tomcat和shiro的关于session的问题

最新推荐文章于 2023-04-11 18:46:54 发布
最新推荐文章于 2023-04-11 18:46:54 发布
阅读量2.3k 收藏 2
点赞数 1
分类专栏: java开发 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wodediqizhang/article/details/89002702
版权

        tomcat重启之后,session不会失效,会将session保存在本地文件中。详见https://blog.csdn.net/li2054/article/details/78470072解决tomcat服务器重启之后session不失效的问题。
        所以在使用shiro的时候就出现了一个问题,调用的subject.isAuthenticated()方法的时候,会发现返回的是true。
项目是在subject.getSession的session中,把用户信息放在了session里。tomcat重启之后,session还在,subject也在,但是session里保存的数据已经没了。这样调用接口的时候校验登录是通过了,但是用户信息却没了。
    tomcat重启后,查询到的数据如下:
    subject:{"empty":false,"primaryPrincipal":"0400","realmNames":["com.hanshows.framework.security.AuthorizationRealmFilter_0"]}
    session:{"attributeKeys":["org.apache.shiro.subject.support.DefaultSubjectContext_AUTHENTICATED_SESSION_KEY","org.apache.shiro.web.session.HttpServletSession.HOST_SESSION_KEY","org.apache.shiro.subject.support.DefaultSubjectContext_PRINCIPALS_SESSION_KEY"],"host":"0:0:0:0:0:0:0:1","id":"C2B35F297FA10BDE940F07D238920FBA","lastAccessTime":1554257621367,"startTimestamp":1554257542547,"timeout":3600000}
        此时发现,session的attributeKeys只有DefaultSubjectContext_AUTHENTICATED_SESSION_KEY,而我们登陆时set的key已经没有了。说明tomcat只是保存了session的基本信息,我们自定义setAttribute的值不会保存。
    解决方案
    在shiro校验用户登录时,应该校验三步:
        1.查看subject是否存在,
        2.查看session是否存在
            session.getAttribute(myKey)存的值是否存在
        3.查看subject.isAuthenticated()是否为true,是否登录
    PS:本项目是使用了session.setAttribute(myKey,UserInfo);的方式存储用户信息。如果用户默认使用的shiro自带的用户存储配置passportObjs.getPrincipals();则不会出现文章的问题。
    PS2:shiro的subject.getSession和mvc的httpServletRequest的getSession是同一个,都是HttpSession。详见https://my.oschina.net/thinwonton/blog/979118

wodediqizhang
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
遇到问题--k8s-tomcat-部署的web项目session丢失shiro认证无效随机拦截
直到世界的尽头
08-28 1331
情况 最近把一个在服务器tomcat中运行的web项目 迁移到k8s中,发布成功后,遇到奇怪的现象,登录随机成功,查看页面时也会随机被拦截,表现为session失效,shiro的认证信息丢失。 登录或者点击页面,3次有1次成功,2次失败被拦截。 奇怪的是 该项目在 内测和测试的k8s环境中并没有出现这个情况,ingress代理跳转的规则和 项目代码都是一样的。 原因 经过排查,发现唯一的区别 内测和测试环境中,pod的数量为1,正式版的pod数量为2. 这样就能合理解释了 随机登录成功和失败的问题。 因为
基于spring redis的shiro session共享
05-27
shiro 框架没有用tomcatsession,而是重新实现了一套。所以系统一旦引入shiro后,采用传统的tomcat session共享机制是无效的,必须采用面向shirosession共享。 网上针对“shiro session共享”的文章比较多,...
nginx+tomcat shiro实现多tomcatsession共享
06-30
分布式nginx多tomcat shiro共享session
Spring+Shiro+Redis实现tomcat集群session共享问题
wangxiaolong的博客
11-25 1122
最近在spring中集成了shiro框架并用redis实现session共享,发现项目启动后运行时老是报错,信息如下: org.apache.shiro.session.UnknownSessionException: There is no session with id [xxxx]的问题,具体问题如下图: org.apache.shiro.session.UnknownSessionE...
tomcat重启依然保持session有效(登录状态)
Code-Create-World
04-17 9039
原理: 1、当tomcat--》stop server,tomcat会将内存中的session信息序列化到硬盘上  2、当tomcat再次重启时,若想session中的信息能够被序列化回来,也就是依然有效,那么session中保存的信息及其关联信息一定要实现序列化接口:java.io.Serializable       这有这样,即使tomcat重新启动了,session依然能够有
解决ShiroTomcat重启之后丢失登录信息
哈哈哈哈哈哈哈
08-11 3869
解决ShiroTomcat重启之后丢失登录信息 相关环境: Spring Boot + Shiro + Tomcat 在项目中遇到这样一个问题: 需要在后台修改某一项配置,该配置采用配置文件的形式,并通过Spring映射为配置Bean,现在需要修改配置文件能够控制前端界面显示。 要实现的目标有两个: 1.修改完配置文件后需要将新配置写入到配置文件。 2.配置立即生效。 在调试环境...
redis-tomcat67 session共享资源包
09-07
Redis 和 Tomcat Session 共享是一种常见的Web应用架构优化策略,尤其在分布式系统中,能够有效地解决Session数据的跨服务器同步问题。这个“redis-tomcat67 session共享资源包”提供了解决方案,适用于Tomcat 6和7...
Nginx+Tomcat+Redis实现session共享
03-10
Nginx+Tomcat+Redis实现session共享,通过Nginx作为前端的负载,把请求分发到后端的Tomcat服务器上,提高并发数;但是单纯的通过Nginx的ip_hash负载是很多问题的。只要用户一切换网络或者后端Tomcat主机宕机session就...
redis+tomcat共享session
11-26
标题中的“redis+tomcat共享session”涉及到的是在分布式系统中如何实现多个Tomcat服务器之间的会话(Session)共享问题。在传统的Web应用中,Session是服务器用来存储用户状态的关键手段,但当应用部署在多台服务器...
关于SSM整合项目用到ShiroTomcat报错的解决方式
An_person的博客
11-16 504
当我们使用ssm框架整合进行项目开发,使用Shiro作为安全验证管理,在web.xml中配置Shiro过滤器后 启动Tomcat会报错: Error during artifact deployment. See server log for details.此时我们可能会认为是项目布置错了,当然这种情况也存在 你可以重新配置Tomcat项目。 此时如果我们项目使用了Shiro 我们可以在web....
shiro获取session用户_apache shiro 获取在线用户 记录不下用户登录状态
weixin_39531992的博客
12-20 316
我的配置文件中如下:使用spring mvc 3后台代码:@Autowiredprivate SessionDAO sessionDAO;public Set getOnlineLoginNames(){Collection sessions = sessionDAO.getActiveSessions();Iterator it = sessions.iterator();Set loginNa...
shiro设置会话使用户重新登录验证后方可访问系统
qq_41630490的博客
08-15 272
shiro配置如下: 使用DefaultWebSessionManager,这个会话管理器会使用MemorySessionDAO对会话进行crud操作。设置会话剔除指定用户访问权限: AUTHENTICATED_SESSION_KEY记录用户是否验证通过,设置为false后,该用户下次发起请求时将被shiro重定向至shiro中设置的登录URL。之前试过通过删除会话以及设置极短的会话过期时间来触发重新认证,最终确定为该方法,这样服务端可以继续利用之前创建的会话而不用在用户重新登录时创建会话。 ...
shiro (java安全框架)
prettysunshine的博客
07-24 2981
shiro是干什么的: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。 为什么要学shiro?优势在哪? 既然shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 shiro使用广泛,shiro可以运行在web应用,非web应用,集群分布式应用中越来越多的用户开始使用...
解决shiro在没有注销的情况下重新登陆的问题
skyuck的专栏
03-24 1466
在使用shiro的时候遇到一个比较操蛋的问题,就是用户登陆之后一直后退,会后退到登陆界面,如果用户这个时候再输入用户名和密码进行登陆的时候shiro就会报一个错误。 具体原因是再执行登陆的时候会调用org.apache.shiro.web.filter.AccessControlFilter类里面的onPreHandle方法。 [img]http://dl2.iteye.com/upl...
Shiro 实现 Tomcat 集群的 Session 共享
liuningwcsdn的博客
04-04 1655
一、背景Session 共享有多种方案,之前写过《Spring Session 实现 Tomcat 集群的 Session 共享》 文章,功能实现起来非常简单和方便。最近在学习 Shiro 框架,Shiro 也提供了会话管理的功能。如果项目中选用 Shiro 作为权限控制的方案,同时项目又需要集群,那么可以自定义 sessionDAO 来实现 Session 共享。二、实现JDK:1.8容器:To...
Hibernate 二级缓存
chenbowenleave的博客
09-08 204
Hibernate 二级缓存 提高程序的性能 关系型数据库:数据与数据之间存在关系(联系)的数据库 mysql/Oracle、sqlserver 非关系型数据库:数据与数据之间是不存在关系的,key-value 1、基于文件存储的数据库:ehcache 2、基于内存存储的数据库:redis、memcache 3、基于文档存储的数据库:mongodb 什么样的数据需要缓存 很少被修改或根本不改的数据...
Shiro处理简单的身份验证的分析及实例
懒人的博客
03-02 9545
在两天在看Shiro,开涛兄的教程还是写的比较易读,差不多看了一天吧,就准备拿来用了。 可能是想的太简单了,在用的时候确实碰到一些问题,就拿最简单的身份验证来说吧: 需要说明的是,这里是集成在Spring中使用,身份验证我直接使用了Shiro提供的 org.apache.shiro.web.filter.authc.FormAuthenticationFilter 如果url应用了该拦截器,
shiro使用JSESSIONID获取用户信息和判断是否登陆
fuck487的博客
11-16 9481
原文:https://blog.csdn.net/zmken497300/article/details/52278913/ /** * 验证是否登陆 * * org.apache.shiro.subject.support.DefaultSubjectContext_AUTHENTICATED_SESSION_KEY ; true * org.apa...
shiro-根据JSESSIONID获取用户信息和判断是否登陆
会写Bug的攻城狮
04-11 801
shiro-根据JSESSIONID获取用户信息和判断是否登陆
shiro 修改session
最新发布
01-12
shiro 是一个用于身份验证、授权和会话管理的Java安全框架。在Shiro中修改会话(session)可以通过以下步骤实现: 1. 获取当前会话:可以使用Subject对象获取当前用户的会话,代码示例如下: ``` Subject current...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值