SpringBoot + Shiro登出源码解析

最新推荐文章于 2023-02-23 18:18:30 发布
最新推荐文章于 2023-02-23 18:18:30 发布
阅读量269 收藏
点赞数 1
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xulifeng1199/article/details/111192798
版权

项目里面配置shiro退出的url为filterChainDefinitionMap.put("/logout",“logout”),最终会调用到org.apache.shiro.subject.support.DelegatingSubject
的logout方法,截图如下:
在这里插入图片描述
接着调用了org.apache.shiro.web.mgt.DefaultWebSecurityManager的logout方法,方法截图如下:
在这里插入图片描述
在这里插入图片描述
首先调用了beforeLogout方法,该方法判断项目里面是否配置了记住我的功能,如果配置了需要告诉浏览器删除存在的Cookie,截图如下:
在这里插入图片描述
先从DefaultWebSecurityManager对象成员对象获取CookieRememberMeManager对象,如果不为空,调用CookieRememberMeManager对象的onLogout方法
最终调用到SimpleCookie的removeFrom方法,截图如下:
在这里插入图片描述
最重要的是设置Cookie的maxAge属性为0,表示要删除浏览器存在的Cookie,然后构建了一个变量headerValue,添加到response对象返回给浏览器,此方法执行
完成返回到DefaultWebSecurityManager的logout方法

获取代表当前对象登录信息的对象PrincipalCollection对象,判断如果不为空,接着调用ModularRealmAuthenticator.onLogout方法,进行事件通知,回调AuthenticationListener
实现类的onLogout方法,查找所有注册了的Realm实现类,方法截图如下:
在这里插入图片描述
获取自定义的Realm一般都是继承自AuthorizingRealm而AuthorizingRealm间接实现了LogoutAware接口,所以对于登出时的自定义操作. 我们可以选择在自定义Realm中通过覆写onLogout来完成。
如果没有复写onLogout则调用父类方法清除用户信息。
接着调用DefaultWebSecurityManager对象的delete方法,最终调用到DefaultSubjectDAO对象的removeFromSession方法,截图如下:
在这里插入图片描述
首先获取session,然后移除session对象代表用户是否认证的key,该key是DefaultSubjectContext.class.getName() + “_AUTHENTICATED_SESSION_KEY”,
之后移除session对象代表用户信息的key,该key是DefaultSubjectContext.class.getName() + “_PRINCIPALS_SESSION_KEY”,至此delete方法执行完成。
最终回到DefaultWebSecurityManager对象的logout方法,进入finally代码块,执行stopSession, 停止session; 调用Shiro自身定义的Session接口的stop方法进行后续session的操作。
总结:shiro退出方法是返回浏览器一个Cookie过期的时间为maxAge=0,删除了浏览器的记住我的Cookie,删除已经登录用户的用户信息,删除session中保存用户认证和登录信息的key值。

xulifeng1199
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
springboot+shiro+layuimini实现后台管理系统的权限控制
shiro中如何检测session失效、退出等事件
m0_67401746的博客
04-07 2351
shiro中如何检测session失效、退出等事件 前言 我们知道shiro是一个优秀的web权限管理的优秀框架,shiro中实现了对用户登录、资源访问控制等功能,使用shiro能够让我们的应用web系统更加安全,同时降低了自己开发一套权限管理系统的代价;本篇文章想向读者介绍的是我们如何在使用shiro框架时,实现对用户session登录、登出等事件的监听,以便应用系统更好的实现对用户事件的管理。 一、shiro中的session是什么? 首先我们要明确shiro中的session和传统的httpSessi
shiro判断session失效_Shiro简介及与spring集成
weixin_35958783的博客
01-25 1056
1、权限基础两个基本的概念——安全实体:就是被权限系统保护的对象,比如工资数据。——权限:就是需要被校验的行为,比如查看、修改等。分配权限:——把对某些安全实体的某些权限分配给某些人员。——是向数据库里面添加数据、或是维护数据的过程权限验证(权限匹配):——判断某个人员或程序对某个安全实体是否拥有某个或某些权限。——从数据库中获取相应数据进行匹配的过程。权限的继承性:如果多个安全实体存在包含关系,...
shiro判断session是否失效_javashiro应用篇——1
weixin_33109551的博客
01-21 1297
第十章 Springboot+Shiro+Jwt前后端分离鉴权1、前后端分离会话问题【1】问题追踪 前面我们实现分布式的会话缓存,但是我们发现此功能的实现是基于浏览的cookie机制,也就是说用户禁用cookie后,我们的系统会就会产生会话不同的问题【2】解决方案​ 我们的前端可能是web、Android、ios等应用,同时我们每一个接口都提供了无状态的应答方式,这里我们提供了基于JWT的toke...
Shiro过滤器Filter的实战使用
a1498665771的博客
02-23 1357
Shiro过滤器Filter的实战使用
shiro安全框架
asmall_cat的博客
04-10 1082
shiro安全框架
Springboot+shiro单点登录实现.md
09-15
Springboot+shiro单点登录实现,本文档是单点登录的全部源代码。
springboot +shiro+redis实现session共享(方案二)1
08-08
springboot +shiro+redis实现session共享(方案二)1
springboot+shiro+redis整合
03-12
springboot 整合shiro的认证,redis实现session共享案例
基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip
最新发布
01-08
1、基于springboot+shiro+jwt+vue+redis的后台管理系统源码.zip 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料...
apache shiro版本查看_浅谈Apache 安全框架Shiro(十)——会话管理
weixin_39680208的博客
11-26 912
会话管理Shiro 提供了完整的企业级会话管理功能,不依赖于底层容器(如 web 容器 tomcat),不管 JavaSE 还是 JavaEE 环境都可以使用,提供了会话管理、会话事件监听、会话存储 / 持久化、容器无关的集群、失效 / 过期支持、对 Web 的透明支持、SSO 单点登录的支持等特性。即直接使用 Shiro 的会话管理可以直接替换如 Web 容器的会话管理。会话所谓会话,即用户访问...
Java服务有登陆界面时,postMan调用接口会显示跳转登陆界面
Zoe_YuZu的博客
12-24 2263
需要在服务里添加Shiro过滤器配置 /** * Shiro过滤器配置 */ @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilt...
FilterChainDefinitionMap_参数说明
maqingbin8888的专栏
10-02 4万+
其实就是构造一个Map<String,String> 通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[perm...
shiro讲解,以及SpringBoot微框架集成shiro完成登录拦截器功能。
听风动的博客
04-02 1215
一:shiro是什么? 1.shiro是什么 shiro是apache开源组织开发的一套开源的安全(权限)框架,跨语言跨平台,能在B/S架构上运行,也能在C/S架构上运行。 2.shiro与传统权限的区别 shiro是对传统的五表权限进行了封装,shiro把用户的认证(登录)和授权(用户赋权限)功能进行了封装处理,使权限操作更加简便,shiro需要传统五表权限来维护用户 角色 权限...
Shiro 关于校验Session过期、有效性的设计概念
07-11 938
核心行为 开启Session校验调度任务、校验所有的session、具体的Session自我校验、关闭Session校验调度任务 核心类 ValidatingSessionManager、SessionValidationScheduler、ValidatingSession ValidatingSessionManager的行为 public interface Vali...
ajax判断session失效,shiro-ajax请求 session失效问题解决
weixin_36370851的博客
08-05 358
二、思路1、分析原因由于session失效问题,导致shiro会路径指向登陆页面,因为用了jquery的load()所以页面就被嵌入到了父图层中2、解决事后处理(js),事前处理(拦截器)三、解决1、前端 + 后端后端:监控sesson是否失效,失效了,再判断是否是ajax请求,如果是则设置一个timeout的状态。告诉前端。publicclassSessionFilterimplement...
关于shiro session失效报错问题
热门推荐
小牛的成长史
08-03 4万+
最近做了一个项目,要用到shiro,做完之后发现有个异常经常发生,经过多天的研究,终于得以解决 登录的时候异常信息: org.apache.shiro.session.UnknownSessionException: There is no session with id [4e8fe40a-6347-4c53-b273-829889656f6e] at org.apache.shi
shiro判断session是否失效_SpringBoot + Shiro登出源码解析
05-26
Shiro中,判断session是否失效可以通过以下代码实现: ```java Subject subject = SecurityUtils.getSubject(); if (subject != null) { Session session = subject.getSession(false); if (session == null) { // session已经失效 } } ``` 上述代码中,首先通过`SecurityUtils.getSubject()`获取`Subject`对象,再通过`subject.getSession(false)`获取当前用户的`Session`对象,如果返回值为`null`,则表示`Session`已经失效。 当然,也可以通过在Shiro配置文件中配置`sessionManager`,设置`sessionValidationSchedulerEnabled`参数为`true`,开启Shiro的`Session`定期检查功能,实现自动检测`Session`是否失效。 另外,在Spring Boot中集成Shiro时,可以通过实现`SessionListener`接口,监听`Session`的创建、销毁和过期事件,并在事件触发时执行相应的操作。具体可参考以下代码示例: ```java @Component public class MySessionListener implements SessionListener { @Override public void onStart(Session session) { // Session创建时触发 } @Override public void onStop(Session session) { // Session销毁时触发 } @Override public void onExpiration(Session session) { // Session过期时触发 } } ``` 在以上代码中,实现了`SessionListener`接口,并在各个方法中编写相应的操作代码,以实现对`Session`的监听。最后,在Spring Boot配置文件中配置`shiro.sessionListeners`参数,将自定义的`SessionListener`注册到Shiro中即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值