Shiro记住我无效,被拦截;

最新推荐文章于 2025-05-20 21:09:55 发布
原创 最新推荐文章于 2025-05-20 21:09:55 发布 · 3.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Shiro #Java

Shiro记住我无效,被拦截

场景描述:

       Shiro的记住我功能就是登录的时候,选择了记住当前用户的选项来登录,关闭浏览器之后,在登录信息存活期间再次访问项目里的某个页面可以直接访问。可以在程序中对某些敏感操作进行判断是否为通过记住我登录的用户,从而进行其他一系列限制操作。

       在按照网上的配置配置完之后,发现记住我之后再次访问其他功能时,会被拦截,并且不会通过项目中debug打了断点的部分,直接被跳转到未登录处理的登录页面,而且我查了很多很多的相关配置文档,都试了就是实现不了。事实上是取到了cookie中保存的信息,被拦截后的页面地址栏如下:

http://localhost:xxxx/xxxx/login.do;jsessionid=4D328B61960C713B2F563385F85EC43C

原因:

        通过询问其他朋友,发现是因为实体类没有序列化,Shiro是将实体对象序列化保存到本地cookie中,但是很多文档都没有提及这一点,或许是自己没有这个意识。

解决办法:

       更改之前:

public class User  {
...
}

        更改之后:

public class User implements Serializable {
...
}

     再次测试的时候,发现通过debug就会走项目中的打了断点的地方。

设置自定义拦截器将本地用户放入到session中

参考文章地址:https://blog.csdn.net/u011277123/article/details/70214599

场景描述:

       其他所有的controller中涉及到用户的都是从session中获取,但是通过记住我登录的用户的用户信息是放在本地的cookie中,然后shiro获取后是将其放入的subject中,通过subject可以获取记住我用户的信息,但是我的jsp页面中通过el标签获取了用户对象并展示在前台页面,所以干脆我就做了一个自定义过滤器,所有访问都需要走一遍这个过滤器,如果是通过记住我登录的,就把本地获取的用户对象放入到session中,配置如下:

java类:

public class MyRememberFilter extends FormAuthenticationFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject=getSubject(request,response);
        // 如果是记住我登录的,则需要处理一下
        // isRemembered为true、isAuthenticated为false
        if(!subject.isAuthenticated() && subject.isRemembered()){
            // 通过记住我第一次进程序,并且保存的principal中有内容,添加用户到session
            if(subject.getSession().getAttribute("user")==null && subject.getPrincipal() != null){
                subject.getSession().setAttribute("user",subject.getPrincipal());
            }
        }
        return subject.isAuthenticated() || subject.isRemembered();
    }
}

 

applicationContext.xml中的bean引入shiro过滤器配置:

	<!--自定义全局过滤器-->
	<bean id="MyRememberFilter" class="com.xxx.xxx.shrio.MyRememberFilter"></bean>	
    ...
    <!-- web.xml中shiro的filter对应的bean -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        ...
		<!--在shiro中使用自定义过滤器-->
		<property name="filters">
			<util:map>
				<entry key="MyRemember" value-ref="MyRememberFilter"></entry>
			</util:map>
		</property>
		<!-- 指定过滤器
            Anon:不指定过滤器,这个过滤器是空的,什么都没做,跟没有一样。
            Authc:验证,这些页面必须验证后才能访问,也就是我们说的登录后才能访问。
            user:验证+记住我
         -->
		<property name="filterChainDefinitions">
			<value>
				<!--静态资源-->
				/static/** = anon
				<!--链接-->
				/login.do=anon
				/toLogin.do=anon
				/** = user
                <!--自定义过滤器-->
                /** = MyRemember
			</value>
		</property>
	</bean>
</beans>

        我只放了相关的配置,无关的都省略掉了;

by the way:

1.Shiro的其他配置建议看这位博主文章,我认为是写的最工整易懂的:https://blog.csdn.net/u012737182/article/category/6489910

2.序列化与反序列化的相关文章:https://blog.csdn.net/qq_27093465/article/details/78544505

Shiro快速入门 —— 2.拦截
哼哼的博客
01-07 3259
ShiroFilter拦截器是整个Shiro的入口,用于拦截需要安全控制的请求并进行处理。 shiro封装了很多不同用途的拦截器,这里只介绍几个比较常用的拦截器,更详细介绍可以参考博文 《第八章拦截器机制——跟我学Shiro》:http://jinnianshilongnian.iteye.com/blog/2025656 登录拦截器(FormAuthenticationFilter) 由于此拦截器经常需要继承并重写里面的方法,来扩展自己的登录拦截规则,所以会进行详细介绍。 等录拦截器主要有两个作用
springboot—— Shiro实现认证和授权功能
daralisdan的博客
04-03 1131
springboot—— Shiro实现认证和授权功能,解决安测时的水平越权和垂直越权
Shiro记住功能失效原因
weixin_33748818的博客
09-05 1122
2019独角兽企业重金招聘Python工程师标准>>> ...
javashiro记住密码_关于shiro记住功能失效
weixin_31281613的博客
03-01 195
该楼层疑似违规已被系统折叠隐藏此楼查看此楼这是前端/style/** = anon/image/** = anon/index.html = anon/** = user这是shiro与spring集成的部分代码String username = request.ge...
PHP、JAVAShiro反序列化
最新发布
myrouya的博客
05-20 1085
Shiro-550 类似,Shiro-721 漏洞也涉及到 RememberMe 功能,但它的 AES 加密密钥通常是随机生成的,不容易被猜测。而漏洞就是出现在这里,我们都知道AES它是一个硬编码,他是有默认密钥的,如果程序员没有去修改或者过于简单,那我们就可以进行cookie重构,先构造我们的恶意代码,然后将恶意代码进行序列化,然后AES加密(密钥我们已经爆破出来了)再进行base64编码,形成我们新的cookie,而服务器在处理时就会按照刚才的处理流程,就会在服务端触发我们构造的恶意代码。
shiro记住我没有生效,有可能是没有序列化
pscool的博客
06-18 543
shiro的rememberMe没有生效 我擦,忘了让我的user实现序列化接口了,实现后,测试正常。 其实也应该想到的,shiro有很多log.debug所以最好开启debug日志 默认保留时长是1年,所以修改,设置属性 即可 通过走源码的方式 找到DefaultSecurityManager public class DefaultSecurityManager extends SessionsSecurityManager { public Subject login(Subje
spring boot+shiro 记住我 会话失效(已解决)
weixin_43750315的博客
12-28 2152
标题spring boot+shiro 记住我 会话失效(已解决) 看了很多博客,发现大部分都是使用拦截器。个人感觉还是非常繁琐的,所以自己也做了一个比较简单的。 自定义一个过滤器,代码的意思注释写的很清楚了 package com.example.demo.filter; import com.example.demo.entity.User; import org.apache.shir...
SpringBoot学习:整合shiro(rememberMe记住我后自动登录session失效解决办法)
weixin_30423977的博客
04-09 419
项目下载地址:http://download.csdn.NET/detail/aqsunkai/9805821 定义一个拦截器,判断用户是通过记住我登录时,查询数据库后台自动登录,同时把用户放入session中。 配置拦截器也很简单,Spring 为此提供了基础类WebMvcConfigurerAdapter ,我们只需要重写addInterceptors 方法添加注册拦截器。 实现自定...
vue+shiro登录成功却还是无法认证授权问题
r877282840的博客
07-30 1748
我在本地用postman单独测试接口时没问题,能实现正常登录认证授权,但是将接口对接到vue上就出问题了。折磨了两天后终于发现了答案:axsio跨域请求不会携带cookie!而shiro的工作原理又需要一个叫做JSESSIONID的cookie值来找到登录的用户。 浏览器控制台可以看到没有发出cookie: 而postman本地测试是有的: 要解决这个问题,首先在springboot后端中解决跨域问题: @Configuration public class CORSFilte..
Shiro+Jwt+Redis
qq_43907296的博客
05-27 1025
​ 而JWT(全称:Json Web Token)是一种特殊的Token,它采用了JSON格式来对Token进行编码和解码,并携带了更多的信息,例如用户ID、角色、权限等。它包含了三部分:头部(Header)、数据(Payload)和签名(Signature)。其中,头部和数据都是经过Base64编码的JSON字符串,而签名是对头部和数据进行签名后得到的字符串。
SpringBoot + Shiro 详解+使用案列
zkcJava的博客
08-24 760
初始shiro 文章目录初始shiro一、shiro是什么?1.shiro简介2.结构分析(1)从外部整体看shiro框架(2)从外部整体看shiro框架(3)shiro名词解释(4)shiro默认过滤器(5)对过滤器解释说明(6)常见异常(7)shiro标签二、ShiroConfig配置1.配置Realm及多Realm的认证策略2.配置Cache3.配置securityManager4. 配置shiroFilterFactoryBean 其实就是Filter的规则三、测试代码案例1. shiro认证流程2
shiro的rememberMe不生效
weixin_30872867的博客
12-03 1188
问题描述:已经设置了map.put("/**", "user"),但是查看网页Cookie没有值。 问题查思路: 1.确定使用UserFilter过滤器,因为只有设置过滤器未user记录了cookie,rememberMe才生效。 2.确定已经设置rememberMe为true。 3.确定CookieRememberMeManager,的正确执行。 解决过程: 确定1,2没有问题,跟踪...
SpringSecurity学习笔记 记住功能无效
weixin_42215775的博客
01-22 1323
今天学习SpringSecurity的时候,在实现记住功能这里发现并没有把登录的用户信息保存起来 .and() .rememberMe() // 记住我 .tokenRepository(jdbcTokenRepository()) // 保存登录信息 .tokenValiditySeconds(securityProperties.getAuthentication().getTokenValiditySeconds()) // 记住我有效时长 原来是少了userDetailsService,注入Us
shiro配置rememberMe(记住我)功能时,抛异常SerializationException
weixin_44732379的博客
03-15 300
问题: shrio框架配置"记住我"功能时,控制台抛出异常org.apache.shiro.io.SerializationException 解决: 需将实体类实现序列化 Serializable
解决shiro登录后,isAuthenticated还是false问题
weixin_34402090的博客
02-22 6358
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro登陆成功后被拦截_Springboot+Shiro+redis整合
weixin_39907133的博客
12-13 707
1、Shiro是Apache下的一个开源项目,我们称之为Apache Shiro。它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。shiro属于轻量级框架,相对于security简单的多,也没有securit...
【机房报修管理系统开发日志】1.Shiro的自定义拦截不生效
CheungChingYin的博客
11-06 1045
我的环境 Shiro 1.4.0 SpringBoot 2.0.6 一、遇到的问题 在我刚写好了Realm文件和ShiroConfig文件,做好了自定义拦截,代码如下所示 AdminRealm.java package com.repairsystem.realm; import com.repairsystem.entity.Administrator; import com.rep...
shiro quickstart日志不显示
weixin_43770221的博客
04-01 799
shiro官方Quickstart中的日志无法输出 出错版本: idea 2021 系统MacOS shiro:截止2022.4.1官网最新版 官方git地址:https://github.com/apache/shiro的sample模块中有QuickStart模块 省略配置文件,直接看Quickstart.java import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.*; import org.apache.s
Shiro进阶(四)Shiro之RememberMe
web13985085406的博客
04-22 1708
前言 本章讲解一下Shiro记住我的功能 方法 1.概念 首先要澄清一点的是,这里的记住我并不是记住用户名和密码。 shiro记住我是一种基于cookie实现的方式,特定的页面在关掉浏览器后(session消失)也可以进行访问的功能! 2.实现步骤 1)前台登录页面修改 如果需要记住我的功能,那么前台页面需要一个checkbox多选框来让用户进行勾选。 这里我就不进行说明了。丑一点没关系哈。 2)controller登录方法修改 3)修改shiro配置文件 <!-- 配置Shiro的Secur
shiro自定义记住我过滤器
01-08
### 创建自定义 'RememberMe' 过滤器 为了实现在 Apache Shiro 中创建自定义的 'RememberMe' 功能过滤器,需要遵循几个关键步骤。 #### 添加 Maven 依赖项 在项目的 `pom.xml` 文件中加入必要的 Shiro 依赖项以支持核心功能和 Spring 集成: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.4.0</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency> ``` 这些依赖项提供了构建自定义 RememberMe 解决方案所需的基础组件[^2]。 #### 自定义 Filter 实现 通过继承 `FormAuthenticationFilter` 类并重写相应方法来自定义过滤器行为。这允许更细粒度地控制登录流程中的记住我逻辑: ```java import org.apache.shiro.web.filter.authc.FormAuthenticationFilter; public class CustomRememberMeFilter extends FormAuthenticationFilter { @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { // 自定义处理逻辑... return super.onAccessDenied(request, response); } @Override protected boolean isLoginSubmission(ServletRequest request) { // 判断是否提交了登录表单 return super.isLoginSubmission(request); } } ``` 此代码片段展示了如何扩展默认的身份验证过滤器来添加额外的行为[^3]。 #### 注册自定义过滤器到 Shiro 配置 最后,在应用程序上下文中注册新创建的过滤器实例,并将其关联至 URL 路径模式以便应用该规则。通常是在配置类中完成这项工作: ```java @Configuration public class ShiroConfig { @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") DefaultWebSecurityManager securityManager){ ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean(); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); // ...其他路径映射... // 将自定义过滤器应用于指定URL filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/**", "customRememberMe"); bean.setSecurityManager(securityManager); bean.setFilterChainDefinitionMap(filterChainDefinitionMap); // 设置自定义过滤器 Map<String, Filter> filters = new HashMap<>(); filters.put("customRememberMe", customRememberMeFilter()); bean.setFilters(filters); return bean; } @Bean public CustomRememberMeFilter customRememberMeFilter(){ return new CustomRememberMeFilter(); } } ``` 这段配置说明了怎样把之前定义好的过滤器集成进来,并指定了它应该作用于哪些请求路径上[^1]。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值