在shiro的记住我中将用户信息principal添加到session中

最新推荐文章于 2025-06-04 08:39:15 发布
最新推荐文章于 2025-06-04 08:39:15 发布
阅读量6.1k 收藏 7
点赞数 1
CC 4.0 BY-SA版权
文章标签: java shiro 后端开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/echobeeee/article/details/88429681
在Shiro的记住我功能中,默认仅在非记住我登录时会将用户principal放入session。为了解决rememberMe登录时前端获取不到session中user的问题,可以实现HandlerInterceptor的preHandle()方法,检查登录方式,手动将principal添加到session,确保用户信息的完整传递。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在shiro的登录中,可以设置rememberMe作为记住我的功能

<!-- 基于Form表单的身份验证过滤器,不配置将也会注册此过虑器,表单中的用户账号、密码及loginurl将采用默认值,建议配置 -->
	<bean id="formAuthenticationFilter"
		class="cn.echo.web.shiro.MyFormAuthenticationFilter">
		<!-- 表单中账号的input名称 -->
		<property name="usernameParam" value="username" />
		<!-- 表单中密码的input名称 -->
		<property name="passwordParam" value="password" />
		<!-- 记住我,存cookie -->
		<property name="rememberMeParam" value="rememberMe"/>
		<!-- loginurl:用户登陆地址,此地址是可以http访问的url地址 -->
		<property name="loginUrl" value="/user/login.do"  />
	</bean>

但是shiro自带的记住我功能,在用户登录时,并不会把登录的用户的principal放到session中
在非记住我登录时,则会将principal放入session中

protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {
		//用户帐号
		String username = (String) token.getPrincipal();
		System.out.println(token.getCredentials());
		// 根据用户帐号从数据库取出盐和加密后的值
		// 如果根据账号没有找到用户信息则返回null,shiro抛出异常"账号不存在"
		User user = userService.selectByPrimaryKey(username);
		if(user == null) {
			throw new UnknownAccountException("帐号不存在");
		} else if(user.getActiState().equals(0)) {
			throw new UnknownAccountException("用户未激活!请重新注册!");
		}
		String password = user.getUserPassword();
		String salt = user.getSalt();
		ActiveUser activeUser = new ActiveUser();
		activeUser.setUserId(username);
		activeUser.setUserNickname(user.getUserNickname());
		activeUser.setUserEmail(user.getUserEmail());
		SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(activeUser, password, ByteSource.Util.bytes(salt), this.getName());
		return authenticationInfo;
	}

其中的activeUser就是principal,在返回后,shiro会将该activeUser添在session中,而在rememberMe时并不会将该principal添加,这样会导致前端获取不到session的user

解决方法:
实现HandlerInterceptor中的preHandle()方法
截取登录时的subject,判断是否是通过rememberMe登录,将principal手动添加到session中

package cn.echo.web.shiro;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.log4j.Logger;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import cn.echo.web.pojo.ActiveUser;
import cn.echo.web.pojo.User;
import cn.echo.web.service.UserService;

/**
 * 拦截rememberMe的请求,添加user到session中
 * @author echo
 *
 */
public class RememberMeInterceptor implements HandlerInterceptor {

	 private final Logger logger = Logger.getLogger(RememberMeInterceptor.class);
	
	@Autowired
	private UserService userService;
	
	public RememberMeInterceptor() {
		// TODO Auto-generated constructor stub
	}

	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
			// 获取session中的subject
		Subject user = SecurityUtils.getSubject();
		
		// 判断是不是通过记住我登录
		if( !user.isAuthenticated() && user.isRemembered()) {
			logger.debug("remembered me, put user in session");
			user.getSession().setAttribute("user", user.getPrincipal());
			
		}
		return true;
	}

	@Override
	public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
			ModelAndView modelAndView) throws Exception {
		// TODO Auto-generated method stub

	}

	@Override
	public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
			throws Exception {
		// TODO Auto-generated method stub

	}

}
echobeeee
关注
ShiroSession分析
lbl的博客
02-11 1896
本文中的时序图使用在线工具https://www.websequencediagrams.com/生成 背景:使用Spring boot搭建web工程,使用shiro做认证授权工作 疑惑:成功登录之后,再次请求时,服务器是如何知道已经登录,是哪个用户,是使用HttpSession还是shiroSession SecurityUtils.getSubject() 在处理请求时,可以通过Securi...
Shiro记住我功能登录时保存session
weixin_43734704的博客
07-21 436
package com.ele.config; import com.ele.entity.User; import com.ele.mapper.UserMapper; import org.apache.log4j.Logger; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.session.Session; imp.
shiro登陆成功保存用户信息session
m0_67400972的博客
03-28 1160
[导读]我们经常会需要把登录成功后的用户信息保存到session中,但是如果我们使用shiro做权限管理,该怎么去实现呢? 我们经常会需要把登录成功后的用户信息保存到session中,但是如果我们使用shiro做权限管理,该怎么去实现呢?其实很简单 第一步:写一个类CustomFormAuthenticationFilter继承FormAuthenticationFilter,并重写onLoginSuccess方法,以下是我的实现@Override protectedbooleanonLoginSucces
JavaPrincipal 类解析
最新发布
Java的专栏
06-04 399
PrincipalJava 安全架构中用来表示实体身份的关键接口。通过Principal,我们可以为Subject提供一个或多个身份标识,这对于构建安全系统至关重要。理解Principal和Subject如何协同工作,可以帮助你更好地设计和实现涉及用户认证和授权的应用程序。
SpringBoot学习:整合shiro(rememberMe记住我功能)
期待破茧成蝶
04-08 1万+
项目下载地址:http://download.youkuaiyun.com/detail/aqsunkai/9805821 首先在shiro配置类中注入rememberMe管理器 /** * cookie对象; * rememberMeCookie()方法是设置Cookie的生成模版,比如cookie的name,cookie的有效时间等等。 * @return */ @Bean public
shrio登录成功后用户信息存入session
qq_42331499的博客
08-16 1065
登录的controller,简单版本 @RequestMapping("/login") public String login(String username, String password) throws Exception { System.out.println("进入shirod接管的login " + username + "___" + password); Subject currentUser = SecurityUtils.getSubject(); //.
Shiro使用RememberMe添加数据到Session
12-06 5164
首先来理清一下session和rememberMe的功能,session是大家比较熟悉的功能,因为HTTP协议是无状态的,网站为了在多个请求之间传递数据就使用了session这个东西,session是存储在网站服务器上的某个地方,比如内存、数据库或者其他的什么东西,在我的配置中是用Ehcache存储的,因为我使用了Shiro的Native Session Manager,替代了Tomcat本身的Se
spring-shiro记住我功能(session无法获取)
xqhys的博客
08-14 3832
转载:https://blog.youkuaiyun.com/u011277123/article/details/70214599 it浪子号 2017-04-09 18:57 记住我功能在各大网站是比较常见的,实现起来也是大同小异,主要就是利用cookie来实现,而shiro记住我功能的实现也是比较简单的,只需要几步即可。 Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些...
通过session获取当前登录用户
热门推荐
qq_44505797的博客
07-17 1万+
开发工具与关键技术:Visual Studio 作者:肖广斌 撰写时间:2019年7月12日 我们都知道,如果我们是管理员的话,登录一个软件进去,里面进行的很多操作都是这个管理员在操作的,所以我们在填写一些固定信息的时候,比如说操作员,只要是这个操作员的账户登录了,那么里面的操作都是由这个操作员完成,下面我们来看一个例子 这里,我们是根据这个账号登录的,所以我们模态框里面操作员回填的就是这个账...
有关ShiroPrincipal的使用
egegerhn的博客
04-29 1032
1、定义 principal代表什么那?如果阅读官方文档或者源码你会得到如下的定义: 解释: 1)可以是uuid 2)数据库中的主键 3)LDAP UUID或静态DN 4)在所有用户帐户中唯一的字符串用户名。 也就是说这个值必须是唯一的。也可以是邮箱、身份证等值。 1、用法 进入其构造方法 public SimpleAuthenticationInfo(Object principal, Object credentials, String realmName) { this.princ
Shiro身份认证(principals-credentials)
沐沐
11-03 4032
身份认证        在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份. principals:身份即主体的标识属性,可以是任何东西.如用户名,邮箱等.唯一即可.一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。 credentials:证明/凭证,即只有
Shiro概述,简单使用
慢慢的博客
07-29 329
shiro的内部结构 Subject:主体,代表了当前“用户”,通过Subject与Shiro框架进行交互。 SecurityManager:安全管理器,Shiro框架的核心,负责调度整个框架的运行 。 Realm:域,Shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份, 那么它需要从Realm获取相应的用户进行比较以确定用户身份是否...
principal java,Java Session.setPrincipal方法代码示例
weixin_34359680的博客
03-25 510
import org.apache.catalina.Session; //导入方法依赖的package包/类/*** Register an authenticated Principal and authentication type in our* request, in the current session (if there is one), and with our* SingleS...
shiro配置rememberMe(记住我)功能时,抛异常SerializationException
weixin_44732379的博客
03-15 300
问题: shrio框架配置"记住我"功能时,控制台抛出异常org.apache.shiro.io.SerializationException 解决: 需将实体类实现序列化 Serializable
shiro认证与授权
qq_41644069的博客
10-27 666
1.shiro认证 1.1.身份验证 身份验证:一般需要提供如身份ID等一些标识信息来表明登录者的身份,如提供email,用户名/密码来证明。 在shiro中,用户需要提供principals(身份)和credentials(证明)给shiro,从而应用能验证用户身份。 principals:身份,即主体的标识属性,可以是任何属性,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primaryprincipals,一般是用户名/邮箱/手机号。 credentials.
Shiro rememberMe反序列化漏洞(Shiro-550)复现
m0_67401660的博客
04-07 1372
欢迎到我的博客查看原文:http://www.xpshuai.cn/posts/40239/ 漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 Payload产生的过程: 命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值 在整个漏洞利用过.
Shiro权限管理
ycfxhsw的博客
04-25 848
Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,相比Spring Security而言相当简单, 可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西, 所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本文只介绍基本的Shiro使用,不会过多分析源码等,重在使用。 Shiro架构 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以
SpringBoot 整合Shiro实现动态权限加载更新Session共享单点登录
Angus博客
09-07 783
ADMIN这个号现在没有sys:info:all这个权限的,所以无法访问getInfoAll接口,我们要动态分配权限后,要清掉缓存,在访问接口时候,Shiro会去重新执行授权方法,之后再次把权限和角色数据放入缓存中。Shiro是一个安全框架,项目中主要用它做认证,授权,加密,以及用户的会话管理,虽然Shiro没有SpringSecurity功能更丰富,但是它轻量,简单,在项目中通常业务需求Shiro也都能胜任.再次访问getInfoAll接口,因为缓存中没有数据,Shiro会重新授权查询权限,拦截通过。
Shiro实现登录状态与用户信息查询
在这个提供的代码片段中,我们主要关注两个关键方法:`isAuthenticated` 和 `getUserInfo`,它们与用户登录状态和会话中的用户信息相关。 1. **isAuthenticated方法**: 此方法用于检查用户是否已经成功登录。它...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值