java的sessionid_java – 使用sessionId或用户名密码进行Shiro验证

最新推荐文章于 2023-07-11 20:34:08 发布
最新推荐文章于 2023-07-11 20:34:08 发布
阅读量557 收藏
点赞数
文章标签: java的sessionid
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39834154/article/details/114414680
版权

Shiro’s Session support is much simpler to use and manage than either of these two [web container or EJB Stateful Session Beans] mechanisms, and it is available in any application, regardless of container.

例如

Subject currentUser = SecurityUtils.getSubject();

Session session = currentUser.getSession();

session.setAttribute( "someKey", someValue);

引用自the doc:getSession调用在任何应用程序中工作,甚至非Web应用程序

给客户端真正的sessionId还是应该发送某种类型的sessionToken(在服务器端解析为sessionId),这是不错的做法?

发送普通sessionId是一个坏主意。特别地,如果您通过未加密的网络发送数据。要么使用像HTTPS这样的东西,要么使用NONCE。

而且,一个附注,如果通过http / s POST数据,而不是在URL。

如何使用sessionId(客户端应该在本地存储)登录主题?

你的意思是,一旦你有会话ID,你如何验证该主题?你可以简单地说,

从文档,

Subject requestSubject = new Subject.Builder().sessionId(sessionId).buildSubject();

在进行这种认证之前还有其他需要知道的事情吗?

是。

更新

关于该主题认证部分 – 它会使新创建的主题成为当前认证的主题吗?如果没有,我该如何使其成为“当前”科目?

如果你在谈论新的Subject.Builder()。sessionId(sessionId).buildSubject(),它不会。而我不知道如何设置为currentUser为线程。 Shiro的JavaDoc说,

[this way] returned Subject instance is not automatically bound to the application (thread) for further use. That is, SecurityUtils.getSubject() will not automatically return the same instance as what is returned by the builder. It is up to the framework developer to bind the built Subject for continued use if desired.

所以,这是由你自己在当前线程或进一步使用中绑定主题。

如果你担心SecurityUtils.getSubject();事情很好,在web-container上下文中,它使用简单的cookie来存储你的会话数据。当您的请求通过Shiro过滤器时,它附加当前主题以请求其生命周期(当前线程)。而当您作为getSubject()时,它只需从请求中获取主题。我发现一个有趣的线程here。

关于nonce部分:如果他给我一些哈希而不是他的sessionId – 我将无法解码它以获得真正的sessionId(以授权他)。我在这里遗漏了什么吗?

随便的部分 – 这是一个痛苦的脖子。现在重新思考,我认为做NONCE只是过度杀戮。让我解释一下,反正,

>用户首次使用用户名和密码进行登录。设置userid,nonce(例如UUID)和HASH(sessionID随机数),在客户端调用它hash1。说,在cookie。将这个随机数存储在服务器端,可以在DB中或在Map中以user_id< - >现时,SESSION_ID

>在后续请求中,确保您传回userid,随机数和HASH。

>在服务器端,您首先要做的是验证请求。根据客户端发送的user_id,将sessionId和nonce存储在hashmap或DB中。创建哈希,HASH(sessionId_from_db nonce_from_db),调用hash2。

>现在,如果hash1与hash2匹配,则可以验证请求,并且由于您已经在服务器端存储了当前sessionId,所以可以使用它。请求完成后,在cookie和服务器端设置新的随机数。

如果您通过1 – 4,您将意识到您不需要Shiro进行身份验证。 (:

所以,我回复我的话,NONCE在这种情况下不适用,除非你对性能的安全性太过分了。

为什么MITM攻击对我有影响?我的客户端(javascript ajax代码)通过ajax从服务器获取数据。所以我不认为我应该以任何方式关心MITM。

我认为这对你来说很重要。 MITM攻击意味着您的请求/响应通过机器(MITM)链接到您的路由器。如果这是一个未加密的请求,这是MITM的所有纯文本。他可以看到您的所有请求,并可能欺骗请求,并可能会劫持会话。让我找一些例子…. http://michael-coates.blogspot.com/2010/03/man-in-middle-attack-explained.html

weixin_39834154
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot +shiro+redis实现session共享(方案二)1
08-08
springboot +shiro+redis实现session共享(方案二)1
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot_Shiro_JWT_Redis SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不恰巧的与我们的期望有所违背,原因:   (1)shiro默认的拦截跳转都是跳转url页面,而前后端分离后,后端并无权干涉页面跳转。   (2)shiro默认使用的登录拦截校验机制恰恰就是使用的session。   这当然不是我们
sessionid java_java如何获取sessionid
weixin_42507868的博客
02-12 6116
展开全部StringsessionId=request.getSession().getId();首先要获32313133353236313431303231363533e59b9ee7ad9431333337396230得request对象,然后调用getSession()方法。Session直接翻译成中文比较困难,一般都译成时域。在计算机专业术语中,Session是指一个终端用户与交互系统进...
基于Session进行登录校验
abc123mma的博客
10-23 2100
黑马点评项目,基于Session进行登录校验
JavaWeb - Cookie、Session、SessionId 详解
牧码的博客
10-16 3550
一、概述 会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述Cookie与Session机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 二、Cookie 1.1Cook...
shiro中后台服务器如何获取sessionId
热门推荐
ystyaoshengting的专栏
09-13 1万+
在Web开发中,我们经常接触的就是session了;这里不说session和cookie;只讲服务器怎么确定用户的session; http协议本身是无状态协议,那后台是怎么确定用户的session呢? 这里以shiro的web开发为例,因为shiro的request和session只是对标准的request和session进行了封装,在 DefaultWebSessionManager中,...
Apache的shiro获取当前Session的方法
weixin_46589575的博客
03-24 1438
shiro提供了一个工具类可以方便的获取Session,这个工具类就是:SecurityUtils 获取当前的Session直接可以通过下面的方式来: public static Session getSession() { return SecurityUtils.getSubject().getSession(); } 获取到session还可以直接往session中塞属性,例如登录的时候,需要一个验证码,则可以将生成的验证码的文本塞到session中, 设置sessi
shiro通过sessionId获取当前用户登录信息
dwhhome的博客
04-17 9489
一、应用场景 前后端分离架构,使用shiro做权限管理,登录成功将sessionId返回,访问接口时在请求头携带即可。由于业务需要,现有需要接口不做拦截,在方法内做权限判断,于是将sessionId携带在RequestParam中,进行登录或权限校验。 二、实现代码 ProfileResult:登录中构造安全数据的实体类 import com.guangjutx.entity.au...
Shiro - 关于session
dengtangu7674的博客
12-01 489
Shiro Session session管理可以说是Shiro的一大卖点。 Shiro可以为任何应用(从简单的命令行程序还是手机应用再到大型企业应用)提供会话解决方案。 在Shiro出现之前,如果我们想让你的应用支持session,我们通常会依赖web容器或者使用EJB的Session Bean。 Shiro对session的支持更加易用,而且他可以在任何应用、任...
shiro 前后端分离解决跨域 以及 自定义ShiroSessionManager 校验请求头的JsessionId
llllllStan
11-07 826
shiro 前后端分离解决跨域 以及 自定义ShiroSessionManager 校验请求头的JsessionId 1.解决跨域 import org.apache.shiro.web.servlet.OncePerRequestFilter; import org.springframework.stereotype.Component; import javax.servlet.Fi...
同浏览器不同窗口不同用户Session问题
04-10
正对java Web项目,同浏览器同时打开两个登录窗口(不同Tag),用不同用户登录,为避免使用同一个Session,需要使用这段代码。否则先登录的用户的Session会变成后登录用户的Session.相关系统使用权限也会变。
Java EE常用框架.xmind
06-19
使用mvn编译,而后在class目录生成jar包,使用Java命令来启动 使用@configurationProperties和@Value注解来获取SpringBoot配置文件上的信息 使用@SpringBootTest来搭建测试环境,使用@AutoConfigueMockMVC类...
shiro获取登录状态和用户信息
08-04
shiro根据session获取登录状态和用户信息
shiro中session的共享问题与完成前后端权限的校验
最新发布
weixin_64353239的博客
07-11 637
12。
Shiro重构:整合token和cookie实现登陆及验证
July_whj
10-16 3884
Shiro重构:整合token和cookie实现登陆及验证 认证服务开始只支持PC端的cookie认证方式,因业务需要,要对小程序、H5、App等移动端设备进行认证,这里复用认证服务。由于小程序不支持cookie认证方式,采用token认证方式,这里对认证服务进行重构。认证服务主要是有Shiro框架研发,我们简单熟悉下Cookie的认证流程。 Shiro的cookie认证流程我们简单说明下, shiro是在其默认的会话管理器DefaultWebSessionManager中获取请求携带过来的cooki
Shiro认证和授权(上)基于Session的认证和授权
蜗牛学院重庆校区的博客
05-06 644
一、Shiro Shiro是堡垒的意思,是一个身份认证和权限校验框架。通常来说在管理系统中权限是必不可少的一部分。公司所有的人都在同一个系统上进行操作,但是并不是所有的人都具备相同的权利。那么就需要在系统中将每个人所拥有的的权限明确的标识出来并同时在后端进行校验。 权限系统按照颗粒粒度分为: 按钮级别权限(决定某个用户能做什么不能做什么) 数据级别权限(决定用户在能做这件事的前提下,能对哪些数据做这件事) 要实现权限系统分为两个步骤: 1.所见即所得 我们需要在系统的界面层面,将用户所具备的菜单和按钮给用户
Spring Boot+Shiro 实现 Token 的登录和认证
小码蚁
01-26 5235
因为项目要改为单点登录,shiro是通过session进行信息验证的,而且还要保留shiro的权限验证,所以只需要把验证这一部分改为token。 Shiro和token的实现和概念网上有很多,这里就不做讲解了。 本文主要参考了这篇文章https://blog.csdn.net/sqlgao22/article/details/99186391/ 先讲一下大体思路: 1、登录后生成token存入数据库并将token放入cookie,这样好处是浏览器发送请求的时候cookie会被自动带上,前端不用.
java中http请求中sessionID的生成方式
qq_16815191的博客
06-15 3368
请注意 Session 的具体实现类是 StandardSession,StandardSession 同时实现了javax.servlet.http.HttpSession和org.apache.catalina.Session接口,并且对程序员暴露的是 StandardSessionFacade 外观类,保证了 StandardSession 的安全,避免了程序员调用其内部方法进行不当操作。// 它是HttpSession的具体实现类,而HttpSession是Servlet规范中定义的接口。
shiro获取session用户_shiro 获取请求头中的 sessionId
05-19
可以使用 Shiro 的 Subject 对象获取当前用户的 Session,具体代码如下: ```java Subject currentUser = ...然后你可以将 sessionId 作为参数传递给 Shiro 的 SessionManager,从而获取对应的用户 Session。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值