shrio验证cookie有效性

最新推荐文章于 2023-07-09 22:45:10 发布
最新推荐文章于 2023-07-09 22:45:10 发布
阅读量1.8k 收藏
点赞数
分类专栏: Java 文章标签: cookie shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wf632856695/article/details/73499962
版权

shrio验证cookie有效性

概述

shrio中提供cookie管理的功能,当用户选择了rememberMe,则下次不需要再登录,而是直接通过本地记录的cookie进行验证,然后就可以访问权限为user的页面。

问题

shiro提供清除用户权限的功能,但是那是在代码中动态控制的,你修改了某个用户的权限,可以调用clearCachedAuthorizationInfo(principals)清除权限信息。但是如果是直接改了数据库里的信息(虽然按道理不应该出这种套路),那么它取cookie的时候就不会再验证,不验证用户名密码是否正确,不验证用户里的信息是否有变化。

流程

shiro中解析客户端发来的cookie其实主要就是调用AbstractRememberMeManager中的getRememberedPrincipals():

public PrincipalCollection getRememberedPrincipals(SubjectContext subjectContext) {
        PrincipalCollection principals = null;

        try {
            byte[] re = this.getRememberedSerializedIdentity(subjectContext);
            if(re != null && re.length > 0) {
                principals = this.convertBytesToPrincipals(re, subjectContext);
            }
        } catch (RuntimeException var4) {
            principals = this.onRememberedPrincipalFailure(var4, subjectContext);
        }

        return principals;
    }

CookieRememberMeManager中实现了抽象方法getRememberedSerializedIdentity():

protected byte[] getRememberedSerializedIdentity(SubjectContext subjectContext) {
        if(!WebUtils.isHttp(subjectContext)) {
            if(log.isDebugEnabled()) {
                String wsc1 = "SubjectContext argument is not an HTTP-aware instance.  This is required to obtain a servlet request and response in order to retrieve the rememberMe cookie. Returning immediately and ignoring rememberMe operation.";
                log.debug(wsc1);
            }

            return null;
        } else {
            WebSubjectContext wsc = (WebSubjectContext)subjectContext;
            if(this.isIdentityRemoved(wsc)) {
                return null;
            } else {
                HttpServletRequest request = WebUtils.getHttpRequest(wsc);
                HttpServletResponse response = WebUtils.getHttpResponse(wsc);
                String base64 = this.getCookie().readValue(request, response);
                if("deleteMe".equals(base64)) {
                    return null;
                } else if(base64 != null) {
                    base64 = this.ensurePadding(base64);
                    if(log.isTraceEnabled()) {
                        log.trace("Acquired Base64 encoded identity [" + base64 + "]");
                    }

                    byte[] decoded = Base64.decode(base64);
                    if(log.isTraceEnabled()) {
                        log.trace("Base64 decoded byte array length: " + (decoded != null?decoded.length:0) + " bytes.");
                    }

                    return decoded;
                } else {
                    return null;
                }
            }
        }
    }

主要就是进行解密,然后再返回去convertBytesToPrincipals()

解决方案

熟悉了大致的流程,应该可以想到一个解决方案。就是继承CookirRememberMeManager,重写getRememberedPrincipals()

public class MyRememberMeManager extends CookieRememberMeManager {
    @Autowired
    LoginService loginService;
    @Override
    public PrincipalCollection getRememberedPrincipals(SubjectContext subjectContext) {
        PrincipalCollection principals =  super.getRememberedPrincipals(subjectContext);
        if(null == principals)
            return null;
        User loginUser = (User) principals.getPrimaryPrincipal();
        User checkUser = loginService.check(loginUser.getUsername(), loginUser.getPassword());
        if(null == checkUser)
            return null;
        loginUser.setLevel(checkUser.getLevel());
        loginUser.setCounty(checkUser.getCounty());
        loginUser.setCity(checkUser.getCity());
        loginUser.setTown(checkUser.getTown());
        loginUser.setVillage(checkUser.getVillage());
        loginUser.setDescription(checkUser.getDescription());
        return principals;
    }
}
laowangkingggg
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合Shiro
WDH_05的博客
12-06 344
1,前言 在以往的权限管理中,我们的权限管理通常是有以下几个步骤: 创建用户,分配权限。 用户登录,权限拦截器拦截请求,识别当前用户登录信息 从权限表中判断是否拥有权限 从以上步骤中可以提取到以下三个问题。 1.如何让Shiro拦截请求。     在web开发中,Shiro会提供一个拦截器来对请求进行拦截。 2.Shiro如何判断发起请求用户的身份?     在web开发中,会借助session来判断,如果禁用了
浅谈shiro的认证
qq_54778098的博客
08-07 764
shiro认证流程和细节
Shiro 登录、退出、校验是否登录涉及到的Session和Cookie
08-23 684
前提 我们的使用的是DefaultWebSessionManager而不是ServletContainerSessionManager。这就意味着前者的session为Shiro的,后者的session为Tomcat的。 登录   DefaultWebSessionManager调用start()方法(在AbstractNativeSessionManager中)创建Session...
Shiro配置cookie以及共享Session和Session失效问题
我的博客
12-03 1587
Shiro的会话管理器的配置 <!-- shiro会话管理 --> <!-- 即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的 --> <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <property name=.
Shiro重构:整合token和cookie实现登陆及验证
July_whj
10-16 4072
Shiro重构:整合token和cookie实现登陆及验证 认证服务开始只支持PC端的cookie认证方式,因业务需要,要对小程序、H5、App等移动端设备进行认证,这里复用认证服务。由于小程序不支持cookie认证方式,采用token认证方式,这里对认证服务进行重构。认证服务主要是有Shiro框架研发,我们简单熟悉下Cookie的认证流程。 Shirocookie认证流程我们简单说明下, shiro是在其默认的会话管理器DefaultWebSessionManager中获取请求携带过来的cooki
前后端分离使用shiro登录认证cookie跨域问题踩坑
不定时分享最优质的网络技术与教程,满满的干货。
07-09 959
设置好后,再次请求,你会发现又报了如下错误。你明明设置了cookie,但是就是找不到,请求的时候也带不上,查看Set-Cookie这一行,可以发现有个黄色的叹号,鼠标放到叹号上可以看到chrome给我们的提示,因为SameSite设置的原因,chrome认为这个cookie不应该被跨越携带,所以没有设置,自然也就无法携带cookie。具体解决方式就不写了,可以自己搜索一下。charset=utf-8"的请求,会首先发送一次预检请求,然后再发送正式的post请求,这时,在POST请求时我们可能会有如下错误。
SpringBoot 整合Shiro 实现登录验证拦截功能
Soup's Blog
04-12 2637
前言: Shiro 安全框架是目前为止作为登录注册最常用的框架,因为它十分的强大简单,提供了认证,授权 ,加密和会话管理等功能。 我们项目的登录功能就集成了Shiro ,如果你也对Shiro感兴趣,一起随着小编看下去吧! Shiro 官网 :http://shiro.apache.org/ Apache Shiro 1.5.2是当前的稳定版本(Java 1.8+ JVM)。 概...
从代码分析shiro的登陆验证流程
远行的博客
03-27 262
功能: 认证,授权,加密,会话管理,,缓存。。。。 我的理解:什么是shiro,它就是一个基于cookie和session会话技术,采用mvc思想来完成用户的登陆注册和应用资源权限管理的安全框架。它的mvc三层模型分别是jsp/html 【v视图层】 realm【m模型层】 subject+securityManager【门面+管理=c=(控制层+业务层)】 shiro是一个...
shiro学习笔记.rar
10-06
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,...通过阅读和实践这份学习笔记,你将掌握Shiro的基本用法,以及如何在Spring Boot环境中有效地利用它来保障应用程序的安全。
shiro之记住登录信息
08-29
虽然 RememberMe 功能方便了用户,但也存在一定的安全性风险,因为长期有效的 Cookie 可能被恶意用户利用。因此,在敏感操作如查看订单或支付时,通常还需要重新验证用户身份,以确保当前操作者是真实的已认证用户...
shiro授权 shiro和企业项目整合开发
10-14
用户选择“记住我”后,Shiro 会生成一个长期的 token 存储在客户端(如 cookie),并在后续请求时自动进行身份验证。这个功能需谨慎使用,因为它降低了安全性。 以上就是关于 Shiro 授权、自定义 Realm、企业项目...
cookie丢失问题(认证失效) Authentication (用户验证信息)也会丢失
12-11
本文将探讨一种特定的问题,即在基于Cookie的认证系统中,由于特定的操作导致用户验证信息(Authentication)丢失,从而需要重新登录。这个问题主要涉及到JavaScript的window对象和浏览器的工作机制。 首先,我们要...
使用Shiro实现权限验证
m0_61083409的博客
08-28 1857
@Override//根据自己的需求编写获取授权信息,这里简化代码获取了用户对应的所有权限= null) {if (perms!= null &&!//将权限资源添加到用户信息中}}}}@Override// 通过表单接收的用户名,调用currentUser.login的时候执行= null &&!//查询密码= null) {}}}}...
shiro反序列化漏洞简述
m0_67392126的博客
08-24 524
首先,shiro处理cookie的流程是先得到rememberMe的cookie值,然后Base64解码,AES加密,最后反序列化。Apache Shiro是一款开源企业常见JAVA安全框架,此框架提供了RememberMe的功能,这是很多网站都具备的,例如你登录了一个网站,关掉浏览器再次打开网站时,网站会保留你的登录信息情况。先说结论:无论是否升级shiro到1.2.5及以上,如果shiro的rememberMe功能的AES密钥一旦泄露,就会导致反序列化漏洞。readObject()反序列化的内容可控。
Shiro】二、Apache Shiro验证功能的主要流程
KevinBrain的博客
04-01 282
一、Apache Shiro身份验证功能 Shiro框架旨在使身份验证尽可能简洁直观,同时提供丰富的功能。下面是Shiro身份验证功能的特点。 基于主体的-您在Shiro中所做的几乎所有操作都基于当前正在执行的用户,即主体。而且,您可以轻松地在代码中的任何位置检索主体。这使您可以更轻松地在您的应用程序中理解和使用Shiro。 单一方法调用-身份验证过程是单一方法调用。只需要一个方法调用就可以使API保持简单,并且您的应用程序代码干净,从而节省了时间和精力。 丰富的异常层次结构-S
shiro判断session是否失效_java:shiro应用篇——1
weixin_33109551的博客
01-21 1333
第十章 Springboot+Shiro+Jwt前后端分离鉴权1、前后端分离会话问题【1】问题追踪 前面我们实现分布式的会话缓存,但是我们发现此功能的实现是基于浏览的cookie机制,也就是说用户禁用cookie后,我们的系统会就会产生会话不同的问题【2】解决方案​ 我们的前端可能是web、Android、ios等应用,同时我们每一个接口都提供了无状态的应答方式,这里我们提供了基于JWT的toke...
Shiro中的session和cookie
qq_36816062的博客
11-26 2779
Shiro中的session和cookie 最近项目在整合Shiro框架,顺便深入学习了Shiro的session和cookie。 HTTP协议是无状态的,所以在web项目中一般都是通过session和cookie来保持浏览器和服务器之间的会话的。 shiro也是如此,当浏览器第一次请求服务器时,服务器会生成一个session,同时创建cookie,将sessionId保存在cookie中,cookie再作为响应头返回到浏览器并保存。这也就是我们常说的“cookie保存在客户端,session保存在服务器端
Java使用多线程导入数据到Oracle中
老王的IT博客
05-20 5732
Java使用多线程批量导入数据到Oracle中
shiro验证的流程
最新发布
08-30
Shiro 是一个强大的 Java 安全框架,用于身份验证、授权和加密等安全相关的操作。下面是 Shiro 验证的基本流程: 1. 配置 Shiro:首先,需要在项目中配置 Shiro。这包括定义 Shiro 的配置文件(shiro.ini 或 shiro.yml)和创建 Shiro 的主体(Subject)。 2. 获取当前用户的身份认证信息:在进行身份认证之前,需要获取当前用户的身份认证信息。这可以通过 Subject 对象来实现。 3. 提交身份认证请求:使用获取到的身份认证信息,通过调用 Subject 的 login(AuthenticationToken) 方法来提交身份认证请求。 4. 创建自定义的 AuthenticationToken 对象:身份认证请求需要一个 AuthenticationToken 对象,用于封装用户提交的身份信息。开发者可以自定义 AuthenticationToken,根据项目的需求来实现。 5. 执行身份认证:Shiro 将使用配置文件中定义的 Realm 来执行身份认证操作。Realm 是 Shiro 的核心组件,用于验证用户的身份和权限。在 Realm 中,可以通过重写 doGetAuthenticationInfo(AuthenticationToken) 方法来实现具体的身份认证逻辑。 6. 处理身份认证结果:根据身份认证的结果,Shiro 会返回一个 AuthenticationInfo 对象。如果身份认证成功,AuthenticationInfo 对象将包含用户的身份信息;如果身份认证失败,将抛出相应的异常。 7. 进行授权操作(可选):身份认证成功后,可以进行授权操作,即验证用户是否有权限执行某些操作。授权可以通过 Shiro 的注解或编程方式来实现。 以上就是 Shiro 验证的基本流程。根据具体的业务需求,可以进行进一步的配置和定制化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值