信息更新此域的信息。a原始登录的session信息就会失效。因此b登录后,会挤占a的session信息

 原因分析明白,如何解决,其实很简单:

  在shiro配置文件的sessionManager()方法里修改session的key值

@Bean
    public DefaultWebSessionManager sessionManager() {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        Cookie cookie=sessionManager.getSessionIdCookie();
        cookie.setName("newsessid");
        return sessionManager;
	
    }

  

 

转载于:https://www.cnblogs.com/yaomajor/p/9617426.html

weixin_33875839
关注
Spring Boot + Shiro 实现 Session 持久化实现思路及遗留问题
DN金猿的博客
07-23 228
从这个角度而言,我们可以通过 Session 监听器监听 Session 创建销毁,属性变更,并将所有创建的SessionId 存储起来,当要踢出某个用户时,用户的Request请求到来时判断Request中SessionId是否一致,一致的话令Session失效,从而实现这个功能!6、上图显示,我们可以拿到所有获得的session,并且内部用户信息无误,此时我们只需要将上述代码中的(1)、(2)打开在完全遵守Shiro的应用规则下理应可以删除对应用户!在用户基础服务中,需要实现删除用户功能。
springboot整合shiro,redis缓存session
02-09
为实现Web应用的分布式集群部署,要解决登录session的统一。本文利用shiro做权限控制,redis做session存储,结合spring boot快速配置实现session共享。
mysql 添加索引+Springboot+shiro导致session污染+PowerMock+@InjectMocks,@Mock+其他= 202001
qq_37337660的博客
03-07 321
一、mysql 添加索引 我使用了多列索引来提高查询速度,如图第二条,某个查询语句的条件同时包含这个三个字段,比如select 1 from xxx where type = 1 and tag_set_id = 12 and tag_id = 888 limit 1,但是这个表记录又特别多,查询起来特别慢,所以加多列索引: (因为该sql是判断是否被使用,加一个limit 1 就是为了查到一个就返回,不用继续下去了) 优点 1、大大加快数据的检索速度; 2、创建唯一性索引,保证数据库表中每一行数据的唯一
springboot整合shirosession的详细过程和自定义登录拦截器
qq_41358574的博客
09-02 1615
1.依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version> </dependency> <dependen
JSESSIONID覆盖【shirosession污染问题
https://blog.csdn.net/sinat_36710456
01-28 672
问题描述: 一台机器上部署系统1和系统2,刷新系统1,系统2需要重新登录,刷新系统2,系统1需要重新登录。一台机器上部署系统1和系统2,刷新系统1,系统2需要重新登录,刷新系统2,系统1需要重新登录。 问题分析: shiro是基于session会话的权限管理,那么浏览器打开一次就会产生一个session,在session活跃期间,只要你浏览器不关闭,session信息是一直有效的。其session信息是写在cookie里的。如果你是两个域的话,session信息不回互相干扰。但如果你是一个域问题就来了,系
springboot多个项目部署在tomcat服务器上的shirosession污染问题
selina5288的专栏
12-18 1045
一个项目有多个web 模块时,同一台服务器启动多个项目,会导致session 自动失效问题, 原因:多个项目的部署在同一服务器上,使用同样的url 访问,会出现 cookie中的sessionid 重复问题,导致自动退出 Caused by: org.apache.shiro.cache.CacheException: net.sf.ehcache.ObjectExistsException...
springboot +shiro+redis实现session共享(方案二)1
08-08
本文档旨在介绍如何使用 Spring BootShiro 和 Redis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 在实现 session 共享之前,需要在项目中引入相关依赖项,包括: * ...
SpringBoot集成Shiro、Jwt和Redis
10-24
SpringBoot项目中集成Shiro,可以轻松地处理用户的登录、权限验证等安全问题Shiro通过配置拦截器,可以对URL进行访问控制,实现权限的动态分配。 **Jwt** 是一种开放标准(RFC 7519),定义了一种紧凑的、自...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不...
SpringBoot集成 Shiro安全框架【完整源码+数据库】
02-16
**SpringBoot集成Shiro安全框架详解** 在现代Web开发中,安全框架的使用至关重要,它可以帮助我们保护应用程序免受未经授权的访问和攻击。SpringBoot作为轻量级的Java开发框架,因其简洁高效的特性深受开发者喜爱。...
springboot禁用Tomcat的session功能
Tang_IT的博客
12-10 2009
第一步: 自定义session管理器 package com.zhuang.config; import org.apache.catalina.Lifecycle; import org.apache.catalina.LifecycleException; import org.apache.catalina.LifecycleState; import org.apache.catalina.Session; import org.apache.catalina.session.ManagerB
springboot 禁用session_什么是会话固定攻击?Spring Boot 中要如何防御会话固定攻击?...
weixin_39601642的博客
12-06 1662
前两天和大家聊了 Spring Security 中的 session 并发问题,和小伙伴们聊了如何像 QQ 一样,用户在一台设备上登录成功之后,就会自动踢掉另一台设备上的登录。当然,Spring Security 中,关于 session 的功能不仅仅是这些,之前和大家说「我们学习 Spring Security,也是学习各种各样的网络攻击与防御策略」,今天松哥就来和大家聊一个简单的:什么是会话...
Shiro关闭session,无状态接入Springboot
心静自然凉zc的博客
08-06 1911
前言 本文基于token进行身份认证,由于接入cas会和shirosession管理冲突,所以关闭shirosession,进行无状态管理。 特此记录一下shiro如何进行无状态管理。 #一、引入依赖 此处引入的为shiro-spring,版本为1.7.1 <dependency> <groupId>org.apache.shiro</groupId> <artifactId&gt...
spring拦截关闭session
u011119684的博客
11-30 3010
TransactionInterceptor.invoke commitTransactionAfterReturning commit processCommit cleanupAfterCompletion doCleanupAfterCompletion SessionFactoryUtils.closeSessionOrRegisterDeferredClose(session
springboot2.x 禁用自带tomcat的session持久化功能
qq_34629482的博客
05-26 3207
Session的主要数据被存储在服务器内存中,而服务器会为每个在线用户创建一个Session对象,当在线用户很多时,例如同时有几万或是几十万在线的情况下,Session内存的开销将会十分巨大,会影响Web服务器性能。而Session的钝化机制刚好可解决此问题Session钝化机制的本质就在于把服务器中不经常使用的Session对象暂时序列化到系统文件系统或是数据库系统中,当被使用时反序列化到内存中,整个过程由服务器自动完成。 springboot2.x对session持久化是默认禁用的 如果想打开
springboot2禁用自带tomcat的session功能
songxiuliang的专栏
09-11 3034
微服务下的各个服务都是无状态的,所以这个时候tomcat的session管理功能是多余的,即时不用,也会消耗性能,关闭后tomcat的性能会有提升,但是springboot提供的tomcat没有配置选项可以直接关闭,研究了一下,tomcat默认的session管理器名字叫:StandardManager,查看tomcat加载源码发现,如果context中没有Manager的时候,直接newStandardManager(),源码片段如下: // Acquire clustered manager .
springboot 禁用session_SpringBoot(四)—Web开发(二)
weixin_39777019的博客
11-25 689
这篇文章准备来记录一下一个restful风格小项目的流程,上篇文章为它做了一个基础,如果有什么错误希望大家能够指出。目录首页国际化登录拦截器CRUD一、首页在访问localhost:8080/的时候,默认访问首页在自己配置的SpringMVC的配置类中@Configuration public class MyMvcConfig implements WebMvcConfigurer { ...
springboot整合shiro-session管理(六)
热门推荐
这个名字想了很久
09-02 5万+
原文地址,转载请注明出处:&amp;amp;amp;amp;amp;amp;nbsp;https://blog.csdn.net/qq_34021712/article/details/80418112&amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;amp;amp;nbsp;©王赛超&amp;a
springboot集成shiro
最新发布
07-27
对于Spring Boot集成Shiro,你可以按照以下步骤进行操作: 1. 首先,在你的Spring Boot项目中添加Shiro的依赖。你可以在pom.xml文件中添加以下依赖关系: ```xml <groupId>org.apache.shiro <artifactId>shiro-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值