第十三章 RememberMe

最新推荐文章于 2021-07-01 11:59:20 发布
最新推荐文章于 2021-07-01 11:59:20 发布
阅读量540 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yifanSJ/article/details/78074124
版权

跟我学Shiro第13章Demo(RememberMe)


Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下:

1、首先在登录页面选中RememberMe 然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie 写到客户端并保存下来;

2、关闭浏览器再重新打开;会发现浏览器还是记住你的;

3、访问一般的网页服务器端还是知道你是谁,且能正常访问;

4、但是比如我们访问淘宝时,如果要查看我的订单或进行支付时,此时还是需要再进行身份认证的,以确保当前用户还是你。

RememberMe 配置

spring-shiro-web.xml配置:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context"
	xmlns:aop="http://www.springframework.org/schema/aop" xmlns:util="http://www.springframework.org/schema/util"
	xmlns:tx="http://www.springframework.org/schema/tx" xmlns:task="http://www.springframework.org/schema/task"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-3.0.xsd
           http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.0.xsd
           http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.0.xsd
           http://www.springframework.org/schema/task http://www.springframework.org/schema/task/spring-task-3.0.xsd
           http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-3.0.xsd"
	default-autowire="byName" default-lazy-init="false">
	
	<!-- 缓存管理器,使用Ehcache实现 -->
	<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
		<property name="cacheManager" ref="ehCacheManager"></property>
	</bean>
	<bean id="ehCacheManager" class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean">
		<property name="configLocation" value="classpath:ehcache.xml"></property>
		<property name="shared" value="true"></property>
	</bean>
	
	<!-- 凭证匹配器(注入缓存管理器!!!!!) -->
	<bean id="credentialsMatcher" class="credentials.RetryLimitHashedCredentialsMatcher">
		<!-- 缓存管理器 -->
		<constructor-arg ref="cacheManager"/>
		<!-- 加密方式 -->
		<property name="hashAlgorithmName" value="md5"/>
		<!-- 循环次数 -->
		<property name="hashIterations" value="2"/>
		<!-- 是否存储散列后的密码为16进制,需要和生成密码时的一样,默认是base64 -->
		<property name="storedCredentialsHexEncoded" value="true"/>
	</bean>
	
	<!-- Realm实现(加入凭证匹配器——已注入缓存管理器!!!!!)  -->
	<bean id="userRealm" class="realm.UserRealm">
		<property name="userService" ref="userService"/>
		<property name="credentialsMatcher" ref="credentialsMatcher"/>
		<!-- 启用缓存 -->
		<property name="cachingEnabled" value="true"/>
		<!-- 启用身份验证缓存,即缓存AuthenticationInfo信息 -->
		<property name="authenticationCachingEnabled" value="true"/>
		<!-- 缓存AuthenticationInfo信息的缓存名称 -->
		<property name="authenticationCacheName" value="authenticationCache"/>
		<!-- 启用授权缓存,即缓存AuthorizationInfo信息 -->
		<property name="authorizationCachingEnabled" value="true"/>
		<!-- 缓存AuthorizationInfo信息的缓存名称 -->
		<property name="authorizationCacheName" value="authorizationCache"/>
	</bean>
	
	<!-- 会话ID生成器 -->
	<bean id="sessionIdGenerator" class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator"/>
	
	<!-- -Remember Me Start- -->
	
	<!-- 会话Cookie模板,用于生产Session ID Cookie的模板 -->
	<bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
		<constructor-arg value="sid"/>
		<!-- cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击, -->
		<property name="httpOnly" value="true"/>
		<!-- 默认记住50个小时(单位:秒) -->
		<!-- maxAge等于-1表示浏览器关闭时失效此Cookie!!!!!!(RememberMe) -->
		<property name="maxAge" value="-1"/>
	</bean>
	
	<!-- rememberMeCookie:即记住我的Cookie,保存时长30天 -->
	<bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
		<constructor-arg value="rememberMe"/>
		<property name="httpOnly" value="true"></property>
		<property name="maxAge" value="2592000"></property><!-- 30天 -->
	</bean>
	
	<!-- rememberMe管理器:cipherKey是加密rememberMe Cookie的密钥;默认AES算法; -->
	<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
		<property name="cipherKey" value="#{T(org.apache.shiro.codec.Base64).decode('4AvVhmFLUs0KTA3Kprsdag==')}"/>
		<property name="cookie" ref="rememberMeCookie"></property>
	</bean>
	
	<!-- -Remember Me Over- -->
	
	<!-- 会话DAO,负责缓存功能的CRUD -->
	<bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO">
		<!-- 存放在ehcache的shiro-activeSessionCache缓存片区 -->
		<property name="activeSessionsCacheName" value="shiro-activeSessionCache"/>
		<property name="sessionIdGenerator" ref="sessionIdGenerator"/>
	</bean>
	
	<!-- 会话管理器,用于web环境的DefaultWebSessionManager -->
	<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
		<!-- 设置会话的全局过期时间(毫秒为单位),默认30分钟 -->
		<property name="globalSessionTimeout" value="1800000"></property>
		<!-- 会话过期时不想删除过期的会话 -->
		<property name="deleteInvalidSessions" value="true"></property>
		<!-- 是否开启会话验证器,默认是开启的 -->
		<property name="sessionValidationSchedulerEnabled" value="true"></property>
		<!-- 设置会话验证调度器,默认就是使用ExecutorServiceSessionValidationScheduler -->
		<property name="sessionValidationScheduler" ref="sessionValidationScheduler"></property>
		<property name="sessionDAO" ref="sessionDAO"></property>
		<!-- 
			是否启用/禁用Session Id Cookie,默认是启用的;
			如果禁用后将不会设置Session Id Cookie,即默认使用了Servlet容器的JSESSIONID,
			且通过URL重写(URL中的“;JSESSIONID=id”部分)保存Session Id。 
		-->
		<property name="sessionIdCookieEnabled" value="true"></property>
		<property name="sessionIdCookie" ref="sessionIdCookie"/>
	</bean>
	
	<!-- 会话验证调度器,定期验证会话是否已过期 -->
	<bean id="sessionValidationScheduler" class="org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler">
		<!-- 间隔多长时间验证一次,毫秒为单位 -->
		<property name="sessionValidationInterval" value="1800000"></property>
		<property name="sessionManager" ref="sessionManager"></property>
	</bean>
	
	<!-- 安全管理器,用于web环境的DefaultWebSecurityManager -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realms" ref="userRealm"></property>
		<property name="sessionManager" ref="sessionManager"></property>
		<property name="cacheManager" ref="cacheManager"></property>
		<!-- 设置securityManager安全管理器的rememberMeManager; -->
		<property name="rememberMeManager" ref="rememberMeManager"></property>
	</bean>
	
	<!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) -->
	<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
		<property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"></property>
		<property name="arguments" ref="securityManager"></property>
	</bean>
	
	<!-- 基于Form表单的身份验证过滤器 -->
	<!-- 
		authc 是org.apache.shiro.web.filter.authc.FormAuthenticationFilter 类型的实例,其用于实现基于表单的身份验证;
		通过loginUrl指定当身份验证时的登录表单;
		usernameParam指定登录表单提交的用户名参数名;
		passwordParam指定登录表单提交的密码参数名;
		successUrl指定登录成功后重定向的默认地址(默认是“/”)(如果有上一个地址会自动重定向带该地址);
		failureKeyAttribute指定登录失败时的request属性key(默认shiroLoginFailure);这样可以在登录表单得到该错误key显示相应的错误消息;
	-->
	<bean id="formAuthenticationFilter" class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
		<!-- 登录表单的用户名参数名 -->
		<property name="usernameParam" value="username"></property>
		<!-- 登录表单提交的密码参数名 -->
		<property name="passwordParam" value="password"></property>
		<!-- 指定当身份验证时的登录表单 -->
		<property name="loginUrl" value="/login.jsp"></property>
		<!-- rememberMeParam即rememberMe请求参数名,请求参数是boolean类型,true表示rememberMe -->
		<property name="rememberMeParam" value="rememberMe"></property>
	</bean>
	
	<!-- Shiro的Web过滤器 -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager"></property>
		<property name="loginUrl" value="/login.jsp"></property>
		<property name="unauthorizedUrl" value="/unauthorized.jsp"></property>
		<property name="filters">
			<util:map>
				<entry key="authc" value-ref="formAuthenticationFilter"></entry>
			</util:map>
		</property>
		<property name="filterChainDefinitions">
			<!-- 
				/authenticated.jsp = authc:表示访问该地址用户必须身份验证通过(Subject.isAuthenticated()==true);
					注意:是必须进行身份验证,通过记住我的方式也不能登录,用于购物车付款等必须确认身份!!!!!!!!!!!!!!!
				/** = user表示访问该地址的用户是身份验证通过或RememberMe登录的都可以。
			-->
			<value>!
				/login.jsp=authc
				/logout=logout
				/authenticated.jsp=authc
				/**=user
			</value>
		</property>
	</bean>
	
	<!-- Shiro生命周期处理器 -->
	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>
</beans>

测试:

1、访问http://localhost:8080/chapter13/,会跳转到登录页面,登录成功后会设置会话及rememberMe Cookie;

2、关闭浏览器,此时会话cookie将失效;

3、然后重新打开浏览器访问http://localhost:8080/chapter13/,还是可以访问的;

4、如果此时访问http://localhost:8080/chapter13/authenticated.jsp,会跳转到登录页面重新进行身份验证。


如果要自己做RememeberMe,需要在登录之前这样创建Token:UsernamePasswordToken(用户名,密码,是否记住我),如:

Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
token.setRememberMe(true);
subject.login(token);


subject.isAuthenticated()表示用户进行了身份验证登录的,即使有Subject.login进行了登录;

subject.isRemembered():表示用户是通过记住我登录的,此时可能并不是真正的你(如你的朋友使用你的电脑,或者你的cookie 被窃取)在访问的;且两者二选一,即subject.isAuthenticated()==true,则subject.isRemembered()==false;反之一样。


另外对于过滤器,一般这样使用(见spring-shiro-web.xml中的代码filterChainDefinitions):

访问一般网页,如个人在主页之类的,我们使用user 拦截器即可,user 拦截器只要用户登录(isRemembered()==true or isAuthenticated()==true)过即可访问成功;

访问特殊网页,如我的订单,提交订单页面,我们使用authc拦截器即可,authc 拦截器会判断用户是否是通过Subject.login(isAuthenticated()==true)登录的,如果是才放行,否则会跳转到登录页面叫你重新登录。


因此RememberMe使用过程中,需要配合相应的拦截器来实现相应的功能,用错了拦截器可能就不能满足你的需求了。

Testdddddddddddddddd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro的Remember Me
有志青年
09-02 2087
Shiro提供了Remember服务,AuthenticationToken需要实现org.apache.shiro.authc.RememberMeAuthenticationToken接口(UsernamePasswordtoken已经提供了这个接口)。 这个接口提供了一个方法 : boolean isRememberMe(); 如果这个方法设置为true,Shiro 将会在整个会话
第十三章 RememberMe——《跟我学Shiro》
jinnianshilongnian的专栏
03-17 794
  目录贴: 跟我学Shiro目录贴   Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1、首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie写到客户端并保存下来; 2、关闭浏览器再重新打开;会发现浏览...
Shiro记住我(RememberMe
Hern(宋兆恒)
12-17 6074
简介 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝 等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁, 下次访问时无需再登录即可访问,基本流程如下: • 登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe 的Cookie写到客户端并保存下来; 关闭浏览器再重新打开;会发现浏览器还是记住你的; 访问一般的网页服务器端...
高级进阶使用Shiro中Remember Me和多Realm配置使用
u014748504的博客
08-09 636
二、RememberMe 将用户对页面访问的权限分为三个级别: 未认证—可访问的页面—(陌生人)—问候 login.html、regist.html 记住我—可访问的页面—(前女友)—朋友间的拥抱 info.html 已认证—可访问的页面—(现女友)—牵手 转账.html 2.1 在过滤器中设置“记住我”可访问的url // anon 表示未认证可访问的url // user 表示记住我可访问的url(...
springmvc shiro 框架增加 httpOnly
yuguang的博客
07-01 1043
<!-- 自定义会话管理配置 --> <bean id="sessionManager" class="com.thinkgem.jeesite.common.security.shiro.session.SessionManager"> <property name="sessionDAO" ref="sessionDAO"/> <!-- 会话超时时间,单位:毫秒 --> <property name="globalSessi.
跟我学Shiro第13章Demo(RememberMe
09-23
"跟我学Shiro第13章Demo(RememberMe)"是一个实战教程,旨在帮助开发者理解并实现Shiro中的RememberMe特性。RememberMe功能允许用户在一段时间内免于重新登录,提高了用户体验。 在这个Demo中,我们将探讨以下几个...
Spring Security Remember me使用及原理详解
08-25
Spring Security Remember me使用及原理详解 Spring Security是一个广泛使用的安全框架,提供了许多功能来保护Web应用程序。在这些功能中,Remember me是其中的一个重要组件。它允许用户在登录时选择“记住我”,...
rememberMe
03-26
在"RememberMe"功能中,JavaScript主要负责交互逻辑,例如当用户勾选"RememberMe"选项时,触发相关事件,将用户的选择通过AJAX异步请求发送到服务器。 2. **Cookie机制** Cookie是浏览器为每个域维护的一系列小型...
Spring Security 构建rest服务实现rememberme 记住我功能
08-27
"Spring Security 构建 REST 服务实现 RememberMe 记住我功能" Spring Security 是一个功能强大且灵活的安全框架,广泛应用于 Java Web 应用程序中。在本文中,我们将介绍如何使用 Spring Security 构建 REST 服务...
Spring Security学习之rememberMe自动登录的实现
08-18
当你启用`rememberMe`时,Spring Security会生成一个名为`REMEMBER_ME`的cookie,其中包含加密后的用户信息。默认情况下,这个cookie的有效期为两周。每次用户通过表单登录成功,Spring Security会更新这个cookie,...
SHIRO-721:RememberMe填充Oracle漏洞RCE
03-08
SHIRO-721 RememberMe填充Oracle漏洞RCE 0x00简介: cookie的cookiememeMe已通过AES-128-CBC模式加密,这很容易受到填充oracle攻击的影响。 攻击者可以使用有效的RememberMe cookie作为填充Oracle Attack的前缀,然后制作精心制作的RememberMe来执行Java反序列化攻击,例如SHIRO-550。 0x01重现此问题的步骤: 登录网站,并从cookie中获取RememberMe。 使用RememberMe cookie作为填充Oracle Attack的前缀。 加密ysoserial的序列化有效负载,以通过填充Oracle Attack制作精心制作的RememberMe。 请求带有新的RememberMe cookie的网站,以执行反序列化攻击。 攻击者无需知道RememberMe加密的密码密钥。
shiro记住我与密码匹配次数的配置(md5加密)
zzhao114的博客
03-09 6381
简介 1.shiro的记住我与密码匹配都是基于cookie的,将信息存储在cookie中 2.基础配置 http://blog.csdn.net/zzhao114/article/details/55662585 remenberme功能 1.首先在shiro的配置文件中添加 <property name="cipherKey" va
Shiro教程(五)Shiro整体的配置文件
qq_26321411的博客
03-14 449
因为 Shrio  和整体项目结合的话,细节问题还是比较多。我要侧重讲一些地方。下面我先把我整个项目的 Shiro  配置文件先贴出来,如果你需要哪个类的实现方式,你可以针对性的查找,或者问我。 &lt;?xml version="1.0" encoding="UTF-8"?&gt;&lt;beans xmlns="http://www.springframework.org/schema/b...
shiro - 配置SSL
The Secret
02-08 813
SSL的作用:使用https协议的证书认证。  首先需要生成keystore文件,命令如下: keytool -genkey -keystore "d:\localhost.keystore" -alias localhost -keyalg RSA  接下来更改tomcat的server.xml文件,改动如下: &lt;Connector port="8443" protocol="...
shiro oauth2 调用逻辑
泽佑兄弟 ZYbros
11-20 2135
本文也是拿来主义,拿别人的代码跑了一遍,算是自己的理解吧 主要两块: auth-client  客户端(第三方应用) auth-web(内部依赖auth-server) 服务提供方(这里资源和认证放在一起了,一般认证是独立的) auth-client的shiro配置 <beans xmlns="http://www.springframework.org/schema/bean
数据连接池默认配置带来的坑testOnBorrow=false,cloes_wait 终于解决了
zhanlai_wei的博客
09-30 1万+
转载地址:http://blog.csdn.net/soberchina/article/details/72953996 首先说一下自己程序中遇到的问题,前一段新写了一个项目,主要为方便公司业务切库做准备,为其他项目提供接口(spring boot 项目) 首先呢 多数据源没有使用spring boot 集成mybatis,开始有过自己搭建spring boot 都是单数据
Shiro 实现记住我功能
Charge8的博客
04-27 6175
登录一些网站的时候,在登录输入框的下侧一般都会有一个“记住我”的勾选框,选择之后,下次进入网站时就会自动进行登录操作,无需我们再次输入密码。 有关“记住我”的实现原理如下: 1、首先在登录页面选中“记住我”然后登录成功;如果是浏览器登录,一般会把“记住我”的Cookie写到客户端并保存下来。 2、关闭浏览器再重新打开,会发现浏览器还是记住你的。 3、访问一般的网页服务器端还是知道你是...
Shiro的 rememberMe 功能使用指导(为什么rememberMe设置了没作用?)
热门推荐
软件哲学
07-05 3万+
很多人现在都倾向于使用成型的权限认证框架Shiro,并且shiro的官方文档说它帮你实现了rememberMe。多么美好的诱饵啊!但是我们实际用起来的时候却发现不是我们想的那样的,那么shiro的 rememberMe究竟是怎么用的,为什么rememberMe设置了没作用?本文会针对原理来解释,并给出解决方案
动吧旅游项目
qq_45732538的博客
07-13 1487
第一天 ajax的load函数说明 jquery中的load函数为一个异步加载的ajax函数 此函数用于在指定位置异步加载资源(并将返回的内容添加到指定位置) 例如: $("#mainContentId").load(url); 等效于下面: $.get(url,function(result){ $("#mainContentId").html(result) }) ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值