springboot shrio自定义cookie属性

最新推荐文章于 2024-03-16 15:03:22 发布
转载 最新推荐文章于 2024-03-16 15:03:22 发布 · 3.4k 阅读 · 2
文章标签:

#shrio cookie

本文介绍如何在SpringBoot结合Shiro框架中自定义用于保存sessionId的Cookie属性,包括设置Cookie名称、HttpOnly、Secure标志、路径、过期时间等关键参数,增强安全性。

springboot shrio自定义cookie属性

	/**
     * 配置保存sessionId的cookie
     * 注意:这里的cookie 不是上面的记住我 cookie 
     * 记住我需要一个cookie session管理 也需要自己的cookie
     * @return
     */
    @Bean("sessionIdCookie")
    public SimpleCookie sessionIdCookie(){
        //这个参数是cookie的名称
        SimpleCookie simpleCookie = new SimpleCookie("JSESSIONID");
        //setcookie的httponly属性如果设为true的话,会增加对xss防护的安全系数。
        //它有以下特点:
        //setcookie()的第七个参数
        //设为true后,只能通过http访问,javascript无法访问
        //防止xss读取cookie
        simpleCookie.setHttpOnly(true);
        simpleCookie.setSecure(true);
        simpleCookie.setPath("/");
        //maxAge=-1表示浏览器关闭时失效此Cookie
        simpleCookie.setMaxAge(-1);
        return simpleCookie;
    }
zwy924714971
关注
SpringBoot集成Shiro自定义过滤器、自定义Token、加盐加密、记住密码、自动登录、Session管理)...
海若的博客
07-10 1093
导入依赖 <!--thymeleaf集成shiro模版--> <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro<...
在前后端分离的SpringBoot项目中集成Shiro权限框架_springboot shiro 权限管理系统
最新发布
2401_87555420的博客
10-27 909
传统结构项目中,shirocookie中读取sessionId以此来维持会话,在前后端分离的项目中(也可在移动APP项目使用),我们选择在ajax的请求头中传递sessionId,因此需要重写shiro获取sessionId的方式。当在某个项目中引入spring-boot-shiro模块时,只需要在配置文件中加入shiro数据源及redis的相关配置,并在DataSourceConfig加入shiro数据源Bean即可。在项目中,权限相关表可能不在业务库中,因此有必要单独配置权限相关表的数据源。
1-Spring Boot使用Shiro
诗人不写诗
06-14 823
1、Shiro能做什么 shiro能做认证、授权、加密、会话管理、web集成、其他框架集成。 shiro不仅能用在web应用中,非web应用一样能使用。 shiro的认证、授权都是通过检验每个接口实现的,所以通过Filter来控制是最合理的,实际上Shiro也是通过建立Filter来实现的。 附录 a、Authentication Authentication is the process of identity verification– you are trying to ...
Shiro中的session和cookie
m0_67265464的博客
08-24 2600
注意:在使用SessionListenerAdapter来监听session生命周期时,onStart()方法不能作为用户登陆日志的开始时间节点,因为session的创建是在第一次请求服务器创建的,而不是用户登陆时创建的,所以不要搞混;cookie都是key-value类型的,key的值是可以改变的,这点看下源码就可以知道,存储sessionid的cookie的key的值默认为JSESSIONID.4.此时我们在浏览器看下保存的cookie值,和服务端session的sessionid时一样的。
解决spring boot项目中链接多出jsessionid的问题
qq_40805231的博客
09-11 4299
在HTML中用 时会发现得到的链接会是 " /项目名/;jsessionid=xxxxxxxxxxxxxxxxxxxx" 这样的形式,这样再去拼接链接访问就会报错。访问不到指定的页面。 在启动类中继承SpringBootServletInitializer,然后重写这个方法 public void onStartup(ServletContext servletContext) thro...
Spring Boot + Vue + Shiro 实现前后端分离、权限控制
公众号:Java后端
05-23 366
作 者:_Yufan来 源:cnblogs.com/yfzhou/p/9813177.html广而告之:由于此订阅号换了个皮肤,系统自动取消了读者的公众号置顶。导致用户接...
springboot实现cookie的HttpOnly设置
qq_33164327的博客
12-04 2665
Cookie设置HttpOnly属性
SpringBoot整合Shiro后实现免密登录
04-11
SpringBoot整合Shiro后实现免密登录 1,说明一下步骤,需要在原来基础新增三个文件 2,新增CustomToken,重写UsernamePasswordToken免密登录调用方法和密码登录调用方法都在里面。 3,新增...
shiro+spring boot:权限管理自定义完整流程
xueping_wu的博客
06-13 810
shiro+spring boot:权限管理自定义完整流程权限管理自定义完整步骤步骤1:自定义token认证步骤2:自定义过滤器步骤3:自定义Realm 权限管理自定义完整步骤 简单步骤如下: 1:通过过滤器拦截用户请求接口,从request中获取到用户认证信息(比如token); 2:将前端传来的认证信息(如token)整合成我们自定义shiro用户认证的UsernamePasswordToken; 3: 步骤1:自定义token认证 在shiro包中新建CustomUsernamePasswordTok
springboot+shiro+redis缓存+redis会话管理(自定义)
热门推荐
某某人的博客
01-07 1万+
首先要想通过Redis进行会话管理和缓存的话   就要实现这些各类 Cache、CacheManager、CachingSessionDao都是shiro里面的类。 讲一下在写代码中遇到的坑 1.序列化和反序列化的问题 序列化的问题主要是体现在对session的id进行序列化的时候会出现一个问题,可以利用Apache的common的lang3组件里面有对序列化操作的工具类。但是我在处理的过程
Shiro配置cookie以及共享Session和Session失效问题
我的博客
12-03 1773
Shiro的会话管理器的配置 <!-- shiro会话管理 --> <!-- 即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的 --> <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <property name=.
springboot+shiro实现自定义header登录认证
技术交流,共同进步
08-09 4203
springboot+shiro实现自定义header登录认证 基本配置 config子包的ShiroConfig引入了Shiro并配置了shirFilter、realm和sessionManager; shiroFilter配置只允许少量url可以匿名访问,其他url都需要登录才能访问; realm设置的是shiro子包的AdminAuthorizingRealm类,该类作用是认证和授权的功能;...
Spring Boot -Cookies
allway2的博客
01-29 2862
Spring Boot - Cookies | Xing's Bloghttps://xinghua24.github.io/SpringBoot/Spring-Boot-Cookies/ 让我们学习如何在 Spring Boot 应用程序中使用 cookie。 什么是 HTTP Cookie HTTPcookie(Web cookie,浏览器 cookie)是服务器发送到用户 Web 浏览器的一小段数据。浏览器可以存储它并将其与以后的请求一起发送回同一服务器。通常,它用于判断两个请求是否来自同.
springboot web项目中 Set-Cookie 失败 办法
寂夜了无痕的博客
10-28 2628
springboot web项目中 Set-Cookie 失败 办法
springcloud微服务架构下Gateway网关转发请求,微服务为浏览器设置cookie的试错经历
Danwich的博客
02-14 3758
前言: 最近在做互联网+的项目,后端打算采用分布式微服务架构,也算是给自己练习一下springcloud,现在做到网关的这一步,初步打算在网关做一个鉴权的操作,用户登录成功后,给客户端设置一个jwt加密的cookie用于鉴权操作,所以有了这一次试错。 问题描述: 最开始,我搭好网关之后,分别用jquery ajax和axios的方式,测试了一下,都出现了2个问题,首先是报的跨域问题,其次,后端微服务设置cookie也没有出现在浏览器中 原因分析: 首先那么问题来了,我在后端是有设置跨域允许的,
使用shiro中的SimpleCookie存入cookie信息
qq_33321351的博客
01-25 1万+
最近在使用http cookie时发现了shiro下的cookie也可以实现相同的功能 代码如下 SimpleCookie simpleCookie = new SimpleCookie(); simpleCookie.setName("lang"); simpleCookie.setValue(lang); Cookie cookie = simpleCookie; //"lang",lang ...
springboot Cookie设置Secure为true
xiaofengfeng_24的博客
05-24 5242
加密会话(SSL)Cookie 中缺少 Secure 属性
springboot + shiro 实现记住我
快乐的小三菊的博客
05-21 2276
第一次登录的时候,需要用户自己输入用户名和密码,选中记住的标签。登录成功之后,此时关掉浏览器,再打开浏览器,再次输入刚才的网址,即可发现这次登录不需要再输入用户名和密码,即可直接进入验证通过的界面。达到的最终效果就是第一次使用账号和密码登录(登录成功),此时退出浏览器,然后重新打开网页登录界面,就会自动登录到登录成功的网页上。我们平常在登录网站的时候,经常会发现网页上有个。是如何实现,说白了就是携带参数,将请求发送到。此时,启动工程,输入网址。类是如何实现,需要注意的是。,看下浏览器帮我们保存的。
5_springboot_shiro_jwt_多端认证鉴权_禁用Cookie
paopao_wu的专栏
03-16 1480
cookie是什么,Shiro中在服务端怎么禁用,禁用后通过在将sessionID放入到自定义的请求头中实现会话保持,自定义SessionManager实现
springboot shiro启动CSRF防护
09-09
### 回答1: 在Spring Boot中使用Shiro实现CSRF防护,可以通过以下步骤实现: 1. 配置Shiro的过滤器,将CsrfFilter加入到过滤器链中。 ```java @Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); shiroFilter.setSecurityManager(securityManager); Map<String, Filter> filters = new HashMap<>(); filters.put("csrf", new CsrfFilter()); shiroFilter.setFilters(filters); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/logout", "logout"); filterChainDefinitionMap.put("/api/**", "csrf,authc"); shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilter; } ``` 2. 实现CsrfFilter,对POST、PUT、DELETE请求进行CSRF Token验证。 ```java public class CsrfFilter extends OncePerRequestFilter { private final String CSRF_TOKEN = "csrfToken"; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { if (HttpMethod.POST.matches(request.getMethod()) || HttpMethod.PUT.matches(request.getMethod()) || HttpMethod.DELETE.matches(request.getMethod())) { HttpSession session = request.getSession(false); if (session != null) { String csrfToken = (String) session.getAttribute(CSRF_TOKEN); if (csrfToken != null && csrfToken.equals(request.getHeader(CSRF_TOKEN))) { filterChain.doFilter(request, response); return; } } response.setStatus(HttpStatus.FORBIDDEN.value()); return; } filterChain.doFilter(request, response); } } ``` 3. 在登录成功后生成CSRF Token,并将其存储到Session中。 ```java Subject subject = SecurityUtils.getSubject(); if (subject.isAuthenticated()) { Session session = subject.getSession(true); String csrfToken = UUID.randomUUID().toString(); session.setAttribute(CSRF_TOKEN, csrfToken); Cookie cookie = new Cookie(CSRF_TOKEN, csrfToken); cookie.setHttpOnly(true); cookie.setPath("/"); response.addCookie(cookie); return "redirect:/index"; } ``` 这样,通过配置Shiro的过滤器和实现CsrfFilter,就可以在Spring Boot中使用Shiro实现CSRF防护了。 ### 回答2: Spring Boot是一个开源的Java开发框架,用于快速构建Java应用程序。而Shiro是一个强大且易于使用的Java安全框架,提供了身份认证、授权、加密和会话管理等功能。在Spring Boot中启用Shiro的CSRF防护可以通过以下步骤完成: 1. 首先,在项目的依赖中添加Shiro和Spring Security相关的依赖项。可以在项目的pom.xml文件中添加相应的依赖项,例如: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 在项目的配置文件中配置Shiro和Spring Security的相关信息。可以在application.properties或application.yml文件中添加相关配置项,例如: ```yaml # Shiro配置 shiro: cookie: name: shiroCookie loginUrl: /login successUrl: /home unauthorizedUrl: /unauthorized # Spring Security配置 spring: security: enable-csrf: true require-csrf-protection-matcher: /api/** ``` 上述配置项中,我们指定了Shirocookie名称,登录URL,成功URL和未授权URL。同时,我们启用了Spring Security的CSRF防护,并指定了需要进行CSRF防护的URL匹配规则。 3. 在项目的启动类中加上@EnableWebSecurity注解。这样可以启用Spring Security的CSRF防护功能。例如: ```java @EnableWebSecurity public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } } ``` 通过以上步骤,我们就成功地启用了Spring Boot中的Shiro和Spring Security的CSRF防护功能。这将保护我们的应用程序免受CSRF攻击的威胁,增加了系统的安全性。 ### 回答3: 在Springboot中启用Shiro框架的CSRF防护可以通过以下步骤实现: 1. 添加Shiro-Spring依赖: 在项目的pom.xml文件中,添加Shiro-Spring的依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version> </dependency> 2. 配置ShiroFilterFactoryBean: 在Springboot的配置类中,创建一个ShiroFilterFactoryBean的实例并进行配置。其中,需要设置`securityManager`属性Shiro的SecurityManager实例,并设置`filters`属性为一个Map,将CSRF过滤器添加至其中。 @Bean public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryBean.setSecurityManager(securityManager()); Map<String, Filter> filterMap = new LinkedHashMap<>(); filterMap.put("csrf", new CsrfFilter()); shiroFilterFactoryBean.setFilters(filterMap); return shiroFilterFactoryBean; } 3. 配置CsrfFilter: 创建一个自定义的CsrfFilter类,继承Shiro的官方提供的FormAuthenticationFilter。在该类中,重写preHandle方法,在请求到达目标方法之前进行CSRF防护的逻辑处理。例如,可以检查请求中的CSRF Token是否匹配,如果不匹配则返回错误信息。 public class CsrfFilter extends FormAuthenticationFilter { @Override protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception { // CSRF防护逻辑处理 // 检查CSRF Token是否匹配 // 如果不匹配,返回错误信息 // 如果匹配,继续执行目标方法 return super.preHandle(request, response); } } 4. 配置CSRF Token: 在每个请求页面中,需要生成一个随机的CSRF Token,并将其放置在请求参数或者请求头中,以便进行CSRF防护。可以通过在表单中添加隐藏字段或者在请求头中添加自定义字段的方式实现。 以上是通过Springboot整合Shiro实现CSRF防护的简要步骤。具体的实现步骤和配置可根据项目的实际情况进行调整和扩展。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值