shiro多项目跳转用户身份失效问题排查

最新推荐文章于 2021-12-02 13:35:51 发布
最新推荐文章于 2021-12-02 13:35:51 发布
阅读量558 收藏 2
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wohaqiyi/article/details/105445582
版权

shiro多项目跳转用户身份失效问题排查

1. 身份失效问题

  最近在项目中遇到过一个问题,统一登录系统中有各个子系统的模块,可点击子系统模块进行跳转,如下图所示:
在这里插入图片描述
  如上图,当用户点击子系统B新窗口打开时,实现跳转成功,当再回到原统一登录系统页面,再点击子系统A或者子系统B,却报出用户失效类似的问题。

2. 问题原因分析

  经过浏览器F12排查接口请求头,发现一个问题,由于我们这次部署的多个项目,对外都同属一个外网ip下,对于前端来说F12中的Application中存储的cookie名,都为JESSIONID,为shiro默认的cookie名。
  显然是JESSIONID值被顶替了,如下图:
在这里插入图片描述
  下图是具体的前端浏览器在操作时的截图操作:
在这里插入图片描述
  如上图,初次访问时,已经有一个JESSIONID,对应的值为这个。如果后端不对cookie名进行设置,默认都会为JESSIONID。当系统正常使用,每一个请求都会在request_header里携带cookie值,传递给后台,后台通过设置的cookie名,即JESSIONID里取出cookie,验证session身份。
在这里插入图片描述
  当多个项目在同一个域下(前端对外访问只要在同一个ip下,都算作一个域),如果不进行设置,统一登录登录成功后,本来有自己的JESSIONID,当跳转子系统,恰巧子系统和统一登录同属一个域,并且子系统也是默认的JESSIONID值,就会用子系统的JESSIONID值冲掉前者的JESSIONID值,导致切换回统一登录点击另一个子系统时,会显示身份失效等问题。
  统一登录再次操作时,会使用子系统新的JESSIONID值发起请求,到统一登录服务,此时拿着子系统的钥匙去统一登录找身份,肯定失败。
  当然发生这种情况的时候,前提是统一登录和子系统访问地址同处一个ip下,如果不是这种情况,一般没有这个问题,但是实际部署的时候,发生这种情况还是很多的。

3. 问题解决办法

  问题找到了,解决办法就好找了,就是对统一登录和子系统的对应的cookie名,各自起一个,让它们不再冲突即可。
  对于shiro框架里,可以对cookie名进行设置,如下图所示,对应的SimpleCookie simpleCookie = new SimpleCookie("ynzl_cookie"),这里起名为ynzl_cookie即可。

 @Bean(name = {"sessionIdCookie"})
    public SimpleCookie getSessionIdCookie() {
        //sessionid名称,每个系统都必须不一致
        SimpleCookie simpleCookie = new SimpleCookie("ynzl_cookie");
        simpleCookie.setMaxAge(-1);
        simpleCookie.setHttpOnly(true);
        return simpleCookie;
}

  总之,用户失效的问题,基本有以下几种原因:

  1. 用户身份压根在第一次登录时,就没存储成功,锁都没了,钥匙再对也白搭了。
  2. cookie被重置了,就像本文的问题一样,钥匙被替换了,拧断手也是开不开的。
  3. 时效性,cookiesession的时间配置,也应该保证一定时间可用,如果太短,很容易就失效了。
茁壮成长的凌大大
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
遇到问题----shrio------shiro登录,多个项目session被覆盖问题---两个web项目会导致shiro的session污染
直到世界的尽头
03-08 1万+
情况遇到问题----shrio------shiro登录,多个项目session被覆盖问题---一个项目两个web模块会导致shiro的session污染表现为 我在同一台机子上部署了两个都使用了shiro管理的web项目。它们的访问路径除了端口不一样,ip是一样的。当两个系统同时访问时,在一个系统中操作之后另一个系统就会自动退出登录。但是 如果用域名访问就不会出现这个问题。原因web项目的ses
关于shiro中部分SpringCache失效问题的解决方法
08-27
"关于shiro中部分SpringCache失效问题的解决方法" 本文主要介绍了shiro中部分SpringCache失效问题的解决方法,通过示例代码详细介绍了问题的解决思路,具有较高的参考学习价值。 一、问题抛出 在使用Springboot和...
springboot+shiro 一个项目部署多个,session名冲突问题
小皮的博客
04-18 2058
springboot+shiro 一个项目部署多个,session名冲突问题 问题 前几天遇到一个比较奇怪的问题,一个项目部署多个,端口不同。启动之后在同一浏览器中进行登录,后一个登录的会把前一个登录的挤掉,导致只能登录一个。 原因 是因为sessionid相同,然后修改了springboot中sessionManager的相关配置,主要是...
两个不同springboot+shiro项目登录冲突
sq287197314的博客
06-21 4149
前几天遇到一个比较奇怪的问题,建了两个不同springboot+shiro项目,一个集成了cas单点登录,另一个是普通的登录。启动之后在同一浏览器中进行登录,后一个登录的会把前一个登录的挤掉,导致只能登录一个。一开始以为是有一个集成了单点登录的原因,把去掉之后,仍然有这个问题。在一个前辈的提醒下,发现可能是因为sessionid相同,然后修改了springboot中sessionManager的...
Springboot中使用Shiro进行权限控制,实现对不同身份使用者的分流
H_12306的博客
03-23 1173
emmm,权限控制中不仅需要不同对管理员身份的控制,还需要使用一套后台代码实现对不同身份(用户/管理员)的分流 部分代码如下: package com.swf.attence.controller; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.IncorrectCredentialsExcepti...
spring boot整合shiro没有权限时转到403页面
孤独的大佬
12-02 1408
shiro多验证登录代码实例及问题解决
08-25
Shiro 多验证登录是指在一个应用程序中使用多种身份验证方式来验证用户身份。本文将通过示例代码介绍 Shiro 多验证登录代码实例,并解决相关问题。 知识点一:Shiro 配置文件 在 Shiro 中,配置文件是非常重要的,...
springboot+mybatis+shiro用户权限管理项目
11-27
项目采用SpringBoot、MyBatis和Shiro框架构建了一个小型的用户权限管理系统,提供了全面的权限控制功能,包括对用户、角色和资源的管理。 SpringBoot作为核心框架,其主要优势在于简化了Spring应用的初始搭建以及...
spring shiro项目
01-02
在Spring Shiro项目中,我们可以利用Shiro的SessionManager和SessionDAO,将用户的会话状态保存在数据库中,从而实现多个应用服务器间的会话同步。 5. **DB控制地址拦截** 项目中提到的"可以通过DB控制地址拦截...
给予shiro项目
07-18
1. **Shiro身份验证**:Shiro提供了一种简单的方式来验证用户身份。它可以处理用户名/密码的输入,与数据库或其他身份存储进行比较,以确认用户身份Shiro支持多种认证策略,包括记住我(Remember Me)服务,允许...
shiro +springmvc无权限转到指定错误页面
热门推荐
IT 民工
09-08 1万+
shiro springmvc 整合时没有权限时转到指定错误页面,其实这个做法还适合捕获异常来转到指定页面。
shiro无权限,不转到指定页面。setUnauthorizedUrl无效
我是你妹她哥的博客
01-28 1万+
既上一篇博客,当用户在登陆之后,访问没有权限的页面时,没有转到指定页面,并且后台报错。我们之前在ShiroConfig中已经设置了无权限的转页面,那么为什么没起作用呢? 问题复现: org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method: public java.lang.String c...
如何使用Shiro实现不同用户登录成功后转到不同主页?
迷茫的小莱
09-05 1万+
0 如何使用Shiro实现不同用户登录成功后转到不同主页?10 Shiro配置文件中successUrl指定的页面只有一个:  Java代码   "shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">           "securityManager" r
shiro+SSM不同身份的用户退出到不同的登录页面
Architect_CSDN的博客
05-14 3769
1.在shiro文件中加入bean,类关联为org.apache.shiro.web.filter.authc.LogoutFilter,取名要和下面的对应,重定向的名字要和对应的一样<bean id="logoutFilter" class="org.apache.shiro.web.filter.authc.LogoutFilter"><property name="redi...
shiro关于权限问题的页面
言诺liang
12-04 5536
关于shiro权限控制异常的抓取及问题:如果用户登录没有所需的角色role或者所需的权限permission这时候应该抓取异常并转到异常提示页面一般我知道的三种处理方式。 1、直接在配置文件中配置shiro的web过滤器: <!-- Shiro的Web过滤器 --> <bean id="shiroFilter" class="org.apache.sh...
springboot+shiro使用权限注解问题_无法使用注解_使用注解无法转无权限页面
JieZhongBa的博客
10-03 605
环境 springboot:2.5.5 shiro:1.8.0 (shiro-spring-boot-web-starter) idea 常用注解 一些小问题 1. 无法使用权限注解 实测使用shiro-spring-boot-web-starter没有这个问题,其他版本可能遇到。 解决办法:shiro配置类中添加bean @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(Sec
Shiro框架针对不同登录界面和不同角色用户
weixin_42803027的博客
12-05 1万+
开发思路 最近,项目经理分配的一个任务是:要求根据不同角色身份的用户设计不用的登录界面,同时,用户不能跨登录界面登录。原话,我忘记了,意思是:比如,管理员只能用管理员登录界面登录,普通用户只能用普通用户登录界面的登录。因为,我们的项目,登录时,shiro会对请求进行拦截,并根据绑定的realm完成校验… …现在我就根据代码详细的说明,如果有说错的地方,希望能不吝赐教。 Filter 请求被au...
shiro授权角色、权限与Shiro的页面,注解式开发
清欢
11-09 152
<shiro:hasRole name="agent">    <li class="list-group-item"><i class="fa fa-group"></i> <b class="font-noraml">门店核销人员绑定链接:</b> <a target="_blank" th:href="'https
shiro用户登录和权限管理
weixin_30414305的博客
12-09 229
shiro能做什么? 登录验证:不是登录用户不能访问敏感资源,只有登录了才可以访问敏感资源权限验证:不同的用户账号登录成功之后,用户所使用的功能不同 类似的安全框架:1.spring security 功能完善,学习成本偏高2.shiro 学习成本低,简单的安全框架,基本功能存在(登录认证,权限认证)3.spring mvc interceptor(拦截器) 只能做登录认证,不能做权...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

茁壮成长的凌大大

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值