shiro 删除用户session_shiro 一个项目多个系统sessionid赋值 (getsession 重载)

最新推荐文章于 2023-07-15 18:16:57 发布
最新推荐文章于 2023-07-15 18:16:57 发布
阅读量353 收藏
点赞数
文章标签: shiro 删除用户session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39615741/article/details/111947889
版权

Shiro Security是非常不错的Security框架

最近在我的项目中进行相关整合,shiro不难,难就难在如何对已经成熟的系统进行整合

作为相关切入点,我也考虑了很久,整体运用上了如张开涛大佬所说

对于Subject我们一般这么使用:

1、身份验证(login)

2、授权(hasRole*/isPermitted*或checkRole*/checkPermission*)

3、将相应的数据存储到会话(Session)

4、切换身份(RunAs)/多线程身份传播

5、退出

回归标题,正常整合过后,基本可以正确的进行登录与登出

那么开始进行细节休整

大体介绍我们的系统架构是springmvc进行开发,一个项目里分出了两套系统,系统与系统间的区分仅仅只是 通过url路径上的不同,来表现。那么现在就出现了一种情况,系统1基本用户都能登入,而系统2却只有相关权限人才能登入。

表面上视乎能在登陆上做控制,比如login的时候通过权限判断就可以做到。那么这时候考虑的是如果用户之间通过url强行进入呢。

比如系统1用户登录,直接修改url进入系统2。此时属于非法访问。

正常我们会在filter内做过滤,也好做,在相关登录逻辑内对session赋予标记,在filter做过滤就over了,不符合直接logout。

想到这里,作为一个shiro框架使用者是不是感觉shiro貌似没起作用。

于是思考一个比较合理的方案,于是决定当用户登陆系统时,对sessionid进行赋值,系统1则在sessionid前+上相关字符串标记session为系统1用户。系统2则在sessionid前+上相关字符串标记session为系统2用户。

需求清晰,那么进行可行性分。

那么结合shiro中的session管理,开始做起了调查。

首先进行是的shiro如何修改sessionid,这能找却不能满足我的需求。因为市面上的他们都是以单系统,或者双项目双系统进行写的。完全不能符合我想要的。

一般都是这么做的

**

**

上面的解决方案是对不同项目进行不同的jsessionid名的配置

但我一个项目里怎么可能出现两个shiro,不符合我的要求

于是考虑shiro内置处理session我要做点手脚。

首先是查到了sessionid生成器

自定义了一个id生成器

public class SysSessionIdGenerator implements SessionIdGenerator {

@Override

public Serializable generateId(Session session) {

if(session.getAttribute("sysType")!=null){

return session.getAttribute("sysType").toString()+"_"+UUID.randomUUID().toString();

}

return UUID.randomUUID().toString();

}

}

主要实现SessionIdGenerator  generateId的方法。这里可以看见我吧sysType加到uuid前面。

然后就是注入给shiro使用

配置需要加入

sessionDAO 也要记得注入给 sessionManager 这里我就不写了

那么问题又来了,逻辑上不上应该生成session的时候调用吗,那么shiro的session是在什么时候生成的呢。

我翻了翻源码

subject.getSession()

这个get方法实现的

最低0.47元/天 解锁文章
weixin_39615741
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro使用自己的SessionId管理和rememberMe配置
cloud的技术积累
06-14 9837
ShiroSession和RemeberMe配置
我的shiro之旅: 六 自定义shirosessionId
Dylan的博文
09-27 1万+
博客已移至 http://blog.gogl.top   shiro有自己的sesison概念,shirosession并不是java ee的session。通常,我们看到shirosessionId格式类似c6395bbc-425d-43b3-a444-04fee5a92e95,是因为shiro产生sesisonId是通过UUID生成的。我们可以看到shiro-core-xx.jar的o...
shiro 获取请求头中的 sessionId
wxy49212的博客
10-16 2330
shiro 获取请求头中的 sessionId 前言:   在前后端项目中, 前端有可能会要求, 后台返回一个 sessionId 给他, 然后他在请求后台接口时, 把这个sessionId 带给后台, 后台拿到这个sessionId , 就能识别, 是那个用户.    在shiro中, 会返回一个 JSESSIONID , 其实就是sessionId .   如果不想把sessionId...
shiro的源码学习(二)( Session session = getSession())
weixin_34326558的博客
07-17 438
subject代表用户访问服务器的一些操作:比做登录、登出,查看角色/权限、 同时可获取session如:subject.getSession(),该接品,如果之前不存在session,则创建session。创建过程大致为: subject委托SecurityManager创建、SecurityManager委托SessionManager创建,SessionManager通过SessionF...
shiro获取session用户_shiro 获取请求头中的 sessionId
weixin_39844481的博客
12-20 1776
前言:在前后端项目中, 前端有可能会要求, 后台返回一个 sessionId给他, 然后他在请求后台接口时, 把这个sessionId带给后台, 后台拿到这个sessionId, 就能识别, 是那个用户.在shiro中, 会返回一个JSESSIONID , 其实就是sessionId.如果不想把sessionId放在参数中, 或者贴在链接后面, 暴露给用户, 那么我们还能选择把 ses...
shiro通过sessionId获取当前用户登录信息
dwhhome的博客
04-17 9584
一、应用场景 前后端分离架构,使用shiro做权限管理,登录成功将sessionId返回,访问接口时在请求头携带即可。由于业务需要,现有需要接口不做拦截,在方法内做权限判断,于是将sessionId携带在RequestParam中,进行登录或权限校验。 二、实现代码 ProfileResult:登录中构造安全数据的实体类 import com.guangjutx.entity.au...
shiro中后台服务器如何获取sessionId
ystyaoshengting的专栏
09-13 1万+
在Web开发中,我们经常接触的就是session了;这里不说session和cookie;只讲服务器怎么确定用户session; http协议本身是无状态协议,那后台是怎么确定用户session呢? 这里以shiro的web开发为例,因为shiro的request和session只是对标准的request和session进行了封装,在 DefaultWebSessionManager中,...
Shiro自定义获取sessionid的方式
qq_45644484的博客
03-10 1644
一、创建一个自定义的session管理类,继承shiro默认的session管理类(DefaultWebSessionManger),重写getSessionId()方法,token为自定义请求头,值传的是sessionid。二、在Shiro配置类中创建一个返回安全管理器SecurityManager的bean方法,并设置session管理器为自定义的session管理器。
问题2:shiro配置redis管理session后,每次重新请求重新生成session问题
a151605的博客
04-24 8582
使用shiro时,配置了redis缓存session,但是每次请求,包括刷新页面都会在redis中重新保存一个session,后来发现是cookie设置的domian问题,导致每次请求域名不同,后台会自动重新生成session.@Bean(name="sessionIdCookie") public SimpleCookie sessionIdCookie(){ //coo...
shirosession的问题
最新发布
2301_77664771的博客
07-15 416
原因: 默认DefaultWebSessionManager它只接受Cookie中存储的JsessionId. 查询发现再redis中不存在对应的key.客户发送请求时,再请求头中携带sessionId, 然后重写DefaultWebSessionManager中getSessionId()的方法。默认session存储再各自服务的内存中,可以让session统一存储再redis中。我们发现跨域请求,会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。修改shiro的配置类。
java shiro实现退出登陆清空缓存
08-31
本篇文章主要介绍了java shiro实现退出登陆清空缓存,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Shiro中的session和cookie
m0_67265464的博客
08-24 2015
注意:在使用SessionListenerAdapter来监听session生命周期时,onStart()方法不能作为用户登陆日志的开始时间节点,因为session的创建是在第一次请求服务器创建的,而不是用户登陆时创建的,所以不要搞混;cookie都是key-value类型的,key的值是可以改变的,这点看下源码就可以知道,存储sessionid的cookie的key的值默认为JSESSIONID.4.此时我们在浏览器看下保存的cookie值,和服务端sessionsessionid时一样的。
shirosession实现的简单分析
tinysakura的博客
08-28 4828
前阵子对shiro进行分布式环境下的改造时跟了一遍源码,当时只是使用了思维带图简要的记录了一下方法的调用过程。最近有空了决定用博客详细的记录分析一下这个流程,以帮助自己更好的理解。 配置 首先看看shiro在web.xml文件中的配置 <!-- shiro过滤器 --> <filter> <filter-name&
shrio登录成功后用户信息存入session
qq_42331499的博客
08-16 989
登录的controller,简单版本 @RequestMapping("/login") public String login(String username, String password) throws Exception { System.out.println("进入shirod接管的login " + username + "___" + password); Subject currentUser = SecurityUtils.getSubject(); //.
shirosession的常见的问题
m0_58259152的博客
07-11 811
DefaultWebSessionManager 获取请求头中JSESSION ID的值通过RedisSessionDao 从Redis中查询该值对应的key 如果存在则认为当前用户登录。
shiro会话管理
zhangchang0516的博客
04-13 510
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 基础组件 1.1 Se...
在spring应用中使用shiro框架关于session解析
m0_67392182的博客
04-28 1151
先看shiro过滤器的UML 已经有cookie保存sessionId的请求场景: 1.请求第一次通过shiro的过滤器 OncePerRequestFilter 时,会把request,response包装成ShiroHttpServletRequest和ShiroHttpServletResponse,并且在请求中设置一个属性标识,作用就是当这个请求再次经过过滤器 OncePerRequestFilter 时,不会再包装请求和响应了. 2.请求第一次通过 OncePerRequestFilter 时,
我的shiro之旅: 七 shiro session 共享
Dylan的博文
02-17 1万+
博客已移至 http://blog.gogl.top 很久没有写过博文,一来是因为工作比较紧,二来是因为很长一段时间没有写博文的心情。今天,想继续写写shiro的一些文章,这篇文章只要想分享的是shiro 共享session的内容。         在这里先给出我的shiro配置文件。        <bean id="shiroRealm" class="com....
Apache Shiro去掉URL中的JSESSIONID
热门推荐
yyf314922957的专栏
04-01 2万+
最近集成框架用到shiro碰到url有时候会带上jsessionid有时候又没有。以前也碰到但是没有深入研究。 网上查了半天各种方法用了都没用。比如web.xml里面加session-config,添加DisableUrlSessionFilter 等等神马都没用。于是自己研究源码。说了半天废话终于进入正题。先申明下我是菜鸟。说的不对的错的请无视。有些是网上复制的。 先说下为什
Spring SecurityShiro、JWT权限认证
HelloQ的博客
08-19 1万+
JWT jwt是什么? JWT又名Json Web Token,基于数字签名,定义了一个紧凑、字包含的方式,用于json在各方之间安全传输信息。 使用场景 一般用于授权认证和数据交换: Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值