我的shiro之旅: 六 自定义shiro的sessionId

最新推荐文章于 2023-07-15 18:16:57 发布
原创 最新推荐文章于 2023-07-15 18:16:57 发布 · 1.6w 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #java

本文介绍了如何自定义Apache Shiro的sessionId生成逻辑,从默认使用UUID改为使用Java EE的sessionId。通过创建拦截器获取Java EE的sessionId并保存在当前线程中,实现了在Shiro中使用此sessionId。此外,提到了可以通过配置SecurityManager的sessionManager和sessionDAO的sessionIdGenerator属性进行替换,以实现定制化需求。

博客已移至 http://blog.gogl.top

 

shiro有自己的sesison概念,shiro的session并不是java ee的session。通常,我们看到shiro的sessionId格式类似c6395bbc-425d-43b3-a444-04fee5a92e95,是因为shiro产生sesisonId是通过UUID生成的。我们可以看到shiro-core-xx.jar的org.apache.shiro.session.mgt.eis包下有个JavaUuidSessionIdGenerator,shiro的sessionId默认是通过该类生成的。可以看看源码。

 

public class JavaUuidSessionIdGenerator implements SessionIdGenerator {

    /**
     * Ignores the method argument and simply returns
     * {@code UUID}.{@link java.util.UUID#randomUUID() randomUUID()}.{@code toString()}.
     *
     * @param session the {@link Session} instance to which the ID will be applied.
     * @return the String value of the JDK's next {@link UUID#randomUUID() randomUUID()}.
     */
    public Serializable generateId(Session session) {
        return UUID.randomUUID().toString();
    }
}


是通过调用java的UUID来生成一个唯一的ID。

 

我们可以自定义类,重写generateId方法,然后

最低0.47元/天 解锁文章
Shiro使用自己的SessionId管理和rememberMe配置
cloud的技术积累
06-14 9950
Shiro中Session和RemeberMe配置
thinkphp5.1自定义SESSIONID自定义SESSION存储
u014265398的博客
05-14 3135
系列文章目录 文章目录系列文章目录前言一、自定义session_id处理总结 前言 最近公司项目在搞安全排查,发现php 里面默认的session_id明文存储不符合安全规范,生成的机制不符合安全随机数,要求整改,这里记录一下修改方案,以备不时之需。 提示:以下是本篇文章正文内容,下面案例可供参考 一、自定义session_id处理 总结 提示:这里对文章进行总结: 例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和
shiro会话管理
zhangchang0516的博客
04-13 617
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 基础组件 1.1 Se...
shiro+springboot自定义sessionId
袖卷笛音的博客
07-03 7547
shiro中,默认返回的sessionId是uuid或者是random随机的,我们可能需要根据我们的需求进行重写,需要重写sessionId我们只需要写一个类实现SessionIdGenerator中的generateId就行 1.自定义sessionId生成 自定义CustomSessionIdGenerator实现SessionIdGenerator接口,重写generateId(...
Shiro自定义获取sessionid的方式
qq_45644484的博客
03-10 2042
一、创建一个自定义的session管理类,继承shiro默认的session管理类(DefaultWebSessionManger),重写getSessionId()方法,token为自定义请求头,值传的是sessionid。二、在Shiro配置类中创建一个返回安全管理器SecurityManager的bean方法,并设置session管理器为自定义的session管理器。
shiro学习随笔【五】自定义生成会话ID--SessionIdGenerator
OceanSky的专栏
09-30 1万+
一、shiro的SessionDAO实现使用SessionIdGenerator接口自动的生成会话session ID;   二、SessionIdGenerator的具体实现类是JavaUuidSessionIdGenerator,生成会话ID的方法如下:   public Serializable generateId(Session session) { return UUI...
shiro(6)分布式应用鉴权方式之Shiro整合SpringBoot下自定义SessionId
奇点
03-03 857
Shiro 默认的sessionid生成 类名 SessionIdGenerator 创建一个类,实现 SessionIdGenerator 接口的方法 public class RandomSessionIdGenerator implements SessionIdGenerator { private static final Logger log = Logg...
自定义shirosessionIdCookie
dxyzhbb的博客
05-29 1738
我的shiro之旅:自定义shiroSessionIdCookie
热门推荐
Dylan的博文
02-17 2万+
博客已移至 http://blog.gogl.top 在使用shiro的时候,曾经有段时间很苦恼,因为我cookie的sessionId经常无故被改,然后抛There is no session with id [xxxx]的异常。我们知道,当请求过来,shiro创建session后,会把sessionId写回到客户端的cookie中。每二个请求过来时,shiro会拿到这个cookie里的ses...
shiro 获取请求头中的 sessionId
wxy49212的博客
10-16 2477
shiro 获取请求头中的 sessionId 前言:   在前后端项目中, 前端有可能会要求, 后台返回一个 sessionId 给他, 然后他在请求后台接口时, 把这个sessionId 带给后台, 后台拿到这个sessionId , 就能识别, 是那个用户.    在shiro中, 会返回一个 JSESSIONID , 其实就是sessionId .   如果不想把sessionId...
shiro获取session用户_shiro 获取请求头中的 sessionId
weixin_39844481的博客
12-20 1965
前言:在前后端项目中, 前端有可能会要求, 后台返回一个 sessionId给他, 然后他在请求后台接口时, 把这个sessionId带给后台, 后台拿到这个sessionId, 就能识别, 是那个用户.在shiro中, 会返回一个JSESSIONID , 其实就是sessionId.如果不想把sessionId放在参数中, 或者贴在链接后面, 暴露给用户, 那么我们还能选择把 ses...
shiro通过sessionId获取当前用户登录信息
dwhhome的博客
04-17 1万+
一、应用场景 前后端分离架构,使用shiro做权限管理,登录成功将sessionId返回,访问接口时在请求头携带即可。由于业务需要,现有需要接口不做拦截,在方法内做权限判断,于是将sessionId携带在RequestParam中,进行登录或权限校验。 二、实现代码 ProfileResult:登录中构造安全数据的实体类 import com.guangjutx.entity.au...
Shiro在请求头中获取sessionId以及rememberMe信息
_好好学习的博客
01-30 1万+
默认情况,Shiro会把sessionId或rememberMe放入cookie中,每次请求会在cookie中获取,但在前后端分离下,跨域请求会导致cookie保存失败,本人介绍把sessionId或rememberMe放入request header中,兼容PC、App以及移动端浏览器。
shiro中session的问题
2301_77664771的博客
07-15 824
原因: 默认DefaultWebSessionManager它只接受Cookie中存储的JsessionId. 查询发现再redis中不存在对应的key.客户发送请求时,再请求头中携带sessionId, 然后重写DefaultWebSessionManager中getSessionId()的方法。默认session存储再各自服务的内存中,可以让session统一存储再redis中。我们发现跨域请求,会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。修改shiro的配置类。
Shiro自定义session会话管理
NullOK的博客
01-29 1816
原文博客地址 此图非常重要!!!镇楼 0x001 重写SessionManager shiro提供了三种默认实现: DefaultSessionManager: 用于java se 环境 ServletContainerSessionManager:默认使用的实现,Servlet容器管理 DefaultWebSessionManager:自己维护 重写SessionManager需要继承Def...
shiro中后台服务器如何获取sessionId
ystyaoshengting的专栏
09-13 1万+
在Web开发中,我们经常接触的就是session了;这里不说session和cookie;只讲服务器怎么确定用户的session; http协议本身是无状态协议,那后台是怎么确定用户的session呢? 这里以shiro的web开发为例,因为shiro的request和session只是对标准的request和session进行了封装,在 DefaultWebSessionManager中,...
Shiro学习(10)Session管理
m0_67403073的博客
08-24 3037
但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。更新会话最后访问时间及销毁会话;
Shiro 自己实现登录后重新生成sessionid
cloud的技术积累
02-07 2万+
学Spring Security来实现重新生成Session
shiro 删除用户session_shiro 一个项目多个系统sessionid赋值 (getsession 重载)
weixin_39615741的博客
12-24 405
Shiro Security是非常不错的Security框架最近在我的项目中进行相关整合,shiro不难,难就难在如何对已经成熟的系统进行整合作为相关切入点,我也考虑了很久,整体运用上了如张开涛大佬所说对于Subject我们一般这么使用:1、身份验证(login)2、授权(hasRole*/isPermitted*或checkRole*/checkPermission*)3、将相应的数据存储到会话...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值