tomcat和shiro的关于session的问题

最新推荐文章于 2023-07-15 18:16:57 发布
最新推荐文章于 2023-07-15 18:16:57 发布
阅读量2.4k 收藏 2
点赞数 1
分类专栏: java开发 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wodediqizhang/article/details/89002702
版权
本文探讨了Tomcat重启后Shiro会话(session)存在的问题,即虽然会话保留但自定义属性丢失,导致用户信息缺失。提出了验证用户登录状态的三步骤解决方案,并分析了不同类型的会话存储方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        tomcat重启之后,session不会失效,会将session保存在本地文件中。详见https://blog.youkuaiyun.com/li2054/article/details/78470072解决tomcat服务器重启之后session不失效的问题。
        所以在使用shiro的时候就出现了一个问题,调用的subject.isAuthenticated()方法的时候,会发现返回的是true。
项目是在subject.getSession的session中,把用户信息放在了session里。tomcat重启之后,session还在,subject也在,但是session里保存的数据已经没了。这样调用接口的时候校验登录是通过了,但是用户信息却没了。
    tomcat重启后,查询到的数据如下:
    subject:{"empty":false,"primaryPrincipal":"0400","realmNames":["com.hanshows.framework.security.AuthorizationRealmFilter_0"]}
    session:{"attributeKeys":["org.apache.shiro.subject.support.DefaultSubjectContext_AUTHENTICATED_SESSION_KEY","org.apache.shiro.web.session.HttpServletSession.HOST_SESSION_KEY","org.apache.shiro.subject.support.DefaultSubjectContext_PRINCIPALS_SESSION_KEY"],"host":"0:0:0:0:0:0:0:1","id":"C2B35F297FA10BDE940F07D238920FBA","lastAccessTime":1554257621367,"startTimestamp":1554257542547,"timeout":3600000}
        此时发现,session的attributeKeys只有DefaultSubjectContext_AUTHENTICATED_SESSION_KEY,而我们登陆时set的key已经没有了。说明tomcat只是保存了session的基本信息,我们自定义setAttribute的值不会保存。
    解决方案
    在shiro校验用户登录时,应该校验三步:
        1.查看subject是否存在,
        2.查看session是否存在
            session.getAttribute(myKey)存的值是否存在
        3.查看subject.isAuthenticated()是否为true,是否登录
    PS:本项目是使用了session.setAttribute(myKey,UserInfo);的方式存储用户信息。如果用户默认使用的shiro自带的用户存储配置passportObjs.getPrincipals();则不会出现文章的问题。
    PS2:shiro的subject.getSession和mvc的httpServletRequest的getSession是同一个,都是HttpSession。详见https://my.oschina.net/thinwonton/blog/979118

遇到问题--k8s-tomcat-部署的web项目session丢失shiro认证无效随机拦截
直到世界的尽头
08-28 1456
情况 最近把一个在服务器tomcat中运行的web项目 迁移到k8s中,发布成功后,遇到奇怪的现象,登录随机成功,查看页面时也会随机被拦截,表现为session失效,shiro的认证信息丢失。 登录或者点击页面,3次有1次成功,2次失败被拦截。 奇怪的是 该项目在 内测测试的k8s环境中并没有出现这个情况,ingress代理跳转的规则 项目代码都是一样的。 原因 经过排查,发现唯一的区别 内测测试环境中,pod的数量为1,正式版的pod数量为2. 这样就能合理解释了 随机登录成功失败的问题。 因为
Spring Boot + Shiro 实现 Session 持久化实现思路及遗留问题
最新发布
DN金猿的博客
07-23 442
从这个角度而言,我们可以通过 Session 监听器监听 Session 创建销毁,属性变更,并将所有创建的SessionId 存储起来,当要踢出某个用户时,用户的Request请求到来时判断Request中SessionId是否一致,一致的话令Session失效,从而实现这个功能!6、上图显示,我们可以拿到所有获得的session,并且内部用户信息无误,此时我们只需要将上述代码中的(1)、(2)打开在完全遵守Shiro的应用规则下理应可以删除对应用户!在用户基础服务中,需要实现删除用户功能。
nginx+tomcat shiro实现多tomcatsession共享
06-30
分布式nginx多tomcat shiro共享session
Shiro 实现 Tomcat 集群的 Session 共享
liuningwcsdn的博客
04-04 1744
一、背景Session 共享有多种方案,之前写过《Spring Session 实现 Tomcat 集群的 Session 共享》 文章,功能实现起来非常简单方便。最近在学习 Shiro 框架,Shiro 也提供了会话管理的功能。如果项目中选用 Shiro 作为权限控制的方案,同时项目又需要集群,那么可以自定义 sessionDAO 来实现 Session 共享。二、实现JDK:1.8容器:To...
Spring+Shiro+Redis实现tomcat集群session共享问题
wangxiaolong的博客
11-25 1167
最近在spring中集成了shiro框架并用redis实现session共享,发现项目启动后运行时老是报错,信息如下: org.apache.shiro.session.UnknownSessionException: There is no session with id [xxxx]的问题,具体问题如下图: org.apache.shiro.session.UnknownSessionE...
tomcat重启依然保持session有效(登录状态)
Code-Create-World
04-17 9195
原理: 1、当tomcat--》stop server,tomcat会将内存中的session信息序列化到硬盘上  2、当tomcat再次重启时,若想session中的信息能够被序列化回来,也就是依然有效,那么session中保存的信息及其关联信息一定要实现序列化接口:java.io.Serializable       这有这样,即使tomcat重新启动了,session依然能够有
解决ShiroTomcat重启之后丢失登录信息
哈哈哈哈哈哈哈
08-11 3949
解决ShiroTomcat重启之后丢失登录信息 相关环境: Spring Boot + Shiro + Tomcat 在项目中遇到这样一个问题: 需要在后台修改某一项配置,该配置采用配置文件的形式,并通过Spring映射为配置Bean,现在需要修改配置文件能够控制前端界面显示。 要实现的目标有两个: 1.修改完配置文件后需要将新配置写入到配置文件。 2.配置立即生效。 在调试环境...
基于spring redis的shiro session共享
05-27
shiro 框架没有用tomcatsession,而是重新实现了一套。所以系统一旦引入shiro后,采用传统的tomcat session共享机制是无效的,必须采用面向shirosession共享。 网上针对“shiro session共享”的文章比较多,...
Shiro 关于校验Session过期、有效性的设计概念
07-11 1031
核心行为 开启Session校验调度任务、校验所有的session、具体的Session自我校验、关闭Session校验调度任务 核心类 ValidatingSessionManager、SessionValidationScheduler、ValidatingSession ValidatingSessionManager的行为 public interface Vali...
关于SSM整合项目用到ShiroTomcat报错的解决方式
An_person的博客
11-16 574
当我们使用ssm框架整合进行项目开发,使用Shiro作为安全验证管理,在web.xml中配置Shiro过滤器后 启动Tomcat会报错: Error during artifact deployment. See server log for details.此时我们可能会认为是项目布置错了,当然这种情况也存在 你可以重新配置Tomcat项目。 此时如果我们项目使用了Shiro 我们可以在web....
shiro获取session用户_apache shiro 获取在线用户 记录不下用户登录状态
weixin_39531992的博客
12-20 368
我的配置文件中如下:使用spring mvc 3后台代码:@Autowiredprivate SessionDAO sessionDAO;public Set getOnlineLoginNames(){Collection sessions = sessionDAO.getActiveSessions();Iterator it = sessions.iterator();Set loginNa...
shiro设置会话使用户重新登录验证后方可访问系统
qq_41630490的博客
08-15 344
shiro配置如下: 使用DefaultWebSessionManager,这个会话管理器会使用MemorySessionDAO对会话进行crud操作。设置会话剔除指定用户访问权限: AUTHENTICATED_SESSION_KEY记录用户是否验证通过,设置为false后,该用户下次发起请求时将被shiro重定向至shiro中设置的登录URL。之前试过通过删除会话以及设置极短的会话过期时间来触发重新认证,最终确定为该方法,这样服务端可以继续利用之前创建的会话而不用在用户重新登录时创建会话。 ...
shirojava安全框架)
prettysunshine的博客
07-24 3106
shiro是干什么的: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学会话管理。 为什么要学shiro?优势在哪? 既然shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 shiro使用广泛,shiro可以运行在web应用,非web应用,集群分布式应用中越来越多的用户开始使用...
解决shiro在没有注销的情况下重新登陆的问题
skyuck的专栏
03-24 1532
在使用shiro的时候遇到一个比较操蛋的问题,就是用户登陆之后一直后退,会后退到登陆界面,如果用户这个时候再输入用户名密码进行登陆的时候shiro就会报一个错误。 具体原因是再执行登陆的时候会调用org.apache.shiro.web.filter.AccessControlFilter类里面的onPreHandle方法。 [img]http://dl2.iteye.com/upl...
超级简单学习Shiro会话管理
weixin_66110079的博客
08-29 308
Override}@Override}@Override}}Ehcache是现在最流行的纯Java开源缓存框架,配置简单、结构清晰、功能强大。是Hibernate中默认CacheProvider。Ehcache是一种广泛使用的开源Java分布式缓存。主要面向通用缓存,Java EE轻量级容器。它具有内存磁盘存储,缓存加载器,缓存扩展,缓存异常处理程序,一个gzip缓存servlet过滤器,支持RESTSOAP api等特点。...
Hibernate 二级缓存
chenbowenleave的博客
09-08 267
Hibernate 二级缓存 提高程序的性能 关系型数据库:数据与数据之间存在关系(联系)的数据库 mysql/Oracle、sqlserver 非关系型数据库:数据与数据之间是不存在关系的,key-value 1、基于文件存储的数据库:ehcache 2、基于内存存储的数据库:redis、memcache 3、基于文档存储的数据库:mongodb 什么样的数据需要缓存 很少被修改或根本不改的数据...
shirosession问题
2301_77664771的博客
07-15 671
原因: 默认DefaultWebSessionManager它只接受Cookie中存储的JsessionId. 查询发现再redis中不存在对应的key.客户发送请求时,再请求头中携带sessionId, 然后重写DefaultWebSessionManager中getSessionId()的方法。默认session存储再各自服务的内存中,可以让session统一存储再redis中。我们发现跨域请求,会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。修改shiro的配置类。
Shiro中的sessioncookie
qq_36816062的博客
11-26 3168
Shiro中的sessioncookie 最近项目在整合Shiro框架,顺便深入学习了Shirosessioncookie。 HTTP协议是无状态的,所以在web项目中一般都是通过sessioncookie来保持浏览器服务器之间的会话的。 shiro也是如此,当浏览器第一次请求服务器时,服务器会生成一个session,同时创建cookie,将sessionId保存在cookie中,cookie再作为响应头返回到浏览器并保存。这也就是我们常说的“cookie保存在客户端,session保存在服务器端
记一次蛋疼的tomcatshiro自动生成的JESSIONID去除历程..........
hackerHL的博客
08-25 6449
近日手头上有一份蛋疼的渗透测试报告,洋洋洒洒列了几十条,本菇凉连月加班才勉勉强强,从对这些漏洞的无知,到为web打补丁、防攻击,真是心力交瘁,内忧外患。 今天遇到的漏洞,学名为:会话cookie通过URL传递 按照字面理解呢,就是JESSIONID放在url中,直接列在浏览器上,安全公司认为这是敏感信息,不宜大张旗鼓的展示。 好吧,我改。55555555555........... 先给大...
基于ShiroRedis实现Tomcat集群Session共享的解决方案
本文主要介绍了使用ShiroRedis实现Tomcat集群session共享的解决方案。该方案可以解决在使用Nginx做项目集群时出现的session共享问题,从而避免用户登录后再次请求资源时需要重新登录的问题。 一、背景 在使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值