关于shiro使用时候,cookie被禁用的处理

最新推荐文章于 2024-07-23 02:51:31 发布
最新推荐文章于 2024-07-23 02:51:31 发布
阅读量6.7k 收藏 5
点赞数 1
分类专栏: java 文章标签: shiro cookie禁用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhenxing_zr/article/details/80001535
版权

        在shiro使用过程中,保持客户端的状态是通过两种方式关联。一种方式是通过cookie返回,一种是通过重定向回写url。但是重定向解决不了ajax请求。 如果客户端禁用了cookie,会导致shiro无法获得seesion保存的认证,授权信息。导致shiro无法使用。

        解决思路:在客户端与服务端进行交互之前,普通请求通过重定向会写url带上会话信息。ajax请求通过写消息头形式,返回特定错误让客户端获取相应头得到seesionId。如果请求后台没有用到seesion,可以不用先获取会话,否则所有的请求都必须先获得会话。

客户端获取到消息头后,保存会话id,每次请求在通过header带上会话信息(一定要带上,特别是重定向的请求,必须从url获取到会话id)。

        也可以不需要先获取认证信息,如果使用cookie形式的方式,是不需要先获的会话。服务端使用了会话,自动写cookie到客户端。但是禁用了cookie,服务端产生了会话,相应得到了正确处理,然后在响应头里写消息头,客户端每次请求都从消息头里获取会话id,当然这样实现也是可以的。


代码如下,兼容cookie模式。

public class OssWebSessionManager extends DefaultWebSessionManager implements WebSessionManager {
  
	private static final Logger log = LoggerFactory.getLogger(OssWebSessionManager.class);
	
	private boolean sessionIdHeaderEnabled;
	 
	public static final String HEADER_SESSION_NAME = "X-AUTH-SESSION";
	
	public static final String HEADER_SESSION_ID_SOURCE = "header";
   
     public OssWebSessionManager() {
         super();
         //重定向无法手动带上header
         super.setSessionIdUrlRewritingEnabled(true);
         sessionIdHeaderEnabled=true;
     }
     
     @Override
     protected Session createExposedSession(Session session,SessionContext context) {
    	 return super.createExposedSession(session, context);
     }
     
     @Override
     protected Session createExposedSession(Session session, SessionKey key) {
    	 return super.createExposedSession(session, key);
     }
      
     @Override
     protected void onStart(Session session, SessionContext context) {
         super.onStart(session, context);

         HttpServletRequest request = WebUtils.getHttpRequest(context);
         HttpServletResponse response = WebUtils.getHttpResponse(context);
         //用header存储会话sessionId
         if (sessionIdHeaderEnabled) {
             Serializable sessionId = session.getId();
             storeSessionId(sessionId, request, response);
         } 
     }
     
     @Override
     public Serializable getSessionId(SessionKey key) {
         Serializable id = super.getSessionId(key);
         if(null != id){
        	 return id;
         }
         if (WebUtils.isWeb(key)) {
             ServletRequest request = WebUtils.getRequest(key);
             ServletResponse response = WebUtils.getResponse(key);
             id = getHeaderSessionId(request, response);
         }
         return id;
     }

   
     protected Serializable getHeaderSessionId(ServletRequest request, ServletResponse response) {
    	 String id=getHeaderSessionId((HttpServletRequest)request);
    	 if (id != null) {
             request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,OssWebSessionManager.HEADER_SESSION_ID_SOURCE);
         }
    	 if (id != null) {
             request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
             request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
         }
         request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, isSessionIdUrlRewritingEnabled());
         return id;
     }
     
     @Override
     protected void onExpiration(Session s, ExpiredSessionException ese, SessionKey key) {
         super.onInvalidation(s, ese, key);
         onInvalidation(key);
     }
	
     @Override
     protected void onInvalidation(Session session, InvalidSessionException ise, SessionKey key) {
         super.onInvalidation(session, ise, key);
         onInvalidation(key);
     }
     
     @Override
     protected void onStop(Session session, SessionKey key) {
         super.onStop(session, key);
         onInvalidation(key);
     }
     
     @Override
     public boolean isServletContainerSessions() {
         return false;
     }

     private void storeSessionId(Serializable currentId, HttpServletRequest request, HttpServletResponse response) {
         if (currentId == null) {
             String msg = "sessionId cannot be null when persisting for subsequent requests.";
             throw new IllegalArgumentException(msg);
         }
         response.setHeader(OssWebSessionManager.HEADER_SESSION_NAME,currentId.toString());
         log.trace("Set session ID  header for session with id {}", currentId.toString());
     }
     
     /**
      * 获取请求的token
      */
     private String getHeaderSessionId(HttpServletRequest httpRequest){
    	 String sessionId=null;
    	 //从header中获取session
    	 sessionId = httpRequest.getHeader(OssWebSessionManager.HEADER_SESSION_NAME);
         //如果header中不存在token,则从参数中获取token
         if(!StringUtils.hasText(sessionId)){
        	 sessionId = httpRequest.getParameter(OssWebSessionManager.HEADER_SESSION_NAME);
         }
         return sessionId;
     }
     
     private void onInvalidation(SessionKey key) {
    	 if (WebUtils.isWeb(key)) {
        	 ServletResponse response = WebUtils.getResponse(key);
        	 if(null != response){
        		 ((HttpServletResponse)response).addHeader(OssWebSessionManager.HEADER_SESSION_NAME, "");
        	 }
         }
     }

	public boolean isSessionIdHeaderEnabled() {
		return sessionIdHeaderEnabled;
	}

	public void setSessionIdHeaderEnabled(boolean sessionIdHeaderEnabled) {
		this.sessionIdHeaderEnabled = sessionIdHeaderEnabled;
	}
}

需要认证的请求
public class OssAuthenticationFilter extends AuthenticationFilter {

	private static final Logger log = LoggerFactory.getLogger(OssAuthenticationFilter.class);

		
	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
		Subject subject=SecurityUtils.getSubject();
		if(isRelogin( request,  response, subject)){
			return false; 
		}
		return subject.isAuthenticated();
	}
	
	protected  boolean isRelogin(ServletRequest request, ServletResponse response,Subject subject) throws IOException{
		Session session=subject.getSession(false);
		if(null == session){
			 if(isAjax(request)){
					//无法手动带上sessionId,从消息头获取sessionId
				    session=subject.getSession();
	            	response.getWriter().write(JSON.toJSONString(ResultBuilder.genExpResult(new AppBizException(AppExcCodesEnum.SESSION_TIMEOUT))));
	            }else{
	            	request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, true);
	                this.saveRequestAndRedirectToLogin(request, response);
	            }
			 return true;
		}
		return false;
	}
	
	protected  boolean isAjax(ServletRequest request){
        String header = ((HttpServletRequest) request).getHeader("X-Requested-With");
        if("XMLHttpRequest".equalsIgnoreCase(header)){
            return Boolean.TRUE;
        }
        return Boolean.FALSE;
    }

}


	

不需要认证,只需要有会话的请求
public class OssNoAuthenticationFilter extends OssAuthenticationFilter {

	private static final Logger log = LoggerFactory.getLogger(OssNoAuthenticationFilter.class);
	
	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
		Subject subject=SecurityUtils.getSubject();
		if(isRelogin( request,  response, subject)){
			return false; 
		}
		return true;
	}
}


shiro过滤器配置
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
	    <!-- Shiro的核心安全接口,这个属性是必须的 -->  
	    <property name="securityManager" ref="securityManager"/>  
	    <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录apos.htmlhtml"页面 -->
	    <property name="loginUrl" value="${shiro.loginUrl}"/>
	    <!-- 登录成功后要跳转的连接 -->  
	    <property name="successUrl" value="/sys/manager/index"/>
	    <!-- 用户访问未对其授权的资源时,所显示的连接 -->  
	    <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp-->  
	    <property name="unauthorizedUrl" value="/sys/manager/login"/>  
	    <property name="filters">
			<map>
			<entry key="authc">
			    <bean class="tc.oss.web.shiro.OssAuthenticationFilter" />
			</entry>
			<entry key="noAuthc">
                <bean class="tc.oss.web.shiro.OssNoAuthenticationFilter" />
            </entry>
			<entry key="validCode">
                <bean class="tc.oss.web.shiro.ValidCodeAuthenticationFilter">
                     <property name="validCodeUrl" value="/sys/manager/validCode" />
                </bean>
            </entry>
			<!-- <entry key="ssl">
			    <ref bean="sslFilter" />
			</entry> -->
			</map>
		</property>
	    <property name="filterChainDefinitions">  
	        <value>
	        	/statics/**=anon
				/js/**=anon
	        	/page/**=anon
	        	/sys/manager/login=noAuthc
	        	/sys/manager/captcha=noAuthc
	        	/favicon.ico=anon
	        	/sys/manager/validCode=authc
	        	/sys/manager/commitCode=authc
	        	/**=authc
	        </value>
	    </property>
	</bean>

这样客户端禁用cookie也能用了,请求必须带上header。从url或者响应中获取
url回调的
 function refreshCode(){
	  var sid=window.location.href.split(";")[1].split("=")[1];
	  $.ajax({
	         type: "GET",
	         url: "${contextPath}/sys/manager/captcha?t=" + $.now(),
	         beforeSend: function (XMLHttpRequest) {
	        	 var sessionid = "X-AUTH-SESSION";
	        	 XMLHttpRequest.setRequestHeader(sessionid, sid);
	         },
	         success: function(r){
	        	 $("#captchaImg").attr("src",r);
	         }
	     });
  }
ajax异步请求的没测试了,应该是没问题的了


 


                

        

        

    

  


    

      

        

            

              
                
                  zhenxing_zy
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    5
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
客户端禁用cookie时如何使用shiro框架

				
			

			

				

					m0_54096780的博客
				

				

					07-28
					
					1359
					
				

			

		

		

			
				
1、问题:

shiro框架的授权依赖于shiro内置的session,这意味着如果客户端禁用cookie的话,shiro无法通过sessionId来获取内置session中的内容,也就无法实现权限管理方面的操作。

2、解决思路:

shiro的session管理核心在于org.apache.shiro.web.session.mgt.DefaultWebSessionManager这个类,其中的getSessionId()方法是shiro获取sessionId的方法,shiro通过获取到的sessio

			
		

	



                

              
                



	

		

			

				
					
Shiro实现rememberMe功能

				
			

			

				

					Massimo__JAVA的博客
				

				

					10-06
					
					2030
					
				

			

		

		

			
				
Shiro实现rememberMe功能

			
		

	



                


  
              

                


	

		

			

				
					
shiro框架如何保持登录状态

				
			

			

				

					weixin_40835745的博客
				

				

					12-17
					
					4114
					
				

			

		

		

			
				
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录前言一、shiro保持登录状态的方式?二、具体过程1.登录系统2.关闭浏览器3.登出系统4.RememberMe功能总结

前言
最近一段时间在研究shiro框架,发现网上很少有讲在登录之后,shiro是如何保持登陆状态的,或者换句话说就是后台服务能够在你登录之后,知道你是谁,知道你有哪些权限,知道你的角色是什么

一、shiro保持登录状态的方式?
现在大部分的web项目都是采用前后端分离的架构,而保持登录状态采用的最多的方式是请

			
		

	





	

		

			

				
					
Spring Security认证授权介绍

					
最新发布

				
			

			

				

					susjj663的博客
				

				

					07-23
					
					410
					
				

			

		

		

			
				
权限管理是所有后台系统的都会涉及的一个重要组成部分,主要目的是对不同的人访问资源进行权限的控制,避免因权限控制缺失或操作不当引发的风险问题,如操作错误,隐私数据泄露等问题。那么如何在项目中实现权限呢?方案一:使用拦截器(过滤器)+JWT实现地址鉴权方案二:使用权限框架Shiro方案三:方案二:使用权限框架Shiro和Spring Security都是成熟的安全框架,在养老项目目前已经在使用Spring框架,那么Spring Security就是更好的选择。

			
		

	



		

			
		



	

		

			

				
					
禁用cookie情况下,前端传递当前登录人信息给shiro

				
			

			

				

					haohao123nana的专栏
				

				

					05-15
					
					1380
					
				

			

		

		

			
				
有个springboot项目,登录和权限采用shiro管理。某天前端开发人员突然说小程序页面里面无法把cookie 传递给后端,  导致服务器获取登录人信息空指针。百度了一圈不知道怎么搞,最后请教了老大,算是解决了。下面把解决方案记下来

前端用问号传参方式传递sessionid
后端重写shiro获取sessionid方法

原来的 shiro配置DefaultWebSessionManager...

			
		

	





	

		

			

				
					
5_springboot_shiro_jwt_多端认证鉴权_禁用Cookie

				
			

			

				

					paopao_wu的专栏
				

				

					03-16
					
					1076
					
				

			

		

		

			
				
cookie是什么,Shiro中在服务端怎么禁用禁用后通过在将sessionID放入到自定义的请求头中实现会话保持,自定义SessionManager实现

			
		

	





	

		

			

				
					
七。微信小程序,shiro不用cookie如何维护登录状态

				
			

			

				

					u014203449的博客
				

				

					07-10
					
					8404
					
				

			

		

		

			
				
七。shiro不用cookie如何维护登录状态

			
		

	





	

		

			

				
					
【Java.Web】Session —— 针对浏览器不支持Cookie的情形,Session禁用Cookies

				
			

			

				

					王晓斌的专栏
				

				

					10-07
					
					9280
					
				

			

		

		

			
				
重写URL跟踪Session

			
		

	





	

		

			

				
					
shiro、redis做登录权限处理

				
			

			

				

					neutrons的博客
				

				

					11-04
					
					2052
					
				

			

		

		

			
				
前言  最近,需要用shiro做一套登录,机缘巧合看到了张开涛大佬的跟我学shiro
本文也是在此基础上完成的,点击上方链接可以到网盘上下载pdf
尽管有文档参考,但还是遇到了很多坑,所以在快要完成的以后写个blog总结回顾

...

			
		

	





	

		

			

				
					
Apache shiro1.2.4反序列化漏洞介绍.docx

				
			

			

				

					07-01
				

			

		

		

			
				
处理RememberMe的Cookie时,Shiro的`CookieRememberMeManager`类会执行一系列操作:首先,它对Cookie中的"rememberMe"字段内容进行序列化;接着,使用AES(高级加密标准)进行加密;最后,使用Base64编码,以确保...

			
		

	





	

		

			

				
					
Shiro会话管理以及缓存管理

				
			

			

				

					weixin_66202611的博客
				

				

					08-28
					
					294
					
				

			

		

		

			
				
相较于Tomcat的session,shiro提供了对于分布式session的管理。当检查session过期时,会执行 监听器中的 onExpiration。Shiro的会话管理具备Tomcat的会话管理的一切功能。过期时,需要身份验证才能访问的方法,就不会被允许访问;当登录发送请求 会执行 监听器中的 onstart。当登出发送请求 会执行 监听器中的 onStop。Element:缓存的元素。添加Spring-shiro的配置。添加Spring-shiro的配置。(1)session管理器的配置。...

			
		

	





	

		

			

				
					
Shiro--越权控制

				
			

			

				

					IT利刃出鞘的博客
				

				

					05-31
					
					2203
					
				

			

		

		

			
				
其他网址

访问控制--越权_weixin_30379973的博客-CSDN博客

访问控制的含义

    在互联网安全领域,尤其是web安全领域中,“权限控制”的问题可以归结为“访问控制”。

    访问控制广泛应用于各个系统中。抽象地说,都是某个主体对某个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。

    在一个安全系统中,确定主体的身份是“认证”解决的问题;而客体是一种资源,是主体发起的请求的对象。在主体对客体进行操作的过程中,系统控制主体不能“无限制”的...

			
		

	





	

		

			

				
					
自定义shiro过滤器没有Set Cookie问题。

				
			

			

				

					深蓝浅蓝的天
				

				

					02-16
					
					1063
					
				

			

		

		

			
				
自定义shiro过滤器没有Set Cookie问题。
比如我们通常会针对ajax的请求,返回json数据,一般的实现大概是这样。
public class MyUserFilter extends UserFilter {

    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
        H

			
		

	





	

		

			

				
					
关于带Cookie的跨域问题导致Shiro授权和认证失败的问题

				
			

			

				

					geren0408的博客
				

				

					05-03
					
					3700
					
				

			

		

		

			
				
问题描述:后端框架为SpringBoot,安全框架为Shiro。其中认证和授权都已经做好了,授权和认证主要是用注解的方式,主要采用了@RequiresAuthentication这个注解,意思是加上这个注解的方法,必须经过授权才可以访问,也就是必须登陆才可以。之后整个项目只用了Postman进行测试。

主要测试就是两方面,在不登陆的情况下去访问带有@RequiresAuthentication的...

			
		

	





	

		

			

				
					
Nginx反向代理cookie丢失的问题

				
			

			

				

					知行合一
				

				

					07-10
					
					4232
					
				

			

		

		

			
				
在开发项目中,前端脚手架工具搭建好的环境,请求后台接口时,一切正常,可以请求到后台的接口,但是在快开发完成时,得先边做边测试,好吧,那就部署一个环境到测试环境,打包完成后,部署到nginx里面,发现接求接口地址成功,但是就是没有返回数据,后台打断点,没有请求到后台接口去,怪事,得找原因,后台接收到的信息只有:
Returning null to indicate a session could not be found.

后台使用shiro框架没有接收到session,也就是nginx反向代理cookie

			
		

	





	

		

			

				
					
shiro 无法传递及接收cookie信息

				
			

			

				

					
				

				

					01-05
					
					5240
					
				

			

		

		

			
				
转载自:http://www.cnblogs.com/helloyy/p/6109665.html

Ajax跨域请求action方法,无法传递及接收cookie信息(应用于系统登录认证及退出)解决方案 

  最近的项目中涉及到了应用ajax请求后台系统登录,身份认证失败,经过不断的调试终于找到解决方案。

应用场景:

  项目测试环境:前端应用HTML,js,jQuery ajax请求,部署

			
		

	





	

		

			

				
					
Shiro 登录、退出、校验是否登录涉及到的Session和Cookie

				
			

			

				

					
				

				

					08-23
					
					708
					
				

			

		

		

			
				
前提
我们的使用的是DefaultWebSessionManager而不是ServletContainerSessionManager。这就意味着前者的session为Shiro的,后者的session为Tomcat的。
登录
  DefaultWebSessionManager调用start()方法(在AbstractNativeSessionManager中)创建Session...

			
		

	





	

		

			

				
					
前后端分离使用shiro登录认证cookie跨域问题踩坑

				
			

			

				

					不定时分享最优质的网络技术与教程,满满的干货。
				

				

					07-09
					
					992
					
				

			

		

		

			
				
设置好后,再次请求,你会发现又报了如下错误。你明明设置了cookie,但是就是找不到,请求的时候也带不上,查看Set-Cookie这一行,可以发现有个黄色的叹号,鼠标放到叹号上可以看到chrome给我们的提示,因为SameSite设置的原因,chrome认为这个cookie不应该被跨越携带,所以没有设置,自然也就无法携带cookie。具体解决方式就不写了,可以自己搜索一下。charset=utf-8"的请求,会首先发送一次预检请求,然后再发送正式的post请求,这时,在POST请求时我们可能会有如下错误。

			
		

	





	

		

			

				
					
关于shiro登录认证成功,却一直返回登录页面的问题

				
			

			

				

					star_kite的博客
				

				

					09-18
					
					6762
					
				

			

		

		

			
				
Shiro登录的时候,已经认证成功了

但一直未跳转到登录成功页面,最后找了半天.........

发现,自己在把https换成http的时候,设置了cookie


      manager.getSessionIdCookie().setSecure(false);

这个应该设置成false,我设置成true了,所以一直无法登录

原来我的访问URL协议头是HTTP,而Weblogic里...

			
		

	





	

		

			

				
					
cookie 丢失 shiro

				
			

			

				

					08-22
				

			

		

		

			
				
它通过使用cookie实现会话管理,然而当cookie丢失时,会话的状态信息将无法被正确还原和获取,从而导致一系列问题。  首先,丢失cookie会导致Shiro无法判断用户是否已经进行了登录认证。通常,用户在登录成功后,...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值