Apache Shiro去掉URL中的JSESSIONID

最新推荐文章于 2023-11-15 22:22:40 发布
最新推荐文章于 2023-11-15 22:22:40 发布
阅读量2.2w 收藏 23
点赞数 9
分类专栏: My Study 文章标签: shiro JSESSIONID session sessionid spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyf314922957/article/details/51038322
版权

最近集成框架用到shiro碰到url有时候会带上jsessionid有时候又没有。以前也碰到但是没有深入研究。

网上查了半天各种方法用了都没用。比如web.xml里面加session-config,添加DisableUrlSessionFilter 等等神马都没用。于是自己研究源码。说了半天废话终于进入正题。先申明下我是菜鸟。说的不对的错的请无视。有些是网上复制的。

先说下为什么网上那些玩意没用。

我们一般用的是DefaultWebSessionManager。shiro默认的是ServletContainerSessionManager这个非常简单的实现代表所有会话管理职责(包括会话集群如果 servlet 容器支持)运行 servlet 容器。 它本质上是一个桥 Shiro 会话 API 的 servlet 容器,没有别的。使用这个默认的一个好处是,使用现有的 servlet 容器的应用程序会话配置(超时,任何特定容器集群机制等)将正常工作。这个默认的缺点是,你与 servlet 容器的特定会话行为。 举个例子,如果你想集群会话,但你使用 Jetty 在生产、测试和 Tomcat 容器配置(或代码)将不具有可移植性。所以我们用DefaultWebSessionManager Shiro 的原生会话管理。所以网上的那些基于servlet 的不起作用。如果你用ServletContainerSessionManager也不存在这个问题。(后续有时间我会说说shiro和redis的集成。用redis管理session和cache。我是看了spring session、spring data redis的源码改造的所以跟spring能很好的集成具体后面再说。)

下面分析源码。先说下shiro的每次访问都会构建subject。

假设我们首次访问系统的登陆界面。然后我们登陆。在我们点击登陆之后会访问DefaultSecurityManager构建Subject。创建Subject之前会做很多事(创建cookie和session等等)其中会访问一下DefaultWebSessionManager的getReferencedSessionId方法。方法里面判断cookie里面是否有sessionid。肯定是没有的啦所以不会向request里面存放ShiroHttpServletRequest的3个静态属性。然后在org.apache.shiro.web.filter.authc.FormAuthenticationFilter登陆成功跳转页面的时候。issueSuccessRedirect方法里面会判断request是否有ShiroHttpServletRequest.COOKIE_SESSION_ID_SOURCE如果有直接跳转到成功页面。具体判断的代码在ShiroHttpServletRequest里面的isRequestedSessionIdFromURL方法上。如果没有会在跳转成功页面url后面加上JSESSIONID。所以url上就多出了JSESSIONID.然后跳转首页时又会访问DefaultSecurityManager构建Subject。同样会进DefaultWebSessionManager的getReferencedSessionId方法这个时候sessionid有值所以request里面存放了

ShiroHttpServletRequest.COOKIE_SESSION_ID_SOURCE。这就是为什么我们删掉JSESSIONID他又不加上的原因。因为你后面每次访问。构建subject的时候sessionid有值request的里面也有值他就不会在url上加JSESSIONID了啊。假设我们删除浏览器cookie这个时候没有了sessionid。我们访问当前地址。同样会创建Subject。由于sessionid没有了所以request里面就不会存值了。然后会进入org.apache.shiro.web.filter.authc.UserFilter判断subject是否有认证信息。没有会通过saveRequestAndRedirectToLogin跳转到登陆页面。saveRequestAndRedirectToLogin里面判断request是否有值没值又会在跳转页面的url上加上JSESSIONID。然后进入登陆界面的时候构建subject 创建session request里面存值。好了说完了。看不懂得自己脑补把。

 
private Serializable getReferencedSessionId(ServletRequest request, ServletResponse response) {

        String id = getSessionIdCookieValue(request, response);
        if (id != null) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,
                    ShiroHttpServletRequest.COOKIE_SESSION_ID_SOURCE);
        } else {
            //not in a cookie, or cookie is disabled - try the request URI as a fallback (i.e. due to URL rewriting):

            //try the URI path segment parameters first:
            id = getUriPathSegmentParamValue(request, ShiroHttpSession.DEFAULT_SESSION_ID_NAME);

            if (id == null) {
                //not a URI path segment parameter, try the query parameters:
                String name = getSessionIdName();
                id = request.getParameter(name);
                if (id == null) {
                    //try lowercase:
                    id = request.getParameter(name.toLowerCase());
                }
            }
            if (id != null) {
                request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,
                        ShiroHttpServletRequest.URL_SESSION_ID_SOURCE);
            }
        }
      


 public boolean isRequestedSessionIdFromURL() {
        if (isHttpSessions()) {
            return super.isRequestedSessionIdFromURL();
        } else {
            String value = (String) getAttribute(REFERENCED_SESSION_ID_SOURCE);
            return value != null && value.equals(URL_SESSION_ID_SOURCE);
        }
    }

我的办法在每次跳转之前就判断sessionid是否有值。因为每次跳转之前subject就已经创建了session。至于如果禁用cookies。同样还是会在url上加上jsessionid。我们只是把判断给至前了。并没有修改原有逻辑。具体代码如下

/**
 * clear JSESSIONID in URL if session id is not null 
 * {@link DefaultWebSessionManager} getReferencedSessionId
 * {@link ShiroHttpServletRequest} isRequestedSessionIdFromURL
 * 
 * @author Infinite Justice
 */
public class UserFilter extends AccessControlFilter{
    
    private Cookie sessionIdCookie;
    
    public Cookie getSessionIdCookie() {
        return sessionIdCookie;
    }


    public void setSessionIdCookie(Cookie sessionIdCookie) {
        this.sessionIdCookie = sessionIdCookie;
    }
    
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if (isLoginRequest(request, response)) {
            return true;
        } else {
            Subject subject = getSubject(request, response);
            // If principal is not null, then the user is known and should be allowed access.
            return subject.getPrincipal() != null;
        }
    }
    
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        saveRequest(request);
        String sessionid = sessionIdCookie.readValue(WebUtils.toHttp(request), WebUtils.toHttp(response));
        // clear JSESSIONID in URL if session id is not null 
        if(sessionid != null){
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,ShiroHttpServletRequest.COOKIE_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, sessionid);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
        }
        redirectToLogin(request, response);
        return false;
    }
}


/**
 * clear JSESSIONID in URL if session id is not null 
 * {@link DefaultWebSessionManager} getReferencedSessionId
 * {@link ShiroHttpServletRequest} isRequestedSessionIdFromURL
 * 
 * @author Infinite Justice
 */
public class LoginFilter extends FormAuthenticationFilter{
    
    private Cookie sessionIdCookie;
    
    public Cookie getSessionIdCookie() {
        return sessionIdCookie;
    }


    public void setSessionIdCookie(Cookie sessionIdCookie) {
        this.sessionIdCookie = sessionIdCookie;
    }


    @Override
    protected void setFailureAttribute(ServletRequest request, AuthenticationException ae) {
        request.setAttribute(getFailureKeyAttribute(), ae);
    }
    
    @Override
    protected void issueSuccessRedirect(ServletRequest request, ServletResponse response) throws Exception {
        String sessionid = sessionIdCookie.readValue(WebUtils.toHttp(request), WebUtils.toHttp(response));
        // clear JSESSIONID in URL if session id is not null 
        if(sessionid != null){
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,ShiroHttpServletRequest.COOKIE_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, sessionid);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
        }
        super.issueSuccessRedirect(request, response);
    }
}

另一种解决办法:

public class RedisWebSessionManager extends DefaultWebSessionManager {

    /**
     * Stores the Session's ID, usually as a Cookie, to associate with future requests.
     * @param session the session that was just{@link #createSession created}.
     */
    @Override
    protected void onStart(Session session, SessionContext context) {
        super.onStart(session, context);
        ServletRequest request = WebUtils.getRequest(context);
        request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,ShiroHttpServletRequest.COOKIE_SESSION_ID_SOURCE);
    }
    
}



——————————————————————————————黄金分割线————————————————————————————————————————

如果你的shiro版本在1.3.2版本以上这个BUG已经解决只需要在配置文件如下配置中添加红色部分

<!-- 会话管理器 -->

<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">

<property name="sessionIdUrlRewritingEnabled" value="false" />

<!-- 验证会话时会话的过期时间(毫秒) -->

<property name="globalSessionTimeout" value="3600000" />

<property name="sessionFactory" ref="sessionFactory" />

<property name="sessionValidationScheduler" ref="redisValidationScheduler" />

<property name="sessionDAO" ref="sessionDAO" />

<property name="sessionIdCookie" ref="sessionIdCookie" />

<property name="sessionListeners">

<list>

<ref bean="redisSessionListener" />

</list>

</property>

</bean>



源代码中的解释如下

// always set rewrite flag - SHIRO-361

request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, isSessionIdUrlRewritingEnabled());
asd314922957
关注
  • 9
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
Springboot+Shiro 去除JSESSIONID
cocosum
11-05 4686
1、可能很多人去重写会话管理器(Springboot 2.13 + shiro 1.4.1): DefaultWebSessionManager defaultWebSessionManager = new DefaultWebSessionManager(); System.out.println(defaultWebSessionManager.isSessionIdUrlRewriti...
Apache shiro 1.13.0源码
最新发布
01-17
总之,Apache Shiro 1.13.0 源码提供了深入了解 Java 安全框架的机会,无论是对于学习安全基础知识,还是解决实际项目的安全问题,都是非常宝贵的资源。通过深入阅读和实践,开发者可以提升自身的安全编程能力,为...
去掉shiro登录时url里的JSESSIONID
热门推荐
奥法vx的笔记
06-17 1万+
经过查找论坛和分析源码,确认了是在ShiroHttpServletResponse里加上的。 因此继承ShiroHttpServletResponse类,覆盖相应方法,再重写 ShiroFilterFactoryBean就可以把添加JSESSIONID部分去掉。 重写ShiroHttpServletResponse Java代码 public class MyShiroHttpServletRe
Shiro去掉登录时url里的JSESSIONID,允许分号 文参数
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
07-29 1080
Shiro升级1.8之后默认不允许文参数,以及分号(;)参数,导致系统首次打开时,因带有;JSESSIONID=参数,系统出现400错误页面。
去掉jsessionid
weixin_30853329的博客
05-23 549
1. 如果你是 Tomcat 6的话, 'disableURLRewriting' attribute 设置为 true 找到你tomcat的 context.xml 文件 <?xml version='1.0' encoding='utf-8'?> <Context docBase="PATH_TO_WEBAPP" path="/CONTEXT" disab...
Apache Shiro教程
12-30
通过这个Apache Shiro教程,你可以学习到如何构建安全的Java应用,了解Shiro的配置和用法,以及如何在实际项目实施身份验证、授权、会话管理和加密策略。无论你是初学者还是经验丰富的开发者,Shiro都是一个值得...
Spring 应用集成 Apache Shiro的方法
08-27
以下将详细讲解如何在Spring环境配置和使用Apache Shiro。 **1. 集成步骤** **独立应用程序集成** 在独立的Spring应用,首先需要创建一个Realm来连接到后端安全数据源,例如数据库,以处理认证和授权。接着,...
Apache Shiro 文手册
09-02
通过阅读"Apache Shiro 文手册",你将能够全面了解Shiro的工作原理,学习如何在项目配置和使用它,从而提高你的应用安全性,并实现高效的身份验证和授权机制。无论是初学者还是有经验的开发者,这都是一个宝贵的...
Apache-Shiro-文参考文档.docx
07-20
Apache Shiro 支持在任何环境使用会话API,包括无Web或EJB容器的场景。它能够跨不同的应用程序域共享会话信息,提供会话超时、会话监听器等功能,确保用户状态的持续性。 **加密(Cryptography)** Shiro 提供了...
shiro登陆后,去掉URLjsessionId
green_hunter的专栏
06-09 1245
今天搭建了spring + shiro 的一个系统,在成功登录后,跳转的URL,始终有jsessionId。网上查资料,怎么去掉。 主要执行以下步骤: 1、重写 ShiroHttpServletResponse [code="java"][code="java"][code="java"]public class MyShiroHttpServletResponse ex...
jsessionid 如何去掉
weixin_34168880的博客
09-19 1278
2019独角兽企业重金招聘Python工程师标准>>> ...
去掉 URL 讨厌的 jsessionid
changheluorivs的博客
03-15 782
url含有jessionid,非常讨厌,不安全,有时候还会出现错误例如:这样的url,根本访问不到资源,每次打开网站,都要刷新一下,才可以,用户是不会刷新的! 添加一个过滤器既可以解决问题,下面是代码 package in.imzone.duwei.web.filter;   import javax.servlet.*; import javax.servlet
移除jsessionid的方法
小斐的专栏
03-02 1467
在web.xml配置文件设置 <session-config> <!-- Disables URL-based sessions (no more 'jsessionid' in the URL using Tomcat) --> <tracking-mode>COOKIE</tracking-mode> </session-config>
解决iframe嵌套URL拼接;jsessionId,每次请求sessionId不一样问题
qq_41101749的博客
11-15 574
【代码】解决iframe嵌套URL拼接;jsessionId,每次请求sessionId不一样问题。
去除URL带有的jsessionid
y41992910的博客
10-31 1万+
urlJsessionid生成的原因: jsessionid是标明session的id的(有点废话。。。),它是存在于cookie的,一般情况下不会出现在url,服务器会从客户端的cookie取出来,但是如果客户端禁用了cookie的话,就要重写url了,显式的将jsessionid重写到Url,方便服务器来通过这个找到session的id。如果客户端请求的cookie不包含JSES
利用Cookie或URL实现Session跟踪-----利用Session实现一次性验证码
10-26 1175
一、利用Cookie实现Session跟踪 1、  如果WEB服务器处理某个访问请求时创建了新的HttpSession对象,它将把会话标识号作为一个Cookie项加入到响应消息,通常情况下,浏览器在随后发出的访问请求又将会话标识号以Cookie的形式回传给WEB服务器。 2、  WEB服务器端程序依据回传的会话标识号就知道以前已经为该客户端创建了HttpSession对象,不必再为该客户端
利用URL重写跟踪Session(多学一招)
daqi1983的博客
09-16 604
一、问题 如果浏览器禁用Cookie,那么通过Cookie来传递Session ID是不可能了,那么也就找不到Session对象。以购物车为例进行验证。 1.禁用浏览器的Cookie 2.访问图书列表,购买图书,但购物车无图书 http://localhost:8080/chapter05/ListBookServlet 二、重写URL来跟踪Session 处理请求的代码需要用到Session时,那么对该请求的URL要重写,让该URL带上JSESSIONID参数。 在HttpSer..
Apache Shiro: 文API详解与核心功能
Apache Shiro是一个强大的开源安全框架,旨在提供简单易用的身份认证、授权、会话管理和加密解决方案。它的设计目标是减轻开发者在安全开发的复杂性,提供直观的API,使得在各种应用程序环境(包括命令行、企业...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值