【shiro】问题记录--doGetAuthorizationInfo重复执行以及关闭shiro自带的session

于 2023-06-02 11:29:31 发布
阅读量478 收藏 1
点赞数
分类专栏: shiro 文章标签: java spring 开发语言 shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42516475/article/details/131003289
版权

前言

在shiro整合token实现续签的时候,调试发现了一个奇葩的情况,我的doGetAuthorizationInfo重复执行2次。

一、问题

问题1:doGetAuthorizationInfo重复执行2次。

问题2:关闭shiro自带的session

二、解决

解决1:

通过查找,只要注释掉defaultAdvisorAutoProxyCreatorlifecycleBeanPostProcessor这两个shiro注解的方法就可以。

    /**
     * 开启Shiro注解支持(例如@RequiresRoles()和@RequiresPermissions())
     * shiro的注解需要借助Spring的AOP来实现
     */
//    @Bean
//    @DependsOn("lifecycleBeanPostProcessor")
//    public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator() {
//        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
//        defaultAdvisorAutoProxyCreator.setProxyTargetClass(true);
//        return defaultAdvisorAutoProxyCreator;
//    }
//
//    @Bean
//    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
//        return new LifecycleBeanPostProcessor();
//    }

    /**
     * 开启Shiro-aop注解支持
     * 使用代理方式所以需要开启代码支持
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager);
        return advisor;
    }
  • 疑惑:明明这个是开启Shiro注解支持(例如@RequiresRoles()和@RequiresPermissions()),如果注释掉的话,那不就不能用这个判断权限的注解了吗?但注释掉这注解支持后,依然可以使用@RequiresRoles()和@RequiresPermissions()😑
  • 回答:根据查找最后找到了一个大佬的回答,虽然不能说完全一样,但也是一个参考的思路https://segmentfault.com/q/1010000014766223

PS:不管咋样,就使用而言,问题不大👀。

解决2:

在安全管理器securityManager中加上 关闭shiro自带的session 的代码即可。【Ctrl CV使用】

    /** 
     * 安全管理器
     * 它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,
     * 并通过它来提供安全管理的各种服务
     */
    @Bean("securityManager")
    public DefaultWebSecurityManager securityManager(ShiroRealm myRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 自定义Realm验证,这个Realm是最终用于完成我们的认证和授权操作的具体对象
        securityManager.setRealm(myRealm);

        /*
         * 关闭shiro自带的session,详情见文档
         * http://shiro.apache.org/session-management.html#SessionManagement-StatelessApplications%28Sessionless%29
         */
        DefaultSubjectDAO subjectDAO = new DefaultSubjectDAO();
        DefaultSessionStorageEvaluator defaultSessionStorageEvaluator = new DefaultSessionStorageEvaluator();
        defaultSessionStorageEvaluator.setSessionStorageEnabled(false);
        subjectDAO.setSessionStorageEvaluator(defaultSessionStorageEvaluator);
        securityManager.setSubjectDAO(subjectDAO);

        return securityManager;
    }
Kevinllli
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiro-attack-4.7.0-SNAPSHOT-all.zip
最新发布
10-24
shiro_attack-4.7.0-SNAPSHOT-all.zip 序列化验证工具
Shiro关闭session配置
m0_67401761的博客
08-24 596
本文基于token进行身份认证,由于接入cas会和shirosession管理冲突,所以关闭shirosession,进行无状态管理。特此记录一下shiro如何进行无状态管理。
shiro的授权过程
ITWANGBOIT的博客
10-14 876
1:通过继承shiro的AuthorizingRealm类,并实现它的doGetAuthorizationInfo方法来进行授权。 2:doGetAuthorizationInfo方法的参数是认证通过的principal的集合(因为可多个realm,且有不同的认证策略) 3:doGetAuthorizationInfo方法的作用就是:登录认证成功之后,根据认证通过的principal,...
Springboot2.1.4整合ApacheShiro时,doGetAuthorizationInfo执行两次的解决方法
weixin_44632986的博客
05-24 2444
ShiroConfig配置类中增加如图缓存就正常了。 以下为引入的具体缓存依赖: org.apache.shiro shiro-ehcache x.x.x
触发shiro中重写realm中doGetAuthorizationInfo 授权方法的几种方式
taiguolaotu的博客
10-20 530
shiro 标签 controller接口上的权限注解 等等 还有就是 清空用户授权信息缓存getAuthorizationCache() 看源码 清空shiro缓存 ,会重新走realm中重写的doGetAuthorizationInfo方法从数据看查询数据权限 参考链接 这辈子坚持与不坚持都不可怕,怕的是独自走在坚持的道路上!!! ...
shiroshiro-all-1.8.0.jar)
03-21
shiroshiro-all-1.8.0.jar)
shiro-core-1.4.0-API文档-中文版.zip
07-12
赠送jar包:shiro-core-1.4.0.jar; 赠送原API文档:shiro-core-1.4.0-javadoc.jar; 赠送源代码:shiro-core-1.4.0-sources.jar; 赠送Maven依赖信息文件:shiro-core-1.4.0.pom; 包含翻译后的API文档:shiro-core...
shiro-all-1.4.2.jar下载
08-21
shirojava安全框架工具,而使用shiro jar包可以执行身份验证,授权,密码学和会话管理功能,想使用shiro这款安全框架的朋友们,欢迎前来下载shiro jar包进行使用。
解决:shiro中重写doGetAuthenticationInfo,结果首次登录先执行doGetAuthenticationInfo执行login的问题
一勺菠萝丶的博客
12-20 1万+
前提: Springboot整合Shiro后,启动项目,首次进入登录页面输入用户账号密码点击登录,却先执行AuthRealm类(继承AuthorizingRealm类)中的重写的方法doGetAuthenticationInfo(),token为登录的用户信息,该方法执行后页面报404。手动退回登录页面第二次登录输入用户账号密码点击登录, 此次流程没问题,首先执行login()方法,再次执行do...
shiro配置多realm,会执行多次授权操作即执行各个realm的doGetAuthorizationInfo方法
ITxiaofeixiang的博客
12-31 1081
shiro配置多realm,会执行多次授权操作即执行各个realm的doGetAuthorizationInfo方法 查看原因 调用授权 Subject subject = SecurityUtils.getSubject(); subject.isPermitted("abc"); 进入isPermitted方法 会进入Subject接口下的一个实现类DelegatingSubject其中方法: public boolean isPermitted(String permission)
Shiro学习笔记(3)——授权(Authorization
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
shiro 登录后不走doGetAuthorizationInfo方法
m0_60721514的博客
04-26 489
shiro 登录后不走doGetAuthorizationInfo方法 解决办法 jsp 注解 java测试代码 shiro权限注解 在学习shiro+cas认证登录过程中,环境搭建好后发现请求的时候一直不走doGetAuthorizationInfo这个方法,其实还是配置的问的,自己没有弄懂shiro doGetAuthenticationInfo 登录认证时会进入这个方法 doGetAuthorizationInfo 需要授权时会进入这个方法 解决办法 jsp 在jsp中
CAS+Shiro 自定义 pac4jRealm 每次判断权限都要重复执行doGetAuthorizationInfo()两次
xiyafei122的博客
03-18 969
代码如下: public class UserRealm extends Pac4jRealm(){ @Override public AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // TODO Auto-generated method stub System.out.println("Onece"); Set<String> roles=new
shiro详解-shiro史上最全学习笔记
m0_55613022的博客
04-08 1573
1.shiro简介 1.1.基本功能点 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。其基本功能点如下图所示: Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验
springboot整合shiro-实现自己的登出(十六)
这个名字想了很久
12-17 1万+
前面所有的博客登出都是使用的shiro默认自带的登出,使用方式也很简单,不用我们去实现退出功能,只要去访问一个退出的url(该 url是可以不存在),由LogoutFilter拦截住,清除session。(如果没有什么特殊需求,我建议直接使用shiro的登出) 具体如下: 8.png 只要拦截到访问/logout的请求,就会被走logout对应的 LogoutFilter,自动登出。 为什么要...
Spring Boot 之 SpringSecurity、Shiro
欧尼熊不懂 的博客
11-02 1197
Spring Boot 整合安全框架使用;SpringSecurity 基本用法及配置,授权方法、四种认证方式。shiro 基本用法及配置
shiro-spring-boot-starter
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值