解决Shiro第一次重定向url带有jsessionid导致400错误

最新推荐文章于 2025-05-14 10:11:19 发布
原创 最新推荐文章于 2025-05-14 10:11:19 发布 · 2.8k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

博客内容讲述了在使用Shiro时遇到的一个问题,即首次重定向操作会在URL后附加jsessionid,从而引发400错误。原因是Shiro的响应配置自动拼接了session id。解决方法是在Shiro的sessionManager配置中,将sessionIdUrlRewritingEnabled属性设置为false,禁止URL重写。通过修改DefaultWebSessionManager的配置,可以避免jsessionid的附加,从而解决问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在Shiro进行第一次重定向时,会在url后携带jsessionid,这会导致400错误(无法找到该网页)。
原因在于ShiroHttpServletResponse配置类的doIsEncodeable当中,会将url自动拼接jsessionid。

解决办法:

  1. 在Shiro的配置类中的sessionManager()方法中,将sessionIdUrlRewritingEnabled属性设置为false。该方法返回一个DefaultWebSessionManager实例。
  2. 将上面方法返回的实例设置为DefaultWebSecurityManager实例的sessionManager。

代码如下:

@Bean
public SecurityManager securityManager() {
	DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
	securityManager.setSessionManager(sessionManager());
	securityManager.setRealm(myShiroRealm());
	//将cookie管理器交给SecurityManager进行管理
	securityManager.setRememberMeManager(rememberMeManager());
	return securityManager;
}

@Bean
public DefaultWebSessionManager sessionManager() {
	DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
	sessionManager.setSessionIdUrlRewritingEnabled(false);
	return sessionManager;
}
shiro 重定向携带 JSESSIONID 问题解决
qq_29411043的博客
06-25 5043
shiro 请求头携带错误的 token 的问题
springboot整合shiro(超详细,你想要的都在这了)
m0_67402914的博客
08-02 618
●subject应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject,Subject代表了当前的用户,这个用户不-定是一个具体的人,与当前应用交互的任何东西都是Subject,如网络爬虫,机器人等,与Subject的所有交互都会委托给SecurityManager;这里要设置cookie加密的密钥是为了给他指定一种加密方式,否则会出现关闭浏览器后再打开记住我失效,得刷新网页后才正常,因为两次加密后不一样,就像拿密钥b去匹配上次的密钥a,会导致失效。...
Shiro跳转登录url后面会加上JSESSIONID导致报错
Java精灵
08-27 847
想要去掉JSESSIONID就需要重写会话管理器。
由于;jsessionid=xxx导致400/404报错
最新发布
allen04533的博客
05-14 159
至于为什么部分人的浏览器会在url后面去拼接;jsessionid= 回头有空再去研究了。在nginx.conf中指定的serve-->location中加入以下语句。使用nginx反向代理处理url清洗。
解决Shiro第一次重定向url携带jsessionid问题
Ruanes的博客
09-05 2888
Shiro在进行第一次重定向时会在url后携带jsessionid导致访问400。 实力有限,就不分析源码了,需要了解原因的可以查看ShiroHttpServletResponse类中encodeRedirectURL、encodeRedirectUrl、toEncoded等方法,直接说下解决办法 解决办法: 创建一个DefaultWebSessionManager类实例,并将它的sessionIdUrlRewritingEnabled属性设置成false 再在DefaultWebSecurityMan
重定向出现jsessionid=xxx路径的问题
u011709128的专栏
09-24 4320
web.xml文件配置第一点,注意配置版本为3.0版本,Servlet3.0规范中的<tracking-mode>允许你定义JSESSIONID是存储在cookie中还是URL参数中。如果会话ID存储在URL中,那么它可能会被无意的存储在多个地方,包括浏览器历史、代理服务器日志、引用日志和web日志等。暴露了会话ID使得网站被session劫持***的几率大增。然而,确保JSESSIO...
关于shiro重定向后链接带jsessionid问题
_小曾
02-12 1478
shiro重定向后链接带jsessionid 我是在shiro中使用拦截跳转登录界面时,带jsessionid解决方法 原因 因为页面提示的是非法请求,所以就是URL带了 ;jsessionid=98CADF5DA49F4A76E 导致请求为非法请求 解决shiroConfig中加入 @Bean public DefaultWebSessionManager SessionManager(){ DefaultWebSessionManager defaultSes
shiro集成cas
做一个会编程的人
01-07 6276
shiro是一个权限管理框架,将安全认证相关的功能抽取出来组成,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。为了能够为多个系统提供统一认证入口,又使用了cas,而且二者都涉及到对session管理,所以需要集成。 cas基本协议过程: 基础模式的SSO访问流程步骤: 访问服务:客户端发送请求访问应用系统提供的服务资源。 定向认证:客户端重定向用户请
springboot整合shiro最全功能
qq_41714882的博客
11-05 3074
springboot整合shiro,实现登录认证,登录过期,权限拦截 1、权限控制的两种方式:粗粒度基于URL级别权限控制、细粒度基于方法级别权限控制 2、基于Apache Shiro实现登录认证和权限控制,重点讲解shiro权限控制流程、自定义Realm对象控制系统认证和授权 3、Apache Shiro实现细粒度方法级别权限控制 4、动态系统菜单显示功能 5、对认证和授权数据进行缓存优化 粗粒...
04 Jeesite4.x 前后端分离如何确保是同一会话
Alban的博客
08-25 879
1 概述 前端使用VUE框架开发,后端U-WEB使用Jeesite4.X开发,U-WEB集成CAS登陆。期望如下: 前后端使用同一会话,方便数据共享; 前端只需要访问后端的接口,后端实现登陆后,跳转到前端界面并带上登陆信息。至于后端如何登陆,前端不需要关心。 2 解决方案 3 代码案例 本案例基于Jeesite4.X专业版实现。 3.1 前端登录接口 该方法获取登录用户信息,并携带用户信息,重定向到前端界面。 为了不改变原Jeesite4.X框架登录逻辑,需要强制重定向的界面需要携带参数isUerRed
shiro整合单点登录,setLoginUrl重定向地址会携带JSESSIONID的问题
weixin_43165220的博客
03-05 3573
今天遇到一个问题,在springboot+shiro整合的项目中,单点登录,当登录过期时使用setLoginUrl 设置重定向地址,然后这个地址返回一个登录过期请重新登录的提示给前端,然后前端控制页面跳转到登录页面。 问题就出在重定向的时候,setLoginUrl 设置的地址总是会携带JSESSIONID,就一直报302错误 具体情况如下: ShiroConfig配置类 //省略其他配置 /** * Shiro基础配置 */ @Bean public ShiroFilterFactoryBean sh
shiro重定向URL中的JSESSIONID问题
热门推荐
魏晋风范
01-18 1万+
最近开始在项目中使用shiro作为权限控制,配置成功后,访问一切正常。但发现在向登录页面重定向时,URL中总是待;JSESSIONID=****,这时Session的另一种使用方式(一种是Cookie)。本来也不影响使用,但是据说这种方式有漏洞,再就是这样看着实在是不爽。那怎么去掉呢? 第一步:刚开始我以为是tomcat的问题,于是就百度了下tomcat怎么取消url中的JSESSIONID
解决shiro升级1.6后url拼接;jsession引发400问题
bgxabc的博客
01-22 1681
shiro.xml文件中添加配置 配置解析 1、添加 sessionManager bean <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <!-- 去掉url ;jsessionid= --> <propert...
去掉shiro登录时url里的JSESSIONID
dwangel
02-05 932
经过查找论坛和分析源码,确认了是在ShiroHttpServletResponse里加上的。 因此extends,覆盖相应方法,把添加JSESSIONID部分去掉。 [code="java"] public class MyShiroHttpServletResponse extends ShiroHttpServletResponse { public MyShiroHttpServ...
解决shiro重定向URL中出现sessionID的情况localhost:8080/toLogin;jsessionid=D5C1EE61B97EE2D7098F58A837B82BD4
一名Java语言狂热分子。
04-18 4880
解决Shiro重定向URL中自动添加sessionID信息
解决shiro第一次重定向url会带上JSESSIONID的问题
superyu1992的专栏
03-08 660
设置sessionManager的SessionIdUrlRewritingEnabled设置成false,第一次重定向url上面就不会带有JSESSIONID了。这是个小问题,不过因为好久没发布博客了,所以上来发一篇,说明I am still coding!
springboot + shiro 地址栏出现 jsessionid
快乐的小三菊的博客
05-21 1884
解决 springboot + shiro 地址栏出现 jsessionid
# 第一次重定向url携带jsessionid问题
m0_37733303的博客
11-15 1258
第一次重定向url携带jsessionid问题 原因: shiro首次重定向过程中spring调用了encodeRedirectURL,添加了Jsessionid 解决方法: 1.创建一个DefaultWebSessionManager类实例,并将它的sessionIdUrlRewritingEnabled属性设置成 false 2.将DefaultWebSecurityManager的SessionManager设置为上面的实例 代码如下: @Configuration public class Shi
SpringMVC+Shirojsessionid导致第一次访问请求时报400错误问题
一火的专栏
09-16 2639
【现象】 HTTP Status 400 – Bad Request TypeStatus Report MessageInvalid request DescriptionThe server cannot or will not process the request due to something that is perceived to be a client error (e.g., malformed request syntax, invalid request messag...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值