Shiro 自己实现登录后重新生成sessionid

最新推荐文章于 2025-09-03 01:07:27 发布
原创 最新推荐文章于 2025-09-03 01:07:27 发布 · 2.2w 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Shiro #jsession #fixation

本文介绍了在Shiro安全框架中遇到的登录后不生成新Jessionid的问题,该问题可能导致Session Fixation。虽然Shiro计划在1.3版本修复,但目前可以仿照Spring Security手动实现session的更新。通过继承AuthenticatingFilter并覆盖executeLogin方法,可以在用户登录后复制session数据到新的session,从而避免Session Fixation风险。
部署运行你感兴趣的模型镜像

Shiro Security是非常不错的Security框架,我们系统在使用过程中发现Shiro在登录之后不会生成新的Jessionid。这显然会出现Session_Fixation。Shiro自己说会在下一个版本1.3 fix这个问题,在这之前只能学Spring Security来实现重新生成Session。其实简单就是在登陆之后把session数据复制一份到新的session。

Shiro中要做到这一点可以通过实现可以通过继承org.apache.shiro.web.filter.authc.AuthenticatingFilter (一般是继承AuthenticatingFilter的子类FormAuthenticationFilter),重写executeLogin方法就可以了。

 protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
        AuthenticationToken token = createToken(request, response);
        if (token == null) {
            String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +
                    "must be created in order to execute a login attempt.";
            throw new IllegalStateException(msg);
        }
        try {
            Subject subject = getSubject(request, response);
            //获取session数据
            Session session = subject.getSession();
            final LinkedHashMap<Object, Object> attributes = new LinkedHashMap<Object, Object>();
            final Collection<Object> keys = session.getAttributeKeys();
            for (Object key : keys) {
                final Object value = session.getAttribute(key);
                if (value != null)
                { attributes.put(key, value); }
            }
            session.stop();
            subject.login(token);
            // 登录成功后复制session数据 
            session = subject.getSession();
            for (final Object key : attributes.keySet())
               { session.setAttribute(key, attributes.get(key)); }
            return onLoginSuccess(token, subject, request, response);
        } catch (AuthenticationException e) {
            return onLoginFailure(token, e, request, response);
        }
    }

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

Spring Boot + Shiro 实现 Session 持久化实现思路及遗留问题
DN金猿的博客
07-23 577
从这个角度而言,我们可以通过 Session 监听器监听 Session 创建销毁,属性变更,并将所有创建的SessionId 存储起来,当要踢出某个用户时,用户的Request请求到来时判断Request中SessionId是否一致,一致的话令Session失效,从而实现这个功能!6、上图显示,我们可以拿到所有获得的session,并且内部用户信息无误,此时我们只需要将上述代码中的(1)、(2)打开在完全遵守Shiro的应用规则下理应可以删除对应用户!在用户基础服务中,需要实现删除用户功能。
shiro 多项目登录访问共享session
mingming_vip的专栏
10-23 1878
需求: 两个项目,主项目A,子项目B,两个项目各自由shiro 安全框架管理,当不能登录时,都无法访问,但当登录了其中一个,再访问另一个的时候不再需要登录即可访问 解决办法:多项目通过redis共享session 1.项目都添加redis 依赖 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&...
cookie、sessionsessionId、token、登录
张致豪
03-21 1815
简单理解cookie/session机制 token cookie和session是一种追踪客户端与服务器端通信的一种方式。 我们知道http链接是无状态链接,每次客户端访问服务端,服务端都不会知道访问者是谁,这样的好处就是http设计简单,缺点也显而易见:每次关闭浏览器后又要重新登录。 如何实现记录用户访问? 当用户第一次访问服务器时,在服务器生成一个记录并返回给客户,客户下次再访问时,将上次的...
shiro学习分享(四)——session管理以及单用户登陆限制(网页应用版)
madonghyu的博客
04-30 2995
session管理以及并发用户登陆限制(网页应用版)
Hutool随机数生成:安全的随机数产生器
最新发布
gitblog_00630的博客
09-03 500
在日常开发中,随机数生成看似简单,实则暗藏玄机。你是否遇到过: - 生成的随机数不够"随机",存在明显模式? - 在多线程环境下随机数生成出现性能瓶颈? - 安全敏感场景下担心随机数被预测? - 不同平台下随机数生成行为不一致? Hutool的`RandomUtil`工具类正是为解决这些问题而生,它提供了从基础随机数到加密级安全随机数的完整解决方案。 ## 一、Hutool随机数生成核心架构...
我的shiro之旅: 六 自定义shirosessionId
Dylan的博文
09-27 1万+
博客已移至 http://blog.gogl.top   shiro有自己的sesison概念,shirosession并不是java ee的session。通常,我们看到shirosessionId格式类似c6395bbc-425d-43b3-a444-04fee5a92e95,是因为shiro产生sesisonId是通过UUID生成的。我们可以看到shiro-core-xx.jar的o...
会话标识未更新问题
热门推荐
yutan_313的专栏
03-19 1万+
<br /> 有一段时间没有上优快云了,今天看到有好几个网友问我“会话标示未更新问题”,以下是我的解决办法。<br /> 我的系统在做AppScan安全扫描时,爆出一个高危漏洞:会话标识未更新。提供的解决办法是,在用户登录时始终使用新的会话。<br /> 我仔细查看了我的系统。原来在用户进入登录页面,但还未登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说还是以前的那个session(事实上session也确实不
shiro会话管理
zhangchang0516的博客
04-13 616
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 基础组件 1.1 Se...
shiro 每次请求都会新建会话,创建session
西门吹吹吹雪
09-03 1万+
在Servlet容器中,默认使用JSESSIONID Cookie维护会话 如下配置了domain [html] view plain copy bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">            当跳出SHIRO S
集群共享sessionshiro实现session共享;springboot实现redis共享session
wangyue123com的专栏
03-19 2638
shiro实现共享session;springboot集成redis实现共享session;集群环境下shiro共享session;shiro实现session共享
cookie、sessionsessionId、token区别,以及shiro 生成token
易水寒冰的博客
03-15 1090
为什么要使用cookie和session? cookie和session是一种追踪客户端与服务器端通信的一种方式。 我们知道http链接是无状态链接,每次客户端访问服务端,服务端都不会知道访问者是谁,这样的好处就是http设计简单,缺点也显而易见:每次关闭浏览器后又要重新登录 生成的记录如何返回给客户,客户下次访问又如何传递到服务器中? 这就是利用了cookie。cookie是一段存储在浏览器中的文本,它可以保存用户的信息,服务端通过设置返回头的set-cookie字段就能返回给浏览器并保存cookie,
shirosession实现的简单分析
tinysakura的博客
08-28 4924
前阵子对shiro进行分布式环境下的改造时跟了一遍源码,当时只是使用了思维带图简要的记录了一下方法的调用过程。最近有空了决定用博客详细的记录分析一下这个流程,以帮助自己更好的理解。 配置 首先看看shiro在web.xml文件中的配置 &amp;amp;lt;!-- shiro过滤器 --&amp;amp;gt; &amp;amp;lt;filter&amp;amp;gt; &amp;amp;lt;filter-name&amp;
Shiro使用自己的SessionId管理和rememberMe配置
cloud的技术积累
06-14 9949
ShiroSession和RemeberMe配置
java web 登录后更新JSESSIONID
menghuanhuolong6的专栏
08-25 1270
登录前的请求一般都是http的,http是不安全的,假设用户登录前的JSESSIONID被人取得,如果登录后不变更JSESSIONID的话,即使登录请求是https的,该用户仍然会被他人冒充。   javaweb程序强制更新JSESSIONID的方法  /**   * 重置sessionid,原session中的数据自动转存到新session中   * @param reques
shiro学习随笔【五】自定义生成会话ID--SessionIdGenerator
OceanSky的专栏
09-30 1万+
一、shiroSessionDAO实现使用SessionIdGenerator接口自动的生成会话session ID;   二、SessionIdGenerator的具体实现类是JavaUuidSessionIdGenerator,生成会话ID的方法如下:   public Serializable generateId(Session session) { return UUI...
记一次sessionId登陆后变化问题
weixin_43275523的博客
11-03 532
由于是偶发情况,查找特别麻烦,经过一天的查找问题,终于定位到问题了,登陆页面有好几个字体路径是404,把样式内的字体删掉问题就解决了。系统用的spring+shiro+mybatis,偶尔登陆之后要么闪退,要么进去首页后又跳转到登陆页。
shiro+springboot自定义sessionId
袖卷笛音的博客
07-03 7547
shiro中,默认返回的sessionId是uuid或者是random随机的,我们可能需要根据我们的需求进行重写,需要重写sessionId我们只需要写一个类实现SessionIdGenerator中的generateId就行 1.自定义sessionId生成 自定义CustomSessionIdGenerator实现SessionIdGenerator接口,重写generateId(...
问题2:shiro配置redis管理session后,每次重新请求重新生成session问题
a151605的博客
04-24 8750
使用shiro时,配置了redis缓存session,但是每次请求,包括刷新页面都会在redis中重新保存一个session,后来发现是cookie设置的domian问题,导致每次请求域名不同,后台会自动重新生成session.@Bean(name="sessionIdCookie") public SimpleCookie sessionIdCookie(){ //coo...
Spring Boot整合Shiro与MongoDB实现Session存储实战
为了处理分布式环境下的Session同步,通常需要配置Session ID的生成策略,确保每个节点生成Session ID具有唯一性。此外,还可以设置Session的最大存活时间和检查间隔,以控制Session的生命周期。 完成上述配置后...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值