Shiro之Session分析

最新推荐文章于 2024-02-09 12:28:26 发布
最新推荐文章于 2024-02-09 12:28:26 发布
阅读量1.8k 收藏 12
点赞数 3
CC 4.0 BY-SA版权
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lblblblblzdx/article/details/87001023
本文详细探讨了在Spring Boot与Shiro结合的Web工程中,如何通过SecurityUtils.getSubject()获取用户信息。文章指出,虽然在处理请求时Subject看似存储在线程变量中,但实际Tomcat的线程池机制排除了这种可能性。真正关键在于SpringShiroFilter的拦截过程,它在doFilter方法中创建Subject并绑定到ThreadContext。createSubject方法封装了request、response,并从HttpSession中获取Session和Principal。最后,Principal在登录成功后保存于session中,而Subject对象包含了session和principal等信息,便于后续请求使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文中的时序图使用在线工具https://www.websequencediagrams.com/生成

背景:使用Spring boot搭建web工程,使用shiro做认证授权工作
疑惑:成功登录之后,再次请求时,服务器是如何知道已经登录,是哪个用户,是使用HttpSession还是shiro的Session

SecurityUtils.getSubject()

在处理请求时,可以通过SecurityUtils.getSubject()来获取当前用户,我们来跟踪这个值的来源
在这里插入图片描述
这里很容易误以为登录时将Subject的值存在线程变量中,再次请求时通过线程变量获取,但实际上tomcat是使用线程池来处理请求,线程会循环利用,多个人的请求可能会落到同一个线程,一个人的请求也可能会落到不同的线程,所以这个想法肯定是不对的。那么线程变量中的Subject值是什么时候设置的呢

SpringShiroFilter

使用shiro做认证拦截是必须要声明ShiroFilterFactoryBean

@Bean
public ShiroFilterFactoryBean shiroF
最低0.47元/天 解锁文章
shiro的记住我中将用户信息principal添加到session
echobeeee的博客
03-12 6119
shiro的登录中,可以设置rememberMe作为记住我的功能 <!-- 基于Form表单的身份验证过滤器,不配置将也会注册此过虑器,表单中的用户账号、密码及loginurl将采用默认值,建议配置 --> <bean id="formAuthenticationFilter" class="cn.echo.web.shiro.MyFormAuthenticationFi...
集群共享sessionshiro实现session共享;springboot实现redis共享session
wangyue123com的专栏
03-19 2590
shiro实现共享session;springboot集成redis实现共享session;集群环境下shiro共享session;shiro实现session共享
Shiro框架入门 认证和授权过程实现
iyzhao的博客
07-22 955
1.Shiro安全框架 1Shiro概述 Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 用户在进行资源访问时,要求系统要对用户进行权限控制,其具体流程如图-1所示: 图-1 2 Shiro概要架构 在概念层面,Shiro 架构包含三个主要的理念,如图-2所示: 图-2 其中: Sub
principal java,Java Session.setPrincipal方法代码示例
weixin_34359680的博客
03-25 504
import org.apache.catalina.Session; //导入方法依赖的package包/类/*** Register an authenticated Principal and authentication type in our* request, in the current session (if there is one), and with our* SingleS...
springmvc+shiro 同一会话,后台获取的sessionid不一致问题
一个程序员的专栏
06-02 2056
SecurityUtils.getSubject().getPrincipal()为null,shiro 同一会话sessionid不一致
Shiro在Spring的会话管理(session
u012737182的博客
11-13 3万+
会话管理 在shiro里面可以发现所有的用户的会话信息都会由Shiro来进行控制,那么也就是说只要是与用户有关的一切的处理信息操作都可以通过Shiro取得,实际上可以取得的信息可以有用户名、主机名称等等,这所有的信息都可以通过Subject接口取得。System.out.println("SESSION ID = " + SecurityUtils.getSubject().getSession(
shirosession实现的简单分析
tinysakura的博客
08-28 4888
前阵子对shiro进行分布式环境下的改造时跟了一遍源码,当时只是使用了思维带图简要的记录了一下方法的调用过程。最近有空了决定用博客详细的记录分析一下这个流程,以帮助自己更好的理解。 配置 首先看看shiro在web.xml文件中的配置 <!-- shiro过滤器 --> <filter> <filter-name&
springboot集成shirosession污染问题
长空
07-03 1962
        近期同事在项目中遇到了shiro冲突的问题,问题起因是这样的,有两套系统,系统a和系统b。两套系统均使用shiro做的权限管理,之前部署在两台机器上。使用浏览器打开a系统后另开页签打开b系统,互不干扰都能正常使用,后因业务迁移,两套系统部署到了一个机器上,再使用浏览器打开a系统后再开b系统。问题就出现了,之前a系统要求重新登录。        原因分析shiro是基于sessio...
shirosession信息放redis反序列化异常解决
weixin_48352162的博客
06-26 1587
背景 在本地session移至redis存储时,原本以为引入spring-session-data-redis依赖,配置RedisHttpSessionConfiguration,在web.xml中引入springSessionRepositoryFilter就结束了,没想到遇到序列化相关的问题,具体就是只有getter,没有setter。日志如下: 26-Jun-2021 15:53:16.432 涓ラ噸 [http-nio-8081-exec-6] org.apache.catalina.core.St
退出登陆获取不到 Session
进阶的球儿
08-13 1170
这里要说的是,如果在退出登陆时,在sendRedirect 之后使用 SecurityUtils.getSubject().logout(); 会导致 session 清空,所以在返回退出成功页面时,获取不到 session 里的任何信息。 @RequestMapping(value = "/logout", method = RequestMethod.GET) @...
Spring Security 要怎么处理 session 共享?
java3456的博客
06-16 2976
今天我们就来看看集群化部署,Spring Security 要如何处理 session 并发。 1.集群会话方案 在传统的单服务架构中,一般来说,只有一个服务器,那么不存在 Session 共享问题,但是在分布式/集群项目中,Session 共享则是一个必须面对的问题,先看一个简单的架构图: 在这样的架构中,会出现一些单服务中不存在的问题,例如客户端发起一个请求,这个请求到达 Nginx 上之后,被 Nginx 转发到 Tomcat A 上,然后在 Tomcat A 上往 session 中保.
Spring+shiro session与线程池的坑
byt420的专栏
02-25 729
在java web编程中,经常使用shiro来管理session,也确实好用 shiro来获取session的方式 SecurityUtils.getSubject().getSession() 其中SecurityUtilsgetSubject代码如下 /** * Returns the currently accessible {@code Subject} availab...
Shiro源码分析③ :认证流程
猫吻鱼的博客
02-04 1077
一、前言 二、登录流程 下面开始登录流程的代码解析 如下,登录接口如下: @PostMapping("login") public String login() { UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("张三", "123456"); Subject subject = SecurityUtils.getSubject(); subjec
shiro,getPrincipals()为null的问题
鹏的博客
11-30 3703
记录登录日志的切面, Subject currentUser = SecurityUtils.getSubject(); ShiroUser shiroUser = null; shiroUser = (ShiroUser) currentUser.getPrincipals().getPrimaryPrincipal(); getPrincipals()这个方法怎么获取都是空, 但是token还获取成功了,也登录成功了,就是获取不到。 最后发现 token是生成了不假,但是下面的login方法当时是漏
ShiroSecurityUtils.getSubject()是如何获取到正确的用户信息
最新发布
qq_61592687的博客
02-09 4173
ShiroSecurityUtils.getSubject()是如何获取到正确的用户信息的呢?每次调用SecurityUtils.getSubject()方法,它会去当前所处线程获取用户信息,组装subject返回。如果是没有登录过的,他就会为当前访问的JSESSIONID创建一个subject,只是这个的就是未登录状态。
理解Subjects, Principals and Credentials
实践
11-09 2986
摘自:Inside Java 2 Platform Security - 2nd Ed,published by Addison Wesley,20038.4.1 Subjects and PrincipalsUsers often depend on computing services to assist them in performing work. Furthermore, servic
Shiro登录身份认证(从SecurityUtils.getSubject().login(token))到Realm的doGetAuthenticationInfo
热门推荐
╃緣分天空╃
06-23 4万+
ssm框架下,controller接收到登录请求交给Service并开始处理流程:1.Service的login方法:@Service public class SysUserServiceImpl implements SysUserService { @Autowired SysUserMapper mapper; @Override public Login...
shiro获取当前登录用户subject.getPrincipal()报null空指针
iijik55的博客
08-24 2706
SecurityUtils.getSubject().getPrincipal()为空,网上查了一堆复制粘贴的文章都是说配置加载顺序问题,我遇到的并不是这样的问题,我是偶尔一个报空,其他的正常.既然是这个参数报空,那就找到代码的这里,发现原来代码的逻辑是从redis中拿,并且把如果redis没有就去查数据库的代码给注释掉了.恢复注释即可.自定义realm–》doGetAuthenticationInfo–》
shiro 登陆成功后subject依然为空
淡淡的博客
11-08 1万+
shiro框架是一个强大的轻量级java安全框架。它提供了权限验证、加密、session管理的功能。shiro易用、上手快,应用场景大到企业级应用、小到手机应用都可以使用。本文就针对shiro的subject一个点展开,讲讲这个subject的来龙去脉。 我关注这个类要从一次错误说起。在我的项目里面突然就出现subject无法获得principals字段信息的情况,自然我每次登陆再请求什么都是su...
Shiro学习与练习实例分析
身份验证是Shiro 的核心功能之一。它允许系统确认用户是谁。用户通常通过提交用户名和密码的方式进行认证。Shiro 支持多种认证方式,例如直接在代码中硬编码用户名和密码,或者使用外部的认证系统,如LDAP、数据库等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值