Spring Boot系列(十五) 安全框架Apache Shiro(三)RememberMe

最新推荐文章于 2025-07-07 22:34:57 发布
原创 最新推荐文章于 2025-07-07 22:34:57 发布 · 1.2w 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SpringBoot #Shiro #RememberMe

本文详细介绍了如何在Spring Boot应用中使用Apache Shiro框架实现RememberMe功能,让用户在关闭浏览器后再次打开时仍能保持登录状态。主要步骤包括配置Cookie管理器、注入SecurityManager、添加记住我过滤器、更新登录Token以及调整前端页面。测试结果显示,用户在勾选Remember Me后,即使关闭浏览器,再次访问也能直接进入应用页面。

Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下:

  1. 首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie写到客户端并保存下来;
  2. 关闭浏览器再重新打开;会发现浏览器还是记住你的;
  3. 访问一般的网页服务器端还是知道你是谁,且能正常访问;
  4. 但是比如我们访问淘宝时,如果要查看我的订单或进行支付时,此时还是需要再进行身份认证的,以确保当前用户还是你。

下面是基于上一章节缓存的案例,增加RememberMe的步骤:
步骤1:在ShiroConfiguration配置中 创建Cookie(记住我)管理器@Bean

/**
* cookie管理器;
* @return
*/
@Bean
public CookieRememberMeManager rememberMeManager(){
    logger.info("注入Shiro的记住我(CookieRememberMeManager)管理器-->rememberMeManager", CookieRememberMeManager.class);
    CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
    //rememberme cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位),通过以下代码可以获取
    //KeyGenerator keygen = KeyGenerator.getInstance("AES");
    //SecretKey deskey = keygen.generateKey();
    //System.out.println(Base64.encodeToString(deskey.getEncoded()));
    byte[] cipherKey = Base64.decode("wGiHpl
最低0.47元/天 解锁文章
Apache Shiro 1.2.4反序列化漏洞(Shiro-550)--Shiro rememberMe反序列化漏洞(CVE-2016-4437)
薛定谔嘚喵博客
05-10 2176
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
Spring Boot 安全框架 Spring Security & Shiro
陌尘吖的博客
08-16 587
1Spring Security 1.1、概述 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean ,充分利用了 Spring IoC , DI (控制反转 Inversion of Control, DI:Dependency Injection 依赖注入)和 AOP (面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码
ShirorememberMe功能
weixin_65824274的博客
07-05 2155
当登录后是可以正常访问/man的主页的,如果使用了记住我功能,会在浏览器写入cookie,关掉浏览器不需要登录即可直接访问/main.Shiro 提供了记住我(RememerMe)的功能,比如访问一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。4.但是,如果我们访问电商平台时,如果要查看我的订单或进行支付时,此时还 是需要再进行身份认证的,以确保当前用户还是你。2.登录时不勾选记住我,关闭浏览器访问主页/main还会拦截到登录页;1.配置记住我功能的cookie设置;
Apache Shiro 的Remember Me
王浩的技术博客
10-18 465
Shiro中提供“记住我”的功能,其与已认证有着明显的区别: l Remembered(记住我):一个记住我的Subject 不是匿名的,而且有一个已知的身份ID(也就是subject.getPrincipals()是非空的)。但是这个被记住的身份ID 是在之前的session 中被认证的。如果subject.isRemembered()返回true,则Subject 被认为是被记住的。 l...
Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞【原理扫描】
Gblfy_Blog
12-06 4692
文章目录一、分析定位1. 漏洞描述2. 项目引发漏洞简述二、解决方案2.1. 若依系统2.2. Gus系统 一、分析定位 1. 漏洞描述 目前厂商已经发布了新版本修复这个安全问题,请到厂商的主页下载: https://issues.apache.org/jira/browse/SHIRO-550 https://shiro.apache.org/download.html 2. 项目引发漏洞简述 若依/Guns管理系统使用了Apache ShiroShiro 提供了记住我(RememberM
Apache Shiro(七)——ShiroRememberMe功能
传臣、的博客
10-28 9662
一、概述 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1、首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的Cookie 写到客户端并保存下来; 2、关闭浏览器再重新打开;会发现浏览器还是记住你的; 3、访问一般...
SpringBoot+shiro 实现rememberMe
小小酥的博客
04-18 1216
ShiroConfig.java @Configuration public class ShiroConfig { //注入自定义的realm,告诉shiro如何获取用户信息来做登录或权限控制 @Bean public Realm realm() { return new MyRealm(); } public SimpleCook...
"简易高效的Spring Boot整合Apache Shiro安全框架
Spring Boot整合Shiro是将功能强大、灵活的开源安全框架Apache ShiroSpring Boot框架进行整合的过程。Apache Shiro被设计用来干净利落地处理身份验证、授权、企业会话管理和加密,同时其首要目标是易于使用和理解...
第二章:企业级 Spring Boot 整合 Shiro 安全框架(详解优化版)(含项目代码)
qq_45607784的博客
12-14 1826
在本文中,我们将深入探讨如何使用Spring BootShiro框架来实现认证、授权和安全策略的配置。我们还将分享一些优化技巧和最佳实践,以确保整合后的应用程序能够在安全性和性能方面达到最佳状态。此外,我们还将提供完整的项目代码,以便读者可以直接参考并应用于实际项目中。
框架、组件漏洞系列4:Apache shiro漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-14 4176
一、Apache Shiro 简介 1、什么是shiro Apache Shiro提供了认证、授权、加密和会话管理功能,将复杂的问题隐藏起来,提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码。并且在实现此目标时无须依赖第方的框架、容器或服务,当然也能做到与这些环境的整合,使其在任何环境下都可拿来使用。 Shiro将目标集中于Shiro开发团队所称的“四大安全基石”-认证(Authentication)、授权(Authorization)、会话管理(Session Management)和加.
跟我学Shiro13章Demo(RememberMe
09-23
本人亲自写的Demo,可运行没问题,其中包括RememberMy章节的髌,可以用jetty运行,我把Ehcache缓存改成了3秒,有需要可以自己改回来。
使用SpringBoot+Shiro实现记住我功能
m0_67393593的博客
04-28 412
1、加入需要用到的包 <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> </dependency&gt
SpringBoot+Shiro学习(八):RememberMe
weixin_34319817的博客
12-16 262
这一章比较简单,就不多说了,上代码: /** * cookie对象; * rememberMeCookie()方法是设置Cookie的生成模版,比如cookie的name,cookie的有效时间等等。 * @return */ @Bean public SimpleCookie rememberMeCookie(){ //System.out....
Apache Shiro-RememberMe 反序列化漏洞
chaojixiaojingang
08-21 6573
1.资产查找 Fofa: app="Apache-Shiro" 2.影响版本 Apache Shiro <= 1.2.4 3.漏洞描述 Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。可造成远程命令执行,完全控制服务器权限。 目前已经出..
Springboot(2.0)整合shiro 配置EnCache,remember me和密码校验次数
plumblum的博客
08-24 1471
Springboot(2.0)整合shiro 配置EnCache,remember me和密码校验次数 配置时,请先阅读springboot整合shiro文章, encache 由于每次的授权shiro都会重新范围数据库,导致查询频繁所以使用EnCache进行缓存 重点:记得将要缓存的类序列化 1.1配置maven &amp;amp;lt;!--cache--&amp;amp;gt; ...
Springboot解决 【Apache Shiro rememberMe参数秘钥可被枚举】 漏洞
weixin_40595924的博客
12-16 464
【代码】Springboot解决 【Apache Shiro rememberMe参数秘钥可被枚举】 漏洞。
java 记住密码 安全_Java 通过 Shiro 配置 RememberMe 实现记住密码功能
weixin_29692851的博客
02-28 721
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。下面讲述一下如何实现记住密码,一般记住密码就是把用户的基本信息存入浏览器Cookie,下次登录时优先验证Cookie,后端做处理操作,依此来实现记住密码操作,而shiro中自带RememberMe功能,只需简单配置即可。注意:对于...
Shiro认证详解:多种登录方式与记住我功能
最新发布
m0_65382359的博客
07-07 1006
Shiro通过的类型来区分不同的登录方式。默认的只适用于用户名密码场景。要支持其他方式,我们需要创建自定义的Token。例如,创建一个用于"手机号+验证码"登录的// 自定义SmsCodeToken@Override@Override明确认证强度:合理使用user和authc过滤器,对敏感操作强制要求强认证。保护RememberMe CookieCipherKey必须是唯一的、保密的,且长度足够(如128、192、256位)。模块化Realm。
快速掌握shiro安全框架()之remember me功能
bigdata_dog的博客
03-04 1119
ShiroConfig配置类中添加记住我和cookie相关配置项以及用户过滤器
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值