关于shiro session失效报错问题

最新推荐文章于 2024-06-01 15:23:13 发布
最新推荐文章于 2024-06-01 15:23:13 发布
阅读量4.5w 收藏 11
点赞数 23
分类专栏: 业务场景 文章标签: session shiro 异常
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeyincai/article/details/47254173
版权

最近做了一个项目,要用到shiro,做完之后发现有个异常经常发生org.apache.shiro.session.UnknownSessionException: There is no session with id ,经过多天的研究,终于得以解决


登录的时候异常信息:

org.apache.shiro.session.UnknownSessionException: There is no session with id [4e8fe40a-6347-4c53-b273-829889656f6e]
	at org.apache.shiro.session.mgt.eis.AbstractSessionDAO.readSession(AbstractSessionDAO.java:170)[251:org.apache.shiro.core:1.2.3]
	at org.apache.shiro.session.mgt.DefaultSessionManager.retrieveSessionFromDataSource(DefaultSessionManager.java:236)[251:org.apache.shiro.core:1.2.3]
	at org.apache.shiro.session.mgt.DefaultSessionManager.retrieveSession(DefaultSessionManager.java:222)[251:org.apache.shiro.core:1.2.3]
	at org.apache.shiro.session.mgt.AbstractValidatingSessionManager.doGetSession(AbstractValidatingSessionManager.java:118)[251:org.apache.shiro.core:1.2.3]
	at org.apache.shiro.session.mgt.AbstractNativeSessionManager.lookupSession(AbstractNativeSessionManager.java:108)[251:org.apache.shiro.core:1.2.3]
	at org.apache.shiro.session.mgt.AbstractNativeSessionManager.lookupRequiredSession(AbstractNativeSessionManager.java:112)[251:org.apache.shiro.core:1.2.3]
	at org.apache.shiro.session.mgt.AbstractNativeSessionManager.getAttribute(AbstractNativeSessionManager.java:209)[251:org.apache.shiro.core:1.2.3]
	at org.apache.shiro.session.mgt.DelegatingSession.getAttribute(DelegatingSession.java:141)[251:org.apache.shiro.core:1.2.3]
	at org.apache.shiro.session.ProxiedSession.getAttribute(ProxiedSession.java:121)[251:org.apache.shiro.core:1.2.3]
	at org.apache.shiro.session.ProxiedSession.getAttribute(ProxiedSession.java:121)[251:org.apache.shiro.core:1.2.3]
	at org.apache.shiro.subject.support.DelegatingSubject.getRunAsPrincipalsStack(DelegatingSubject.java:469)[251:org.apache.shiro.core:1.2.3]
	at org.apache.shiro.subject.support.DelegatingSubject.getPrincipals(DelegatingSubject.java:153)[251:org.apache.shiro.core:1.2.3]
	at org.apache.shiro.subject.support.DelegatingSubject.getPrincipal(DelegatingSubject.java:149)[251:org.apache.shiro.core:1.2.3]

为何找不到呢,原因是这样的。

当用户登录的时候,web容器tomcat或者jetty会在线程池里面启用线程调度,线程里面找到对应的servlet,shiro登录的时候代码如下

<span style="white-space:pre">	</span>Subject currentUser = SecurityUtils.getSubject();
        
        String sessionId = "";

        if (!currentUser.isAuthenticated()) {
              UsernamePasswordToken token = new UsernamePasswordToken(username, DigestUtils.md5Hex(passwd));
              token.setRememberMe(true);
              currentUser.login(token);
         }


方法SecurityUtils.getSubject()源码是这样

public static Subject getSubject() {
        Subject subject = ThreadContext.getSubject();
        if (subject == null) {
            subject = (new Subject.Builder()).buildSubject();
            ThreadContext.bind(subject);
        }
        return subject;
}


我们清楚的看到subject是从ThreadContext获取,创建过就直接从里面获取,没有创建的话就重新创建一个subject,然后绑定到ThreadContext,调用subject获取session的时候,他会去创建一个session,并且把session缓存起来,操作方法是在AbstractSessionDAO类里面,跟踪得知这里放的是subject的代理对象。如果session超时时间设置过短的话,在用户登录的时候,随着web容器分配的线程,很大的机会会分配之前的线程,而之前的线程绑定过了subject,subject没有失效,subejct对象里面的session也没有什么问题,但是session缓存里面的session失效了,用户登录的时候执行到currentuser.login(token)这个方法,他拿着之前的session,那后要去缓存里面读取,但是已经失效了,所以会报上面那个异常。


问题就是出现在这里,subject绑定到thread上下文里面,subject对象的session是个代理对象,正真的session是放在缓存里面,web容器随机分配的线程有可能绑定过subject,一旦session失效,就会报错。


解决的办法是在shiro去读取session之前判断有没有失效,如果失效移除ThreadContext里面的subject,并且删除缓存里面的session,代码如下

@Override
    public String login(String username, String passwd) {
        
        Subject currentUser = SecurityUtils.getSubject();
        //提前1秒去判断   防止这个if没进  等执行下面的时候它却失效了  <span style="font-family: Arial, Helvetica, sans-serif;">lengthenTimeOut是失效时间</span>

        if((System.currentTimeMillis()-currentUser.getSession().getStartTimestamp().getTime())>=lengthenTimeOut-1000){
            ThreadContext.remove(ThreadContext.SUBJECT_KEY);//移除线程里面的subject
            shiroSessionManager.getSessionDAO().delete(currentUser.getSession());//移除失效的session
            currentUser = SecurityUtils.getSubject();//重新获取subject
        }
        
        String sessionId = "";

        try {
            if (!currentUser.isAuthenticated()) {
                UsernamePasswordToken token = new UsernamePasswordToken(username, DigestUtils.md5Hex(passwd));
                token.setRememberMe(true);
                currentUser.login(token);
            }
           
            sessionId = currentUser.getSession().getId().toString();
            

        } catch (ExcessiveAttemptsException ex) {
            log.info(username + "帐号被锁定1小时!", ex);
        } catch (UnknownAccountException uae) {
            log.info(username + "账户不存在!", uae);
        } catch (IncorrectCredentialsException ice) {
            log.info(username + "密码不正确!", ice);
        } catch (LockedAccountException lae) {
            log.info(username + "账户被禁了!", lae);
        } catch (AuthenticationException ae) {
            log.info(username + "用户名或密码错误!", ae);
        } catch (UnknownSessionException ue) {
            log.info("登录session失效" + sessionId, ue);
            
        }

        log.info("登录成功返回的sessionId+++++++++++++" + sessionId);
        return sessionId;
    }






空杯沏
关注
专栏目录
Spring Boot + Shiro 实现 Session 持久化实现思路及遗留问题
DN金猿的博客
07-23 225
从这个角度而言,我们可以通过 Session 监听器监听 Session 创建销毁,属性变更,并将所有创建的SessionId 存储起来,当要踢出某个用户时,用户的Request请求到来时判断Request中SessionId是否一致,一致的话令Session失效,从而实现这个功能!6、上图显示,我们可以拿到所有获得的session,并且内部用户信息无误,此时我们只需要将上述代码中的(1)、(2)打开在完全遵守Shiro的应用规则下理应可以删除对应用户!在用户基础服务中,需要实现删除用户功能。
解决shiro定时检测session报错:NoSuchMethodError: redis.clients.jedis.ScanResult.getStringCursor()
最新发布
DN金猿的博客
07-23 61
由于,redis 和ehcache 本身设置了过期时间,过期之后 session 便从 redis 或者ehcache 里面删除,因此 onExpiration 过期之后此方法永远不会被调用到。springboot项目集成shiro,配置了开启session有效性定时检测,检测时会报错,而且用户登出时redis中的session缓存并没有删除。shiro配置session失效时间,没有引用shiro-quartz ,采用默认的。由于 Shiro-redis 已经不再维护了,那么只能手动引入 jedis的。
关于shiro session失效报错问题
free的博客
12-21 1万+
如果遇到以下错误:org.apache.shiro.session.ExpiredSessionException: Session with id [5a8cb52b-e911-4ab7-91e1-11a11bb7c3a0] has expired. Last access time: 16-12-14 上午11:21. Current time: 16-12-14 上午11:24. Sess
shiro判断session是否失效_java:shiro应用篇——1
weixin_33109551的博客
01-21 1388
第十章 Springboot+Shiro+Jwt前后端分离鉴权1、前后端分离会话问题【1】问题追踪 前面我们实现分布式的会话缓存,但是我们发现此功能的实现是基于浏览的cookie机制,也就是说用户禁用cookie后,我们的系统会就会产生会话不同的问题【2】解决方案​ 我们的前端可能是web、Android、ios等应用,同时我们每一个接口都提供了无状态的应答方式,这里我们提供了基于JWT的toke...
解决org.apache.shiro.session.UnknownSessionException: There is no session with id的问题
Realize My Dream
07-27 2350
一、背景   最近在整合了Spring+Shiro+Redis实现tomcat集群session共享问题之后,发布以后运行以后发现老是会出现:org.apache.shiro.session.UnknownSessionException: There is no session with id [xxxx]的问题,具体问题如下截图: 二、出现这个问题的原因   只所以出现这...
apache shiro版本查看_浅谈Apache 安全框架Shiro(十)——会话管理
weixin_39680208的博客
11-26 933
会话管理Shiro 提供了完整的企业级会话管理功能,不依赖于底层容器(如 web 容器 tomcat),不管 JavaSE 还是 JavaEE 环境都可以使用,提供了会话管理、会话事件监听、会话存储 / 持久化、容器无关的集群、失效 / 过期支持、对 Web 的透明支持、SSO 单点登录的支持等特性。即直接使用 Shiro 的会话管理可以直接替换如 Web 容器的会话管理。会话所谓会话,即用户访问...
SpringBoot + Shiro登出源码解析
xulifeng1199的博客
12-15 284
项目里面配置shiro退出的url为filterChainDefinitionMap.put("/logout",“logout”),最终会调用到org.apache.shiro.subject.support.DelegatingSubject 的logout方法,截图如下: 接着调用了org.apache.shiro.web.mgt.DefaultWebSecurityManager的logout方法,方法截图如下: 首先调用了beforeLogout方法,该方法判断项目里面是否配置了记住我的功能
解决org.apache.shiro.session.UnknownSessionException: There is no session with id的问题(转)
热门推荐
一棵小树
09-19 2万+
解决org.apache.shiro.session.UnknownSessionException: There is no session with id的问题
shiro中如何检测session失效、退出等事件
m0_67401746的博客
04-07 2468
shiro中如何检测session失效、退出等事件 前言 我们知道shiro是一个优秀的web权限管理的优秀框架,shiro中实现了对用户登录、资源访问控制等功能,使用shiro能够让我们的应用web系统更加安全,同时降低了自己开发一套权限管理系统的代价;本篇文章想向读者介绍的是我们如何在使用shiro框架时,实现对用户session登录、登出等事件的监听,以便应用系统更好的实现对用户事件的管理。 一、shiro中的session是什么? 首先我们要明确shiro中的session和传统的httpSessi
springboot2+shiro json接口形式处理登录过期重定向https访问是跳转http报错问题
08-16 1934
最近开发一个小项目采用springboot2+shiro前后端分离的方式进行。由于访问使用https证书形式。结果在上线时遇到登录信息过期后shiro设置的跳转接口时重定向为http。从而https访问http报错。网上找了很多都没有一个很好的解决办法。 一开始想通过redirectHttp10Compatible:解决https环境下使用redirect重定向地址变为http...
解决session退出、失效后前端ajax请求被shiro拦截器拦截未能跳转重定向到登录页面问题
zf786115的博客
12-21 736
解决session退出、失效后前端ajax请求被shiro拦截器拦截未能跳转重定向到登录页面问题 创建js,加入引用即可。状态包括parsererror、error、success。 $.ajaxSetup({ complete:function(XMLHttpRequest,textStatus){ if(textStatus=="parsererror"){ location.href = "
SpringBoot + Shiro导致 @Transactional 事务 和 @Async 多线程 失效问题
weixin_42322445的博客
04-13 1428
我们使用的 mongoD B4.0副本集 ,正常是支持事务操作的,但是开发运维两年 ,某一次发生异常但是事务并没有回滚,导致数据对不上,意识到需要验证下事务是否还生效,单元测试验证 @Transactional 并未生效,查找原因,一开始以为是mongo的问题,但是两年前开始使用mongo就验证过了事务,一开始网络上找的答案都是如何配置,并未有效果,后来创建了个简单的项目,只引入相同版本spring data mongo 依赖事务生效,同时 @Async 线程异步 也生效。 同时对比了两个项目的输出日志 发
Shiro提示org.apache.shiro.session.UnknownSessionException: There is no session with id的问题
夜白丶的博客
01-08 1174
Shiro报错
shiro多线程导致org.apache.shiro.session.UnknownSessionException: There is no session with id
weixin_43205308的博客
04-07 1894
shiro配置了以下内容还是报了第一次执行多线程任务成功,退出登录再执行,则报了。
Shiro报错org.apache.shiro.session.UnknownSessionException: There is no session with id
Pruett的博客
11-11 3386
错误信息 5:59:12.430 [http-nio-8080-exec-19] DEBUG o.a.shiro.mgt.DefaultSecurityManager - Resolved SubjectContext context session is invalid. Ignoring and creating an anonymous (session-less) Subject ins...
org.apache.shiro.session.UnknownSessionException: There is no session with id
weixin_43170297的博客
04-22 1870
具体报错信息: org.apache.shiro.session.UnknownSessionException: There is no session with id [fb9d262c-644b-4887-a0ba-83430ee2cd19] at org.apache.shiro.session.mgt.eis.AbstractSessionDAO.readSession(Abstrac...
Shiro用ehcache缓存session,关于JSESSIONID失效报错问题
蔡梦缘的博客
09-13 2万+
Shiro用ehcache缓存session,关于JSESSIONID失效报错问题
org.apache.shiro.session.UnknownSessionException: There is no session with id [77832ac1-4dbd-4b19-8e
qq_33240556的博客
06-01 540
确保在Shiro设置中正确配置了会话管理,包括任何自定义的会话ID Cookie设置或会话存储配置(例如使用EhCache、Redis或数据库)。:在分布式环境中,如果会话复制或集群配置不正确,可能会导致会话在一个服务器上可用而在处理请求的另一服务器上不可用。:如果会话ID被人为修改或生成有误,它将不会对应于Shiro存储中的任何有效会话。:由于长时间未活动或已达到Shiro配置中的最大会话超时时间,会话可能已经过期。:会话存储机制(如缓存、数据库等)的配置不正确可能导致会话未被正确存储或检索。
org.apache.shiro.session.UnknownSessionException: There is no session with id[xx]
sprs的博客
12-29 7009
问题背景: 借鉴开涛的shiro教程,自己动手实验下,关于第16章,使用的框架是shiro+spring MVC+maybatis,一启动就直接抛这个异常。 解决办法: 1, 配置文件 中关于Bean:securityManager中property为sessionManager注释掉即可。(不可取) 2, 因sessionManager受CacheManager,而项
shiro判断session失效
06-10
Shiro 中,可以通过检查 `Session` 对象是否为 `null` 来判断当前用户的 `Session` 是否已经失效。可以使用 `Subject` 对象获取当前用户的 `Session`,然后进行判断,示例代码如下: ```java Subject current...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值