shiro remembeMe 原理分析

最新推荐文章于 2022-08-24 05:12:49 发布
转载 最新推荐文章于 2022-08-24 05:12:49 发布 · 2.2k 阅读 · 4 ·
CC 4.0 BY-SA版权
原文链接:https://juejin.im/post/5cbd28c2e51d456e2c24852a
文章标签:

#前端 #后端 #ViewUI

本文介绍了Shiro框架的RememberMe功能,用于在用户重启浏览器后保持登录状态。通过分析源码,详细讲解了Shiro如何记录和重新读取用户状态,包括在用户登录成功后设置RememberMeManager,使用cookie保存用户凭证组信息,并使用AES加密保证安全。同时,文章讨论了RememberMe与普通登录的差别,以及如何通过不同的拦截器配置来区分这两种情况。

前言:

项目需要用户重启浏览器后,还能记录用户登录状态。项目鉴权使用了shiro框架,发现rememberMe功能刚好可以实现需求。按照教程把功能实现后,顺带阅读了一下源码,在这里做下阅读记录。

必要知识:

众所周知,前端访问后端接口后,后端会向前端cookie写个sessionid作为会话标记。session有效期为这次关闭浏览器,所以只要重启时,保存下来,就能实现记录状态的功能了。

在shiro提供的SecurityManager中,网站开发,我们常用DefaultWebSecurityManager,它继承于DefaultSecurityManager。DefaultSecurityManager是shiro自带实现的最基础但已直接可用的SecurityManager,它包含了shiro所有主要的鉴权流程。

shiro如何记录用户状态:

用户登陆:

public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
    ...

    onSuccessfulLogin(token, info, loggedIn);

    return loggedIn;
}
复制代码

在用户登录成功后,会有一个后置处理:

protected void onSuccessfulLogin(AuthenticationToken token, AuthenticationInfo info, Subject subject) {
    rememberMeSuccessfulLogin(token, info, subject);
}
复制代码

它的内部,就是来向前端cookie中记录当前登陆状态,

 protected void rememberMeSuccessfulLogin(AuthenticationToken token, AuthenticationInfo info, Subject subject) {
    RememberMeManager rmm = getRememberMeManager();
    if (rmm != null) {
        try {
            rmm.onSuccessfulLogin(subject, token, info);
        ...
}
复制代码

DefaultWebSecurityManager在构造时,默认会设置一个RememberMeManager

public DefaultWebSecurityManager() {
    super();
    ...
    setRememberMeManager(new CookieRememberMeManager());
}
复制代码

具体执行cookie记录(看源码注释: 不管有没有,先删除一下,然后判断现在是否需要rememberMe)




                

        




    


  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
shiro学习29-实现rememberMe功能-RememberMeManager

				
			

			

				

					iteye_14612的博客
				

				

					02-18
					
					3240
					
				

			

		

		

			
				

这个接口是用来实现rememberme的功能的。他的实现类为AbstractRememberMeManager,是一个抽象类,最终的继承类为cookieRememberMeManager,即将信息发送到cookie中。
先看一下defaultWebSecurityManager的构造方法:
 
public DefaultWebSecurityManager() {
        s...

			
		

	



                

            
              



	

		

			

				
					
Shiro实现原理

					
最新发布

				
			

			

				

					因为不想回家,所以还是去搬砖。
				

				

					02-04
					
					1137
					
				

			

		

		

			
				
Shiro 是一个强大的 Java 安全框架,提供了认证、授权、会话管理和加密等功能。其核心原理主要包括以下几个方面:认证、授权、会话管理和加密。接下来我将简要说明 Shiro 的实现原理

			
		

	



              


  
              

                


	

		

			

				
					
Shiro 实现记住我功能

				
			

			

				

					Charge8的博客
				

				

					04-27
					
					6534
					
				

			

		

		

			
				
登录一些网站的时候,在登录输入框的下侧一般都会有一个“记住我”的勾选框,选择之后,下次进入网站时就会自动进行登录操作,无需我们再次输入密码。



有关“记住我”的实现原理如下:

1、首先在登录页面选中“记住我”然后登录成功;如果是浏览器登录,一般会把“记住我”的Cookie写到客户端并保存下来。

2、关闭浏览器再重新打开,会发现浏览器还是记住你的。

3、访问一般的网页服务器端还是知道你是...

			
		

	





	

		

			

				
					
ShiroRememberMe的理解

				
			

			

				

					ITWANGBOIT的博客
				

				

					10-23
					
					521
					
				

			

		

		

			
				
1:设置cookie的存活时间

2:shiro把认证成功的principal序列化到cookie中,然后发送到浏览器端。以往是将session的id存放到cookie中,浏览器再次访问时,带着cookie中的sessionid来服务器中找session。

3:打开浏览器再次访问系统时,带着cookie中序列化的principal来访问系统。

4:所以shiroRememberMe和sess...

			
		

	



		

			
		



	

		

			

				
					
Springboot2集成Shiro框架(五)使用rememberMe功能

				
			

			

				

					New_Yao的博客
				

				

					09-10
					
					1953
					
				

			

		

		

			
				
目录1、什么是rememberMe2、rememberMe工作原理2.1
1、什么是rememberMe
shiro为我们提供了rememberMe功能,也就是记住我功能,这个功能的作用很简单,就是记住我,很多网站上都会有15天免登陆之类的功能,当我们设置了rememberMe功能后,只要登录一次,在不手动退出登录的情况下直接关闭浏览器,然后再次打开浏览器,仍然可以直接访问到属于自己的信息,这里就...

			
		

	





	

		

			

				
					
 基于shiro框架实现自动登录(rememberMe)

				
			

			

				

					weixin_34405925的博客
				

				

					01-11
					
					952
					
				

			

		

		

			
				
shirorememberMe流程原理研究
输入用户密码正儿八经登录时, 如果勾选了"记住我", 则后台给shiro设置rememberme


前一次登录勾选了记住我, 则本次登录时isRemembered()==true(如果上一次设置了rememberme, 本次登录是不会触发action中的login()的方法的, 即会直接进入登...

			
		

	





	

		

			

				
					
shiro授权的实现原理

				
			

			

				

					08-29
				

			

		

		

			
				
Shiro 授权的实现原理  Shiro 授权的实现原理是指在应用中控制谁能访问哪些资源的机制。这个机制主要涉及到四个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。  1. 主体...

			
		

	





	

		

			

				
					
SpringBoot中Shiro的实现和基本原理分析

				
			

			

				

					qq_42332204的博客
				

				

					05-17
					
					1531
					
				

			

		

		

			
				
简述
​		Shiro由Apache开发,是一个轻量级的java安全和权限框架。相较SpringSecurity,Shiro的更加简单且与Spring无直接依赖关系,可以搭配其他的java框架进行开发更加灵活。
功能


Shiro功能图示





Authentication 认证功能
对用户进行身份验证,判断用户是否拥有某个具体存在的用户身份。


Authorization 授权功能
授权,对已经认证的用户进行权限验证,判断用户是否拥有权限执行相应的操作。此功能需要在认证以后才能使用。


Sess

			
		

	





	

		

			

				
					
Shiro原理+配置

				
			

			

				

					05-25
				

			

		

		

			
				
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。  Realm: Realm充当了Shiro与应用安全数据间的"桥梁"或者"连接器"。也...

			
		

	





	

		

			

				
					
Shiro 实现 RememberMe 功能

				
			

			

				

					暗星涌动
				

				

					10-08
					
					5866
					
				

			

		

		

			
				
本文内容:ShiroRememberMe 功能的介绍以及实现。1介绍Shiron 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器...

			
		

	





	

		

			

				
					
springmvc+shiro实现记住我功能以及权限缓存.rar

				
			

			

				

					07-20
				

			

		

		

			
				
springmvc+shiro实现记住我功能以及权限缓存,权限缓存用来保证不用每次都访问数据库,记住我功能用于用户关闭浏览器,在次访问还是可以的

			
		

	





	

		

			

				
					
Shiro记住我(RememberMe

				
			

			

				

					Hern(宋兆恒)
				

				

					12-17
					
					6401
					
				

			

		

		

			
				
简介

Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝 等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁, 下次访问时无需再登录即可访问,基本流程如下: •

登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe 的Cookie写到客户端并保存下来;
	关闭浏览器再重新打开;会发现浏览器还是记住你的;
	访问一般的网页服务器端...

			
		

	





	

		

			

				
					
Shiro入门-rememberMe

				
			

			

				

					大白能的博客
				

				

					04-06
					
					1668
					
				

			

		

		

			
				
记住我 
用户登陆选择“自动登陆”本次登陆成功会向cookie写身份信息,下次登陆从cookie中取出身份信息实现自动登陆。用户身份实现java.io.Serializable接口 
向cookie记录身份信息需要用户身份信息对象实现序列化接口配置rememeberMeManager spring-shiro.xml<!-- securityManager安全管理器 -->
<bean id="se

			
		

	





	

		

			

				
					
shiro的源码分析(一)

				
			

			

				

					weixin_33937499的博客
				

				

					07-14
					
					161
					
				

			

		

		

			
				
(一)//1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
Factory factory =new IniSecurityManagerFactory("classpath:shiro.ini")
2.factory类的类结构为:



(3)abstractFactory类主要设置是否单例


(4)iniFactor...

			
		

	





	

		

			

				
					
Shiro使用和源码分析---7

				
			

			

				

					conansonic的博客
				

				

					11-14
					
					3487
					
				

			

		

		

			
				
Realm相关源码分析在上一章的分析中提到了Realm的supports函数和getAuthenticationInfo,下面就来看。参照第四章开头的Spring配置,最后得到的是一个AuthorizingRealm。 
先看一下AuthorizingRealm的继承关系,public abstract class AuthorizingRealm extends AuthenticatingRea

			
		

	





	

		

			

				
					
shiro自定义filter-rememberMe

				
			

			

				

					qq_24903931的博客
				

				

					05-15
					
					882
					
				

			

		

		

			
				
shiro记住我功能原理
采用记住我功能之后,shiro会在cookie中,添加rememberMe属性值。



关闭浏览器之后,cookie信息没有清空,再次打开浏览器,进行访问。

shiro读取rememberMe,其值是用户的唯一标识进行Base64编码后的结果。

shirorememberMe值进行解码,解码之后,将该值添加至subject对象中。

场景
Base64编码不是加密...

			
		

	





	

		

			

				
					
思维导图视频代码揭秘shiro rememberme

				
			

			

				

					实践求真知
				

				

					06-02
					
					322
					
				

			

		

		

			
				
思维导图、视频、代码携手揭秘shiro,干货多多,趣味多多!


目录

思维导图

视频

代码

思维导图



视频

链接:https://pan.baidu.com/s/1piJ7tT3YJHdcgJVC9st9qw
提取码:q0ek

代码

https://gitee.com/cakin24/shirodemo/tree/master/shiro-example-chapter13
...

			
		

	





	

		

			

				
					
Shiro使用和源码分析---5

				
			

			

				

					conansonic的博客
				

				

					11-10
					
					4258
					
				

			

		

		

			
				
getSubject分析上一章看完了DefaultWebSecurityManager的构造函数,首先来分析getSubject函数。getSubject定义在AccessControlFilter中。getSubject    protected Subject getSubject(ServletRequest request, ServletResponse response) {

			
		

	





	

		

			

				
					
Shiro进阶(四)ShiroRememberMe

				
			

			

				

					m0_67393619的博客
				

				

					08-24
					
					439
					
				

			

		

		

			
				
本章讲解一下Shiro的记住我的功能。

			
		

	





	

		

			

				
					
shiro-550 漏洞原理分析

				
			

			

				

					06-06
				

			

		

		

			
				
该漏洞的原理是由于Shiro框架在反序列化时存在漏洞,攻击者可以通过构造恶意的序列化数据包,触发远程代码执行漏洞,从而实现对目标系统的完全控制。  具体来说,当Shiro框架在反序列化过程中,会调用Java的...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值