Shiro快速入门 —— 6.记住我

最新推荐文章于 2023-12-14 17:05:44 发布
最新推荐文章于 2023-12-14 17:05:44 发布
阅读量96 收藏
点赞数
原文链接:https://my.oschina.net/u/3452433/blog/904319
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

本系列博文目录:https://my.oschina.net/u/3452433/blog/907396

 

Shiro提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。

创建记住我使用的Cookie

spring boot配置

    /**
     * 创建保存记住我信息的Cookie
     */
    @Bean(name = "rememberMeCookie")
    public SimpleCookie getSimpleCookie() {
        SimpleCookie simpleCookie = new SimpleCookie();
        simpleCookie.setName("rememberMe");//cookie名字
        simpleCookie.setHttpOnly(true); //设置cookieHttpOnly,保证cookie安全
        simpleCookie.setMaxAge(604800); //保存7天 单位秒
        return simpleCookie;
    }

    /**
     * 创建记住我管理器
     */
    @Bean(name = "rememberMeManager")
    public CookieRememberMeManager getCookieRememberMeManager(SimpleCookie rememberMeCookie) {
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        byte[] cipherKey = Base64.decode("wGiHplamyXlVB11UXWol8g==");//创建cookie秘钥
        cookieRememberMeManager.setCipherKey(cipherKey); //存入cookie秘钥
        cookieRememberMeManager.setCookie(rememberMeCookie); //存入记住我Cookie
        return cookieRememberMeManager;
    }

    /**
     * 创建默认的安全管理类
     * 整个安全认证流程的管理都由此类负责
     */
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager securityManager(ShiroRealm shiroRealm,EhCacheManager shiroCacheManager,CookieRememberMeManager rememberMeManager) {
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager(); //创建安全管理类
        ......
        defaultWebSecurityManager.setRememberMeManager(rememberMeManager);//配置记住我cookie管理类
        return defaultWebSecurityManager;
    }

 

配置拦截规则

authc拦截器负责拦截需要登录认证的路径,但是记住我不能够被识别通过。

user拦截器内部会执行authc拦截器,登录认证完成和记住我都可以通过。

所以如果不使用“记住我”功能就配置authc拦截器,如果使用记住我就配置user拦截器。

Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
filterChainDefinitionMap.put("/", "anon"); //无需登录认证和授权就可访问的路径使用anon拦截器
filterChainDefinitionMap.put("/home/**", "user");//需要登录认证的路径使用authc或user拦截器
filterChainDefinitionMap.put("/user/**", "user,perms[user]");//需要权限授权的路径使用perms拦截器
filterChainDefinitionMap.put("/admin/**", "user,perms[admin]");//authc和perms拦截器可同时使用
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);//设置拦截规则

 

存入Token

是否记住我rememberMe标识需要在登录拦截器中获取并且存入token

页面提交表单的记住我元素name值必须是“rememberMe”

    /**
     * 创建Token
     */
    @Override
    protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) {
        String username = getUsername(request);//获取用户名 表单name:username
        String password = getPassword(request);//获取密码 表单name:password
        boolean rememberMe = isRememberMe(request);//获取是否记住我 表单name:rememberMe
        String captchaId = WebUtils.getCleanParam(request, "captchaId");//获取验证码id
        String captcha = WebUtils.getCleanParam(request, "captcha");//获取用户输入的验证码字符

        return new CaptchaAuthenticationToken(username, password,captchaId, captcha, rememberMe);//存入自己定义的包含验证码的Token
    }

 

转载于:https://my.oschina.net/u/3452433/blog/904319

weixin_34148508
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro-jar-1.7.0.zip相关资源包
12-24
解决:升級1.7后附件中文路径报400错误的问题 压缩包中包含: shiro-cas-1.7.0.jar shiro-core-1.7.0.jar shiro-ehcache-1.7.0.jar shiro-spring-1.7.0.jar ...spring-context-shiro.xml 修改说明.txt
spring boot shiro整合
啊大海全是水的博客
12-09 2719
spring boot 整合shiro需要的jar 1.4.0 org.apache.shiro shiro-core ${shiro.version} org.apache.shiro shiro-web ${shiro.version} org.apache.shiro shiro-spring ${
Shiro CookieRememberMeManager Invalid AES key length
蕃薯耀的博客
04-16 1855
================================ ©Copyright 蕃薯耀 2022-04-16 蕃薯耀的博客_CSDN博客 一、问题描述 CookieRememberMeManager使用加密setCipherKey报错: Caused by: java.security.InvalidKeyException: Invalid AES key length: 10 bytes at com.sun.crypto.provider.AESCipher.engineG.
shiro-550反序列化漏洞
lightsec
04-24 958
前言: shiro反序列化原因是shiro的一个机制为了让浏览器或服务器重启后不丢失用户的登陆状态,会将用户信息保存到 rememberMe字段中 然后发送到服务端,服务端再对它进行base64解密,aes解密,再进行反序列化,由于在 1.2.4 这个版本里 shiro的key是固定的,所以可以通过构造一段恶意类经过aes加密再base64加密然后放到 rememberMe 伪造cookie信息,来让服务端加载,进而触发反序列化漏洞 环境搭建: 从github下载代码到本地 下载shiro-r
springboot + shiro 实现记住
快乐的小三菊的博客
05-21 1646
第一次登录的时候,需要用户自己输入用户名和密码,选中记住的标签。登录成功之后,此时关掉浏览器,再打开浏览器,再次输入刚才的网址,即可发现这次登录不需要再输入用户名和密码,即可直接进入验证通过的界面。达到的最终效果就是第一次使用账号和密码登录(登录成功),此时退出浏览器,然后重新打开网页登录界面,就会自动登录到登录成功的网页上。我们平常在登录网站的时候,经常会发现网页上有个。是如何实现,说白了就是携带参数,将请求发送到。此时,启动工程,输入网址。类是如何实现,需要注意的是。,看下浏览器帮我们保存的。
SpringBoot+shiro 实现rememberMe
小小酥的博客
04-18 1111
ShiroConfig.java @Configuration public class ShiroConfig { //注入自定义的realm,告诉shiro如何获取用户信息来做登录或权限控制 @Bean public Realm realm() { return new MyRealm(); } public SimpleCook...
shiroshiro-all-1.8.0.jar)
03-21
shiroshiro-all-1.8.0.jar)
Shiro安全框架【快速入门
03-01
照例又去官网扒了扒介绍:ApacheShiroisapowerfulandeasy-to-useJavasecurityframeworkthatperformsauthentication,authorization,cryptography,andsessionmanagement.WithShiro’seasy-to-understandAPI,...
shiro-core-1.6.0.jar
08-20
该资源是目前最新的shiro-core核心包,暂时魏安全性较高的版本,没有发现漏洞版本。提供登录安全性的校验,该资源来自官网,仅供学习参考,请前往官网下载
shiro入门案例_001.zip
06-11
shiro_入门
Spring Boot项目Shiro1.7.1版本默认密钥的漏洞
UDWORLD的博客
09-06 3012
Shiro1.7.1版本默认密钥的漏洞
shiro漏洞原理以及检测key值原理
Thunderclap的博客
02-08 4212
Shiro 1.2.4及之前的版本中,AES加密的密钥默认硬编码在代码里(SHIRO-550),Shiro 1.2.4以上版本官方移除了代码中的默认密钥,要求开发者自己设置,如果开发者没有设置,则默认动态生成,降低了固定密钥泄漏的风险。升级shiro版本并不能根本解决反序列化漏洞,代码复用会直接导致项目密钥泄漏,从而造成反序列化漏洞。针对公开的密钥集合,我们可以在github上搜索到并加以利用。
Apache Shiro系列之五,概述 —— 配置
weixin_33712881的博客
12-10 103
Shiro设计的初衷就是可以运行于任何环境:无论是简单的命令行应用程序还是复杂的企业集群应用。由于运行环境的多样性,所以有多种配置机制可用于配置,本节我们将介绍Shiro内核支持的这几种配置机制。       小贴士:多种配置方案:     Shiro的SecurityManager是和JavaBean兼容的,所以我们可以使用诸如Java、Xml(Spring、Jboss、Guice等)、Y...
Apache Shiro 配置
allway2的博客
09-25 423
默认值为 Base64,因为 Base64 编码需要较少的实际文本来表示值 - 它具有更大的编码字母表,这意味着您的标记更短(文本配置更好一点)。如果您不希望 [users] 部分密码为纯文本,您可以使用您喜欢的散列算法(MD5、Sha1、Sha256 等)加密它们,但您喜欢并使用生成的字符串作为密码值。如果您的应用程序不在内存受限的环境中运行,您会发现基于文本的配置更易于使用和阅读。令人惊讶的是,仅仅 3 行代码之后,您现在就拥有了一个适用于许多应用程序的功能齐全的 Shiro 环境。
Apache Shiro 反序列化漏洞(Shiro-550 CVE-2016-4437)
渗透测试研究中心
12-03 1419
0x00 漏洞描述Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令只要remem...
Apache Shiro 反序列化漏洞实战
BaCde's Blog
03-22 2098
目录漏洞原理检测与利用目标发现与寻找漏洞检测利用方式修复建议参考链接 Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。2016年,网络中曝光1.2.4以前的版本存在反序列化漏洞。尽管该漏洞已经曝光几年,但是在实战中仍然比较实用。花了点时间研究了下,并根据网络上的利用脚本改进。主要修改了检测方式,并使利用方式更加简单灵活,使其更具有实战意义,提升其效率。 漏洞原理...
08.Shiro实现记住我功能
qq_56403015的博客
11-14 571
​ 在我们使用网页时,有记住我的功能,在登录时勾选这一项即可在这cookie生效日期之内,就算关闭浏览器我们在下一次进入该界面时依然可以保证我们可以进行操作而无需登录。对于实现该功能,我们需要以下的步骤。
Apache Shiro反序列化漏洞复现并利用(CVE-2016-4437)
qq_42773814的博客
01-10 2536
关于CVE-2016-4437漏洞描述 Apache Shiro 1.2.5之前的版本中,当没有为“记住我”功能配置密码密钥时,远程攻击者可通过未指定的请求参数执行任意代码或绕过预期的访问限制。 影响版本:Apache Shiro <= 1.2.4 漏洞原理 Apache Shiro框架提供了Remember Me功能,用户登录成功后会生成经过加密并编码的Cookie,即使关闭了浏览器,再次访问时无需进行登录操作即可以之前的身份访问网站。 默认情况下,Shiro使用CookieRemembe
若依低版本漏洞:shiro反序列化解决方式
最新发布
weixin_43267639的博客
12-14 1803
在若依低版本中shiro可能会有反序列化的问题,因为是固定密钥的方式导致的。 解决方式如下: 1、升级shiro至最新版本 2、保持shiro版本不变
org.apache.shiro.cache.ehcache.EhCache
06-01
org.apache.shiro.cache.ehcache.EhCache是Shiro框架提供的一个Ehcache缓存实现类,用于将Shiro框架中的缓存数据存储到Ehcache缓存中。 在使用Shiro框架时,可以通过在shiro.ini或shiro-config.xml等配置文件中配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值