shiro框架如何保持登录状态

最新推荐文章于 2023-03-19 21:09:27 发布
最新推荐文章于 2023-03-19 21:09:27 发布
阅读量3.9k 收藏 5
点赞数
文章标签: 安全 https shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40835745/article/details/121999803
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

最近一段时间在研究shiro框架,发现网上很少有讲在登录之后,shiro是如何保持登陆状态的,或者换句话说就是后台服务能够在你登录之后,知道你是谁,知道你有哪些权限,知道你的角色是什么

一、shiro保持登录状态的方式?

现在大部分的web项目都是采用前后端分离的架构,而保持登录状态采用的最多的方式是请求后端服务时,在请求的Header中携带token(token是在登录成功后端所返回的身份凭证)。而本文所介绍的是shiro中传统的通过cookie-session来保持登录状态的方式。

二、具体过程

1.登录系统

在首次访问登录管理系统时,后台服务会在响应头中向浏览器设置一个cookie,而cookie的内容中的JSESSIONID就是在本次http会话中,后台服务所存储的sessionId。
在这里插入图片描述在登录成功后,浏览器的每次请求都会携带这个cookie。
在这里插入图片描述这个cookie就相当于当前登录用户的身份凭证,我们可以利用这个cookie去访问当前用户在这个系统中被授权的接口。
在这里插入图片描述在不携带cookie时,请求会被shiro过滤器过滤掉。

在这里插入图片描述我在代码中将session信息存储到了redis中,session中存储了该登录用户的身份。
在这里插入图片描述
在这里插入图片描述如果将这条session记录从redis中删除,登录状态将会失效。

在这里插入图片描述

2.关闭浏览器

因为shiro中的session机制是使用进程中的cookie来保存sessionId,所以关闭浏览器后,这个进程将会消失。所以在下次打开浏览器访问该系统时,后端服务将会给浏览器设置一个新的cookie。但是redis中,上次登录所产生的session并没有被删除,所以可以继续使用上次登录所产生的sessionId来访问登录用户所被授权的接口。

3.登出系统

登出系统后,redis中会把该次会话的session删除。这个sessionId将无法访问登出用户所授权的接口。通过源码可以看到,登出操作会把session信息清空。
在这里插入图片描述

4.RememberMe功能

在上面的第二点中,我们得知当用户关闭浏览器之后,在重新打开浏览器访问之前所登录的系统,需要重新登录。
shiro提供了RememberMe功能,就是为了解决重新登录问题。
在选择开启rememberMe之后,后台服务在给浏览器的cookie中会添加rememberMe信息。
在这里插入图片描述在重新打开浏览器访问该服务时,还是会携带该rememberMe信息,而后端服务也是通过rememberMe的信息来确认登录的用户身份。
在重新打开浏览器访问该服务时,后端服务会给浏览器设置一个新的sessionId和rememberMe。
在这里插入图片描述

modelike
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
客户端禁用cookie时如何使用shiro框架
m0_54096780的博客
07-28 1314
1、问题: shiro框架的授权依赖于shiro内置的session,这意味着如果客户端禁用掉cookie的话,shiro无法通过sessionId来获取内置session中的内容,也就无法实现权限管理方面的操作。 2、解决思路: shiro的session管理核心在于org.apache.shiro.web.session.mgt.DefaultWebSessionManager这个类,其中的getSessionId()方法是shiro获取sessionId的方法,shiro通过获取到的sessio
shiro入门(二)用户名密码保存在数据库里
vicroad2014的专栏
09-05 1643
1、创建数据表 CREATE TABLE `users` (   `id` int(11) NOT NULL AUTO_INCREMENT,   `username` varchar(20) DEFAULT NULL,   `password` varchar(20) DEFAULT NULL,   PRIMARY KEY (`id`) ) ENGINE=InnoDB AUTO_INCREMEN...
Shiro框架的授权实现源码分析之登录身份信息保存
smalllongonline的专栏
08-24 747
Shiro框架的授权实现源码分析之登录身份信息保存
shiro登陆成功保存用户信息到session
m0_67400972的博客
03-28 1046
[导读]我们经常会需要把登录成功后的用户信息保存到session中,但是如果我们使用shiro做权限管理,该怎么去实现呢? 我们经常会需要把登录成功后的用户信息保存到session中,但是如果我们使用shiro做权限管理,该怎么去实现呢?其实很简单 第一步:写一个类CustomFormAuthenticationFilter继承FormAuthenticationFilter,并重写onLoginSuccess方法,以下是我的实现@Override protectedbooleanonLoginSucces
shiro中subject创建,以及shiro如何保证用户登录状态
qq_45507768的博客
03-19 1435
在该仓库下的adminsys项目)。重要概念什么是subject:subject是一个主体,用于保存一个用户或者是一个对象,指代和当前应用交互的任何对象。它更像是一个门面,只要是关于认证和授权的操作都需要委托它去完成。提出问题问题背景:在一个springboot项目中整合了shiro做认证授权,由于srpingboot的web-starter中内嵌了tomcat,而tomcat是使用线程池去处理浏览器发来的每一个请求。已知条件:假如这是用户第一次登陆,访问对应login接口。
shiro的session的理解
ITWANGBOIT的博客
10-23 2309
以问答的形式 1:session的作用是什么? 和web容器中的session作用一样,就是用于记录浏览器和服务器之间的交互 2:登录状态和session有没有关系? 登录认证成功之后,shiro是将认证信息存储在session中的,以后的每次请求肯定会在过滤器中判断session中有没有认证信息,以作为放行的依据。 3:为什么要把session持久化,即为sessionDao?是为了分...
shiro框架整合(全包)
05-20
4. **会话管理**:Shiro可以接管应用的会话管理,提供跨请求的用户状态保持。它可以管理会话超时、会话固定攻击防护,并且可以在分布式环境中通过缓存来实现会话复制。 5. **缓存配置**:在大型系统中,为了提高...
初学Shiro框架项目
12-23
Session管理则处理用户会话,提供跨请求的状态保持;Cryptography支持对数据进行加密,保护敏感信息。 在项目中,首先你需要配置Shiro的基本环境。这通常涉及到创建一个Shiro配置文件(如shiro.ini或在Spring Boot...
shiro框架在项目中的应用
11-09
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权、会话管理和加密等核心功能。在项目中应用 Shiro,可以有效地处理用户的身份验证、权限控制以及安全相关的操作,简化了后端开发的安全实现。...
安全控制框架教程shiro
10-29
这在分布式系统中特别有用,因为Shiro可以实现会话的共享和复制,使得用户在不同服务器之间切换时保持登录状态。 ### 4. 加密支持 Shiro内置了多种加密工具,如MD5、SHA等,用于密码哈希处理,确保用户密码的安全...
shiro安全框架
08-16
这在处理Web会话时尤其有用,可以确保用户在切换服务器时仍能保持登录状态。 4. **加密服务** Shiro提供了丰富的加密服务,包括散列、对称加密和非对称加密。这使得开发者能够在存储密码或其他敏感信息时,轻松地...
shiro+ssm框架整合+如何用session存储登录用户信息
灵魂和肉体总要有一个在路上
09-26 2495
此案例用IDEA创建的MAVEN的web项目 步骤一:在pom.xml导入依赖。这是pom.xml的全部内容,可直接将以下内容的所有内容覆盖你的pom.xml文件。下面的代码重点在于dependencies 标签中的内容。(固定) <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apac...
Apache Shiro 用户信息保存在session方案
weixin_30823683的博客
05-08 1074
描述 在使用shiro的时候,经常会有一种需求: 把登录成功后的用户对象存放到session中,方面其他地方调用。存放到session这个步骤到底应该在哪里去做,有几个地方比较合适: 调用Subject.login()的时候 使用cas进行单点认证的时候,集成CasFilter重写onLoginSuccess()方法 实现AuthenticationListener...
shiro 使用redis存储登录信息 实现单点登录
weixin_42118981的博客
03-19 1089
shiro是一款出色的权限框架,能够实现诸如登录校验、权限校验等功能,默认情况下,shir将session保存到内存中,这在应用分布式部署的情况下会出现session不一致的问题,所以我们要将session保存到第三方,应用始终从第三方获取session,从而保证分布式部署时session始终是一致的,这里我们采用redis保存session。单点登陆的实现逻辑是在用户登陆时,生成token,然后将token以用户登陆账号为key,保存到redis中,再把token放到cookie中,用户在访问的时候,我们
Spring Shiro流程简析 登录请求处理
我家有猫已长成的博客
02-01 1050
Spring Shiro流程简析 登录请求处理 简介。
shiro + redis session过期时间不符合预期,提前过期
浪丶荡
12-20 4648
shiro + redis session过期时间不符合预期,提前过期 redis的过期时间设置的是8小时,如下 /** * 配置shiro redisManager * 使用的是shiro-redis开源插件 * * @return */ public RedisManager redisManager() { Red...
Shiro+JWT+Redis做认证,关于token有效期内续期方案
lucay1992的博客
02-09 1790
最近做的项目Springboot+vue前后端分离 还是选用了扩展功能很强大的shiro作为安全框架 并且弃用了shiro的session管理,使用JWT(JSON Web Token)取而代之 现在已经实现登录认证 有个问题是,用户在token有效时间内的正常操作(请求header中携带token的请求)如何刷新token最好? 在网上查了查,我总结出两个方案: 1.第一种方案,单token反复刷新 简单来说就是用户每次访问后台服务,验证老token通过时,会进行jwt续期(重新颁发toke
六。shiro集群,将session保存到数据库和redis,使用户保持登录状态
u014203449的博客
07-08 8741
1.目标 1.web端,用户第一次登陆之后,以后不需要再输入用户密码,就可以直接访问。使用cookie 2.shiro集群使用,需要共享session,把session放到数据库或redis就实现了这个目的 2.原理 会话管理器管理着应用中所有 Subject 的会话的创建、维护、删除、失效、验证等工作。是Shiro 的核心组件,顶层组件 SecurityManager 直接继承了 Ses...
shiro 框架登录执行流程
最新发布
05-13
Shiro框架登录执行流程如下: 1. 用户在前端页面输入用户名和密码,点击登录按钮。 2. 前端将用户名和密码发送到后端。 3. 后端通过Shiro的Subject对象进行认证,Subject对象是Shiro的核心对象之一,它代表了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值