apache shiro remember me 不起作用

最新推荐文章于 2022-10-06 15:52:08 发布
原创 最新推荐文章于 2022-10-06 15:52:08 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了在使用Shiro框架进行身份验证时遇到的RememberMe功能失效的问题。原因是浏览器限制了Cookie的大小,导致RememberMe无法正常工作。通过减少Principal中包含的数据量来缩短Cookie的长度,最终解决了这一问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

现象:

项目使用了shiro进行认证,配置了rememberMe后,死活不起作用


原因:

浏览器对cookie的大小有限制,总大小不能超过4K,服务器返回给浏览器的cookie有5k多,所以浏览器直接忽略了cookie而没有保存rememberMe这个cookie。


解决:

这串cookie其实是对 Principal 进行了序列化后再Base64的结果,要缩短cookie的长度,就需要减少Principal 的数据量,我因为把整个用户的数据(包括菜单资源)全部赋给了Principal ,导致Principal 过大,最后使用简单的对象只保存了用户的用户名和ID,减小Principal ,从而缩短了cookie的长度,解决了这个问题。

u012418561
关注
Apache Shiro 1.2.4反序列化漏洞(Shiro-550)--Shiro rememberMe反序列化漏洞(CVE-2016-4437)
薛定谔嘚喵博客
05-10 2041
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
ShirorememberMe功能
weixin_65824274的博客
07-05 2094
当登录后是可以正常访问/man的主页的,如果使用了记住我功能,会在浏览器写入cookie,关掉浏览器不需要登录即可直接访问/main.Shiro 提供了记住我(RememerMe)的功能,比如访问一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。4.但是,如果我们访问电商平台时,如果要查看我的订单或进行支付时,此时还 是需要再进行身份认证的,以确保当前用户还是你。2.登录时不勾选记住我,关闭浏览器访问主页/main还会拦截到登录页;1.配置记住我功能的cookie设置;
Shiro实现rememberMe功能
Massimo__JAVA的博客
10-06 2335
Shiro实现rememberMe功能
shrio的rememberMe不起作用
weixin_30387663的博客
08-19 287
在移植项目.每次重启服务器需要登录.比较麻烦.于是研究下shrio的功能. rememberMe大概可以满足我的需求.但是跟着网上配置了.不起作用...... 于是乎查看源代码拉.java的好处...... 找啊找啊找.终于跟到rememberMe起作用的地方.看到报错信息了.大概意思就是 rememberMe的key是取得principal.但是我在登录的时候把principal设为了对...
shiro的记住我没有生效,有可能是没有序列化
pscool的博客
06-18 543
shirorememberMe没有生效 我擦,忘了让我的user实现序列化接口了,实现后,测试正常。 其实也应该想到的,shiro有很多log.debug所以最好开启debug日志 默认保留时长是1年,所以修改,设置属性 即可 通过走源码的方式 找到DefaultSecurityManager public class DefaultSecurityManager extends SessionsSecurityManager { public Subject login(Subje
shiroremember me状态下session失效解决办法
u011827709的专栏
03-21 2227
使用shiro的时候,当我们使用remember me功能登录系统的时候,我们在用户登录自定义的session已经失效,这样就会影响系统正常运行;对于这种情况,我的解决方案是在shiro中自定义一个filter检测自定义的session是否失效,如果失效就读取数据加入到session中shiro 配置文件: <!-- 自定义加入filter,起在remember me session失效情况下刷新s
Shiro进阶(四)ShiroRememberMe
web13985085406的博客
04-22 1712
前言 本章讲解一下Shiro的记住我的功能 方法 1.概念 首先要澄清一点的是,这里的记住我并不是记住用户名和密码。 shiro的记住我是一种基于cookie实现的方式,特定的页面在关掉浏览器后(session消失)也可以进行访问的功能! 2.实现步骤 1)前台登录页面修改 如果需要记住我的功能,那么前台页面需要一个checkbox多选框来让用户进行勾选。 这里我就不进行说明了。丑一点没关系哈。 2)controller登录方法修改 3)修改shiro配置文件 <!-- 配置Shiro的Secur
Apache Shiro教程
12-30
- **RememberMe**:允许用户在下次访问时自动登录。 - **Web支持**:Shiro可以方便地与Servlet容器集成,提供过滤器实现Web安全控制。 - **Caching**:支持缓存机制,减少对数据源的频繁访问,提高性能。 - **...
Spring Boot系列(十五) 安全框架Apache Shiro(三)RememberMe
热门推荐
xtiawxf的专栏
09-22 1万+
Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie写到客户端并保存下来; 关闭浏览器再重新打开;会发现浏览器还是记住你的; 访问一般的网页服务器端还是知道你是谁,且能正常
【笔记】shiro中的RememberMe设置:
lans_sl的博客
05-19 3998
修改spring-shiro.xml文件 追加securityManager的属性配置 内置的自定义的登录控制过滤器,追加参数设置 设置过滤页面,user表示RememberMe就能访问,authc则表示需要认证 /pages/welcome.jsp=user
ShirorememberMe / session
Zllvincent的博客
09-24 7859
一、简介 ssm web 中记住用户信息可在下次用户访问时直接访问相关数据。web 中记住用户信息时使用Cookie 技术实现记住用户相关信息。 二、创建Maven Web 工程 本项目基于Shiro 之缓存 修改实现。 1.application.xml 修改为如下: <bean id="shiroFilter" class="org.apache.shiro.spring.web.Shi...
ShirorememberMe 功能使用指导(为什么rememberMe设置了没作用?)
weixin_30480651的博客
03-28 503
问题 shiro中提供了rememberMe功能。它用起来是这样的 UsernamePasswordToken token = new UsernamePasswordToken(loginForm.getUsername(),loginForm.getPassword()); if(login...
Apache Shiro(七)——ShiroRememberMe功能
传臣、的博客
10-28 9597
一、概述 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1、首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的Cookie 写到客户端并保存下来; 2、关闭浏览器再重新打开;会发现浏览器还是记住你的; 3、访问一般...
第十三章 RememberMe——《跟我学Shiro
cihongmo6452的博客
03-21 180
目录贴:跟我学Shiro目录贴 Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1、首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会...
springboot整合shiro-配置记住我(四)
这个名字想了很久
09-02 1万+
原文地址,转载请注明出处:&amp;amp;amp;amp;nbsp;https://blog.csdn.net/qq_34021712/article/details/80306432&amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;nbsp;&amp;amp;amp;amp;nbsp;©王赛超&amp;amp;amp;amp;nbsp; shiro系列 springboot整合s
Shiro入门-rememberMe
大白能的博客
04-06 1642
记住我 用户登陆选择“自动登陆”本次登陆成功会向cookie写身份信息,下次登陆从cookie中取出身份信息实现自动登陆。用户身份实现java.io.Serializable接口 向cookie记录身份信息需要用户身份信息对象实现序列化接口配置rememeberMeManager spring-shiro.xml<!-- securityManager安全管理器 --> <bean id="se
各浏览器中cookie个数和大小限制汇总(转)
weixin_30378311的博客
02-16 1303
一、浏览器允许每个域名所包含的cookie数:   Microsoft指出InternetExplorer8增加cookie限制为每个域名50个,但IE7似乎也允许每个域名50个cookie。   Firefox每个域名cookie限制为50个。   Opera每个域名cookie限制为30个。   Safari/WebKit貌似没有cookie限制。但是如果cookie很多,则会使hea...
Shiro550 Java反序列化漏洞分析
m0_54850825的博客
03-29 707
漏洞分析 Shiro提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。 ShirorememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行 序列化、AES加密、Base64编码操作。 在识别身份的时候,需要对Cookie里的rememberMe字段解密。根据加密的顺序,不难知道解密的顺序为: 获取rememberMe cookie ba
Shiro RememberMe功能演示及配置教程
Apache Shiro是一个全面的Java安全框架,它提供了灵活的安全管理功能,其中包括RememberMe功能。 #### RememberMe简介 Remember Me功能通常通过在用户的浏览器中设置一个长期的Cookie来实现。当用户选择“记住我”...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值