关于shiro使用时候,cookie被禁用的处理

最新推荐文章于 2025-06-03 09:54:50 发布
最新推荐文章于 2025-06-03 09:54:50 发布
阅读量6.9k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: java 文章标签: shiro cookie禁用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhenxing_zr/article/details/80001535
本文介绍了一种在Apache Shiro框架下实现客户端状态保持的方法,特别针对禁用Cookie的情况。通过对Shiro进行扩展,利用HTTP头部传递会话ID,确保了即使在不支持Cookie的环境下也能维持用户的认证和授权状态。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        在shiro使用过程中,保持客户端的状态是通过两种方式关联。一种方式是通过cookie返回,一种是通过重定向回写url。但是重定向解决不了ajax请求。 如果客户端禁用了cookie,会导致shiro无法获得seesion保存的认证,授权信息。导致shiro无法使用。

        解决思路:在客户端与服务端进行交互之前,普通请求通过重定向会写url带上会话信息。ajax请求通过写消息头形式,返回特定错误让客户端获取相应头得到seesionId。如果请求后台没有用到seesion,可以不用先获取会话,否则所有的请求都必须先获得会话。

客户端获取到消息头后,保存会话id,每次请求在通过header带上会话信息(一定要带上,特别是重定向的请求,必须从url获取到会话id)。

        也可以不需要先获取认证信息,如果使用cookie形式的方式,是不需要先获的会话。服务端使用了会话,自动写cookie到客户端。但是禁用了cookie,服务端产生了会话,相应得到了正确处理,然后在响应头里写消息头,客户端每次请求都从消息头里获取会话id,当然这样实现也是可以的。


代码如下,兼容cookie模式。

public class OssWebSessionManager extends DefaultWebSessionManager implements WebSessionManager {
  
	private static final Logger log = LoggerFactory.getLogger(OssWebSessionManager.class);
	
	private boolean sessionIdHeaderEnabled;
	 
	public static final String HEADER_SESSION_NAME = "X-AUTH-SESSION";
	
	public static final String HEADER_SESSION_ID_SOURCE = "header";
   
     public OssWebSessionManager() {
         super();
         //重定向无法手动带上header
         super.setSessionIdUrlRewritingEnabled(true);
         sessionIdHeaderEnabled=true;
     }
     
     @Override
     protected Session createExposedSession(Session session,SessionContext context) {
    	 return super.createExposedSession(session, context);
     }
     
     @Override
     protected Session createExposedSession(Session session, SessionKey key) {
    	 return super.createExposedSession(session, key);
     }
      
     @Override
     protected void onStart(Session session, SessionContext context) {
         super.onStart(session, context);

         HttpServletRequest request = WebUtils.getHttpRequest(context);
         HttpServletResponse response = WebUtils.getHttpResponse(context);
         //用header存储会话sessionId
         if (sessionIdHeaderEnabled) {
             Serializable sessionId = session.getId();
             storeSessionId(sessionId, request, response);
         } 
     }
     
     @Override
     public Serializable getSessionId(SessionKey key) {
         Serializable id = super.getSessionId(key);
         if(null != id){
        	 return id;
         }
         if (WebUtils.isWeb(key)) {
             ServletRequest request = WebUtils.getRequest(key);
             ServletResponse response = WebUtils.getResponse(key);
             id = getHeaderSessionId(request, response);
         }
         return id;
     }

   
     protected Serializable getHeaderSessionId(ServletRequest request, ServletResponse response) {
    	 String id=getHeaderSessionId((HttpServletRequest)request);
    	 if (id != null) {
             request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,OssWebSessionManager.HEADER_SESSION_ID_SOURCE);
         }
    	 if (id != null) {
             request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
             request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
         }
         request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, isSessionIdUrlRewritingEnabled());
         return id;
     }
     
     @Override
     protected void onExpiration(Session s, ExpiredSessionException ese, SessionKey key) {
         super.onInvalidation(s, ese, key);
         onInvalidation(key);
     }
	
     @Override
     protected void onInvalidation(Session session, InvalidSessionException ise, SessionKey key) {
         super.onInvalidation(session, ise, key);
         onInvalidation(key);
     }
     
     @Override
     protected void onStop(Session session, SessionKey key) {
         super.onStop(session, key);
         onInvalidation(key);
     }
     
     @Override
     public boolean isServletContainerSessions() {
         return false;
     }

     private void storeSessionId(Serializable currentId, HttpServletRequest request, HttpServletResponse response) {
         if (currentId == null) {
             String msg = "sessionId cannot be null when persisting for subsequent requests.";
             throw new IllegalArgumentException(msg);
         }
         response.setHeader(OssWebSessionManager.HEADER_SESSION_NAME,currentId.toString());
         log.trace("Set session ID  header for session with id {}", currentId.toString());
     }
     
     /**
      * 获取请求的token
      */
     private String getHeaderSessionId(HttpServletRequest httpRequest){
    	 String sessionId=null;
    	 //从header中获取session
    	 sessionId = httpRequest.getHeader(OssWebSessionManager.HEADER_SESSION_NAME);
         //如果header中不存在token,则从参数中获取token
         if(!StringUtils.hasText(sessionId)){
        	 sessionId = httpRequest.getParameter(OssWebSessionManager.HEADER_SESSION_NAME);
         }
         return sessionId;
     }
     
     private void onInvalidation(SessionKey key) {
    	 if (WebUtils.isWeb(key)) {
        	 ServletResponse response = WebUtils.getResponse(key);
        	 if(null != response){
        		 ((HttpServletResponse)response).addHeader(OssWebSessionManager.HEADER_SESSION_NAME, "");
        	 }
         }
     }

	public boolean isSessionIdHeaderEnabled() {
		return sessionIdHeaderEnabled;
	}

	public void setSessionIdHeaderEnabled(boolean sessionIdHeaderEnabled) {
		this.sessionIdHeaderEnabled = sessionIdHeaderEnabled;
	}
}

需要认证的请求
public class OssAuthenticationFilter extends AuthenticationFilter {

	private static final Logger log = LoggerFactory.getLogger(OssAuthenticationFilter.class);

		
	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
		Subject subject=SecurityUtils.getSubject();
		if(isRelogin( request,  response, subject)){
			return false; 
		}
		return subject.isAuthenticated();
	}
	
	protected  boolean isRelogin(ServletRequest request, ServletResponse response,Subject subject) throws IOException{
		Session session=subject.getSession(false);
		if(null == session){
			 if(isAjax(request)){
					//无法手动带上sessionId,从消息头获取sessionId
				    session=subject.getSession();
	            	response.getWriter().write(JSON.toJSONString(ResultBuilder.genExpResult(new AppBizException(AppExcCodesEnum.SESSION_TIMEOUT))));
	            }else{
	            	request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, true);
	                this.saveRequestAndRedirectToLogin(request, response);
	            }
			 return true;
		}
		return false;
	}
	
	protected  boolean isAjax(ServletRequest request){
        String header = ((HttpServletRequest) request).getHeader("X-Requested-With");
        if("XMLHttpRequest".equalsIgnoreCase(header)){
            return Boolean.TRUE;
        }
        return Boolean.FALSE;
    }

}


	

不需要认证,只需要有会话的请求
public class OssNoAuthenticationFilter extends OssAuthenticationFilter {

	private static final Logger log = LoggerFactory.getLogger(OssNoAuthenticationFilter.class);
	
	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
		Subject subject=SecurityUtils.getSubject();
		if(isRelogin( request,  response, subject)){
			return false; 
		}
		return true;
	}
}


shiro过滤器配置
 
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
	    <!-- Shiro的核心安全接口,这个属性是必须的 -->  
	    <property name="securityManager" ref="securityManager"/>  
	    <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录apos.htmlhtml"页面 -->
	    <property name="loginUrl" value="${shiro.loginUrl}"/>
	    <!-- 登录成功后要跳转的连接 -->  
	    <property name="successUrl" value="/sys/manager/index"/>
	    <!-- 用户访问未对其授权的资源时,所显示的连接 -->  
	    <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp-->  
	    <property name="unauthorizedUrl" value="/sys/manager/login"/>  
	    <property name="filters">
			<map>
			<entry key="authc">
			    <bean class="tc.oss.web.shiro.OssAuthenticationFilter" />
			</entry>
			<entry key="noAuthc">
                <bean class="tc.oss.web.shiro.OssNoAuthenticationFilter" />
            </entry>
			<entry key="validCode">
                <bean class="tc.oss.web.shiro.ValidCodeAuthenticationFilter">
                     <property name="validCodeUrl" value="/sys/manager/validCode" />
                </bean>
            </entry>
			<!-- <entry key="ssl">
			    <ref bean="sslFilter" />
			</entry> -->
			</map>
		</property>
	    <property name="filterChainDefinitions">  
	        <value>
	        	/statics/**=anon
				/js/**=anon
	        	/page/**=anon
	        	/sys/manager/login=noAuthc
	        	/sys/manager/captcha=noAuthc
	        	/favicon.ico=anon
	        	/sys/manager/validCode=authc
	        	/sys/manager/commitCode=authc
	        	/**=authc
	        </value>
	    </property>
	</bean>

这样客户端禁用cookie也能用了,请求必须带上header。从url或者响应中获取
url回调的
 function refreshCode(){
	  var sid=window.location.href.split(";")[1].split("=")[1];
	  $.ajax({
	         type: "GET",
	         url: "${contextPath}/sys/manager/captcha?t=" + $.now(),
	         beforeSend: function (XMLHttpRequest) {
	        	 var sessionid = "X-AUTH-SESSION";
	        	 XMLHttpRequest.setRequestHeader(sessionid, sid);
	         },
	         success: function(r){
	        	 $("#captchaImg").attr("src",r);
	         }
	     });
  }
 
ajax异步请求的没测试了,应该是没问题的了






                

        

    

    
  



    



                



	

		

			

				
					
客户端禁用cookie时如何使用shiro框架

				
			

			

				

					m0_54096780的博客
				

				

					07-28
					
					1529
					
				

			

		

		

			
				
1、问题:

shiro框架的授权依赖于shiro内置的session,这意味着如果客户端禁用cookie的话,shiro无法通过sessionId来获取内置session中的内容,也就无法实现权限管理方面的操作。

2、解决思路:

shiro的session管理核心在于org.apache.shiro.web.session.mgt.DefaultWebSessionManager这个类,其中的getSessionId()方法是shiro获取sessionId的方法,shiro通过获取到的sessio

			
		

	



                

            
              



	

		

			

				
					
Shiro实现rememberMe功能

				
			

			

				

					Massimo__JAVA的博客
				

				

					10-06
					
					2326
					
				

			

		

		

			
				
Shiro实现rememberMe功能

			
		

	



              


  
              

                


	

		

			

				
					
禁用cookie情况下,前端传递当前登录人信息给shiro

				
			

			

				

					haohao123nana的专栏
				

				

					05-15
					
					1460
					
				

			

		

		

			
				
有个springboot项目,登录和权限采用shiro管理。某天前端开发人员突然说小程序页面里面无法把cookie 传递给后端,  导致服务器获取登录人信息空指针。百度了一圈不知道怎么搞,最后请教了老大,算是解决了。下面把解决方案记下来

前端用问号传参方式传递sessionid
后端重写shiro获取sessionid方法

原来的 shiro配置DefaultWebSessionManager...

			
		

	





	

		

			

				
					
Shiro(认证鉴权框架)

					
最新发布

				
			

			

				

					asdurt的博客
				

				

					06-03
					
					1086
					
				

			

		

		

			
				
super();} /*** 重写: 从token中获取SessionId} // token不为空,从token中取出sessionId if(StringUtils . isNotEmpty(token)) {

			
		

	



		

			
		



	

		

			

				
					
shiro框架如何保持登录状态

				
			

			

				

					weixin_40835745的博客
				

				

					12-17
					
					4344
					
				

			

		

		

			
				
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录前言一、shiro保持登录状态的方式?二、具体过程1.登录系统2.关闭浏览器3.登出系统4.RememberMe功能总结

前言
最近一段时间在研究shiro框架,发现网上很少有讲在登录之后,shiro是如何保持登陆状态的,或者换句话说就是后台服务能够在你登录之后,知道你是谁,知道你有哪些权限,知道你的角色是什么

一、shiro保持登录状态的方式?
现在大部分的web项目都是采用前后端分离的架构,而保持登录状态采用的最多的方式是请

			
		

	





	

		

			

				
					
5_springboot_shiro_jwt_多端认证鉴权_禁用Cookie

				
			

			

				

					paopao_wu的专栏
				

				

					03-16
					
					1317
					
				

			

		

		

			
				
cookie是什么,Shiro中在服务端怎么禁用禁用后通过在将sessionID放入到自定义的请求头中实现会话保持,自定义SessionManager实现

			
		

	





	

		

			

				
					
自定义shiro过滤器没有Set Cookie问题。

				
			

			

				

					深蓝浅蓝的天
				

				

					02-16
					
					1172
					
				

			

		

		

			
				
自定义shiro过滤器没有Set Cookie问题。
比如我们通常会针对ajax的请求,返回json数据,一般的实现大概是这样。
public class MyUserFilter extends UserFilter {

    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
        H

			
		

	





	

		

			

				
					
shiro 禁用rememberMe

				
			

			

				

					03-20
				

			

		

		

			
				
嗯,用户想禁用Apache Shiro中的rememberMe功能。首先,我需要回忆一下Shiro的配置方式,通常是通过ini文件或者Java配置。记得rememberMe功能主要和Cookie有关,可能需要在配置中关闭相关的Cookie生成。  根据引用[3...

			
		

	





	

		

			

				
					
shiro、redis做登录权限处理

				
			

			

				

					neutrons的博客
				

				

					11-04
					
					2135
					
				

			

		

		

			
				
前言  最近,需要用shiro做一套登录,机缘巧合看到了张开涛大佬的跟我学shiro
本文也是在此基础上完成的,点击上方链接可以到网盘上下载pdf
尽管有文档参考,但还是遇到了很多坑,所以在快要完成的以后写个blog总结回顾

...

			
		

	





	

		

			

				
					
Apache shiro1.2.4反序列化漏洞介绍.docx

				
			

			

				

					07-01
				

			

		

		

			
				
处理RememberMe的Cookie时,Shiro的`CookieRememberMeManager`类会执行一系列操作:首先,它对Cookie中的"rememberMe"字段内容进行序列化;接着,使用AES(高级加密标准)进行加密;最后,使用Base64编码,以确保...

			
		

	





	

		

			

				
					
七。微信小程序,shiro不用cookie如何维护登录状态

				
			

			

				

					u014203449的博客
				

				

					07-10
					
					8523
					
				

			

		

		

			
				
七。shiro不用cookie如何维护登录状态

			
		

	





	

		

			

				
					
Shiro 开源项目常见问题解决方案

				
			

			

				

					gitblog_00256的博客
				

				

					12-10
					
					442
					
				

			

		

		

			
				
Shiro 开源项目常见问题解决方案
Shiro 是一个基于 OneBot 协议的 QQ 机器人快速开发框架,主要用于简化 QQ 机器人的开发流程。该项目主要使用的编程语言是 Java。
新手常见问题及解决方案
问题一:项目环境搭建
问题描述: 新手在搭建项目环境时可能会遇到依赖配置不正确或缺少必要依赖的问题。
解决步骤:

确保已安装 JDK 17+ 和 Spring Boot 3.0.0+。
...

			
		

	





	

		

			

				
					
iframe 内嵌的第三方网站 cookie 失效,解决办法

				
			

			

				

					平凡的世界
				

				

					04-29
					
					6706
					
				

			

		

		

			
				
iframe 内嵌第三方网站 cookie 失效,解决办法
打开chrome浏览器,地址栏输入chrome://flags/

解决方案:
方案1. 将SameSite属性值设为None, 同时将secure属性设置为true。且需要将后端服务域名必须使用https协议访问;
方案2. 由于设置SameSite = None,有SCRF风险。所以,最佳方案是用token代替Cookie方式作验证;

...

			
		

	





	

		

			

				
					
为什么iframe里的网页不能获取cookie

				
			

			

				

					ivan5277的博客
				

				

					04-08
					
					5940
					
				

			

		

		

			
				
对于旧版Internet Explorer浏览器(已不再主流支持),iframe内的网页可能需要遵循P3P(Platform for Privacy Preferences)隐私策略声明才能读取或写入cookie。当iframe加载的是与主页面不同源的网页时,由于同源策略的限制,iframe内部网页通常无法访问主页面的cookie,反之亦然。如果iframe加载的是第三方站点,浏览器可能会阻止iframe从顶级上下文中读取或写入cookie,特别是当涉及到用户隐私和安全时,这种限制更为严格。

			
		

	





	

		

			

				
					
【Java.Web】Session —— 针对浏览器不支持Cookie的情形,Session禁用Cookies

				
			

			

				

					王晓斌的专栏
				

				

					10-07
					
					9350
					
				

			

		

		

			
				
重写URL跟踪Session

			
		

	





	

		

			

				
					
Shiro--越权控制

				
			

			

				

					IT利刃出鞘的博客
				

				

					05-31
					
					2322
					
				

			

		

		

			
				
其他网址

访问控制--越权_weixin_30379973的博客-优快云博客

访问控制的含义

    在互联网安全领域,尤其是web安全领域中,“权限控制”的问题可以归结为“访问控制”。

    访问控制广泛应用于各个系统中。抽象地说,都是某个主体对某个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。

    在一个安全系统中,确定主体的身份是“认证”解决的问题;而客体是一种资源,是主体发起的请求的对象。在主体对客体进行操作的过程中,系统控制主体不能“无限制”的...

			
		

	





	

		

			

				
					
关于带Cookie的跨域问题导致Shiro授权和认证失败的问题

				
			

			

				

					geren0408的博客
				

				

					05-03
					
					3849
					
				

			

		

		

			
				
问题描述:后端框架为SpringBoot,安全框架为Shiro。其中认证和授权都已经做好了,授权和认证主要是用注解的方式,主要采用了@RequiresAuthentication这个注解,意思是加上这个注解的方法,必须经过授权才可以访问,也就是必须登陆才可以。之后整个项目只用了Postman进行测试。

主要测试就是两方面,在不登陆的情况下去访问带有@RequiresAuthentication的...

			
		

	





	

		

			

				
					
前后端分离使用shiro登录认证cookie跨域问题踩坑

				
			

			

				

					不定时分享最优质的网络技术与教程,满满的干货。
				

				

					07-09
					
					1152
					
				

			

		

		

			
				
设置好后,再次请求,你会发现又报了如下错误。你明明设置了cookie,但是就是找不到,请求的时候也带不上,查看Set-Cookie这一行,可以发现有个黄色的叹号,鼠标放到叹号上可以看到chrome给我们的提示,因为SameSite设置的原因,chrome认为这个cookie不应该被跨越携带,所以没有设置,自然也就无法携带cookie。具体解决方式就不写了,可以自己搜索一下。charset=utf-8"的请求,会首先发送一次预检请求,然后再发送正式的post请求,这时,在POST请求时我们可能会有如下错误。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值