shiro - rememberMe

最新推荐文章于 2024-05-06 08:30:00 发布
原创 最新推荐文章于 2024-05-06 08:30:00 发布 · 334 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

applicationContext-shiro.xml

我这里只列出rememberMe需要添加的部分,详细的,最下面有。

 

    <bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <property name="name" value="rememberMe"/>
        <property name="httpOnly" value="true"/>
        <property name="maxAge" value="2592000"/>
    </bean>

    <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
        <property name="cipherKey" value="#{T(org.apache.shiro.codec.Base64).decode('4AvVhmFLUs0KTA3Kprsdag==')}"/>
        <property name="cookie" ref="rememberMeCookie"/>
    </bean>

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="rememberMeManager" ref="rememberMeManager"/>
    </bean>

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">   
        <property name="filterChainDefinitions">
            <value>
                /test2.jsp = user
            </value>
        </property>
    </bean>

maxAge设置了30天,也就是说,在30天之内,你成功认证通过了或者选择了RememberMe,直接访问test2.jsp页面,都可以访问成功。因为我对/test2.jsp设置了user,也就是只能认证通过或者记住我,才能访问这个页面。

(我又遇到了时区差八小时的问题。+_+。 )  从19:27分设置的,加30天。结果就是这样。需要考虑时区的问题。

下面是我自己写的controller:

@Controller
@RequestMapping("/v1")
public class UserController {

    @RequestMapping("/login")
    public String login(User user, Model model, HttpServletRequest request) {
        if (user.getUsername() == null) {
            model.addAttribute("error", "账号不能为空");
            return "forward:/login.jsp";
        }
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());
        Boolean isRemember = Boolean.valueOf(request.getParameter("rememberMe"));
        if (isRemember)
            token.setRememberMe(true);
        try {
            subject.login(token);
        } catch(AuthenticationException e) {
            model.addAttribute("error", "登录失败");
            e.printStackTrace();
            return "forward:/login.jsp";
        }
        if (subject.isAuthenticated() || subject.isRemembered())
            return "loginSuccess";
        return null;
    }
}

这个是我完整的配置文件:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
       http://www.springframework.org/schema/beans/spring-beans.xsd">

    <!--缓存管理器 使用Ehcache实现-->
    <bean id="cacheManager2" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache2.xml"/>
    </bean>

    <!-- Realm实现 -->
    <bean id="userRealm" class="com.mzs.realm.UserRealm">
        <property name="cachingEnabled" value="true"/>
        <property name="authenticationCachingEnabled" value="true"/>
        <property name="authenticationCacheName" value="authenticationCache"/>
        <property name="authorizationCachingEnabled" value="true"/>
        <property name="authorizationCacheName" value="authorizationCache"/>
    </bean>

    <!-- 会话ID生成器 -->
    <bean id="sessionIdGenerator" class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator"/>

    <!-- 会话Cookie模板 -->
    <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <property name="name" value="sid"/>
        <property name="httpOnly" value="true"/>
        <!-- cookie的生存时间,单位:秒 -->
        <property name="maxAge" value="-1"/>
    </bean>

    <bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <property name="name" value="rememberMe"/>
        <property name="httpOnly" value="true"/>
        <property name="maxAge" value="2592000"/>
    </bean>

    <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
        <property name="cipherKey" value="#{T(org.apache.shiro.codec.Base64).decode('4AvVhmFLUs0KTA3Kprsdag==')}"/>
        <property name="cookie" ref="rememberMeCookie"/>
    </bean>

    <!-- 会话DAO -->
    <bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO">
        <property name="activeSessionsCacheName" value="shiro-activeSessionCache"/>
        <property name="sessionIdGenerator" ref="sessionIdGenerator"/>
    </bean>

    <!-- 会话验证调度器 -->
    <bean id="sessionValidationScheduler" class="org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler">
        <!-- 调度时间间隔,单位:毫秒,默认值:1小时 -->
        <property name="sessionValidationInterval" value="1800000"/>
        <property name="sessionManager" ref="sessionManager"/>
    </bean>

    <!-- 会话管理器 -->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <!-- 全局会话超时时间,默认30分钟 -->
        <property name="globalSessionTimeout" value="1800000"/>
        <!-- 删除过期的会话,默认是true -->
        <property name="deleteInvalidSessions" value="true"/>
        <!-- 会话验证调度器是否开启,默认是true -->
        <property name="sessionValidationSchedulerEnabled" value="true"/>
        <!-- 会话验证调度器,默认是ExecutorServiceSessionValidationScheduler -->
        <property name="sessionValidationScheduler" ref="sessionValidationScheduler"/>
        <!-- 会话缓存 -->
        <property name="sessionDAO" ref="sessionDAO"/>
        <!-- 是否启用创建cookie的模板,默认是true -->
        <property name="sessionIdCookieEnabled" value="true"/>
        <!-- 创建cookie的模板 -->
        <property name="sessionIdCookie" ref="sessionIdCookie"/>
    </bean>

    <!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realms">
            <list>
                <ref bean="userRealm"/>
            </list>
        </property>
        <property name="sessionManager" ref="sessionManager"/>
        <property name="rememberMeManager" ref="rememberMeManager"/>
    </bean>

    <!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) -->
    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
        <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
        <property name="arguments" ref="securityManager"/>
    </bean>

    <!-- Shiro的Web过滤器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login.jsp"/>
        <property name="successUrl" value="/jsp/loginSuccess.jsp"/>
        <property name="unauthorizedUrl" value="/jsp/unauthorized.jsp"/>
        <property name="filterChainDefinitions">
            <value>
                /index.jsp = anon
                /jsp/unauthorized.jsp = anon
                /login.jsp = anon
                /jsp/logout = logout
                /test2.jsp = user
            </value>
        </property>
    </bean>

    <!-- Shiro生命周期处理器-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <!-- 开启shiro注解 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>


</beans>

ehcache2.xml: 

<?xml version="1.0" encoding="UTF-8"?>
<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:noNamespaceSchemaLocation="http://ehcache.org/ehcache.xsd" name="ehcache2">

    <diskStore path="java.io.tmpdir/ehcache"/>

    <defaultCache maxEntriesLocalHeap="10000"
                  eternal="false"
                  timeToIdleSeconds="120"
                  timeToLiveSeconds="120"
                  maxEntriesLocalDisk="10000000"
                  diskExpiryThreadIntervalSeconds="120"
                  memoryStoreEvictionPolicy="LRU">

    </defaultCache>

    <!-- 登录记录缓存 锁定10分钟 -->
    <cache name="passwordRetryCache"
           maxEntriesLocalHeap="2000"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>

    <cache name="authorizationCache"
           maxEntriesLocalHeap="2000"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>

    <cache name="authenticationCache"
           maxEntriesLocalHeap="2000"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>

    <cache name="shiro-activeSessionCache"
           maxEntriesLocalHeap="2000"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>

</ehcache>

如有疑问,请联系我本人。QQ:2630866203

ShirorememberMe功能
weixin_65824274的博客
07-05 2103
当登录后是可以正常访问/man的主页的,如果使用了记住我功能,会在浏览器写入cookie,关掉浏览器不需要登录即可直接访问/main.Shiro 提供了记住我(RememerMe)的功能,比如访问一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。4.但是,如果我们访问电商平台时,如果要查看我的订单或进行支付时,此时还 是需要再进行身份认证的,以确保当前用户还是你。2.登录时不勾选记住我,关闭浏览器访问主页/main还会拦截到登录页;1.配置记住我功能的cookie设置;
Shiro实现rememberMe功能
Massimo__JAVA的博客
10-06 2346
Shiro实现rememberMe功能
跟我学Shiro第13章Demo(RememberMe
09-23
本人亲自写的Demo,可运行没问题,其中包括RememberMy章节的髌,可以用jetty运行,我把Ehcache缓存改成了3秒,有需要可以自己改回来。
Shiro记住我(RememberMe
Hern(宋兆恒)
12-17 6340
简介 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝 等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁, 下次访问时无需再登录即可访问,基本流程如下: • 登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe 的Cookie写到客户端并保存下来; 关闭浏览器再重新打开;会发现浏览器还是记住你的; 访问一般的网页服务器端...
Apache Shiro Remember Me服务
热门推荐
王浩的技术博客
03-29 1万+
Shiro提供Remember服务,AuthenticationToken需要实现org.apache.shiro.authc.RememberMeAuthenticationToken接口,此接口提供了一个方法: boolean isRememberMe(); 如果该方法返回true,则Shiro 将会在整个会话中记住终端用户的身份ID。 注:经常使用的Us
shiro-1.7.1.zip
02-07
例如,ShiroRememberMe服务、Session管理以及CSRF防护等功能都在这个模块中实现。 3. **shiro-lang-1.7.1.jar**: 该组件包含了Shiro的表达式语言支持,如在角色和权限定义时使用SpEL(Spring Expression Language...
shiro源码(shiro-root-1.8.0-source-release.zip)
03-21
ShiroRemember Me服务允许用户在一次登录后,下次访问时自动登录,提高用户体验。它使用安全的密技术存储用户的记住我信息,避免了安全风险。 7. **Caching**: Shiro提供了缓存管理,可以缓存认证和授权信息...
shiro-root-1.2.3-source-release zipa包 和相关jar包
04-20
Shiro提供了多种身份验证策略,如记住我(Remember Me)服务,支持与数据库、缓存或任何其他后端服务交互。 2. **授权(Authorization)**:即权限控制,确定用户是否有执行特定操作的权限。Shiro提供角色(Role)...
SHIRO-721:RememberMe填充Oracle漏洞RCE
03-08
SHIRO-721 RememberMe填充Oracle漏洞RCE 0x00简介: cookie的cookiememeMe已通过AES-128-CBC模式密,这很容易受到填充oracle攻击的影响。 攻击者可以使用有效的RememberMe cookie作为填充Oracle Attack的前缀,...
Shiro安全框架》专题(十)-ShirorememberMe
专业的计算机毕业设计指南
02-02 1477
文章目录1.Remember me简介2.登录表单中添记住我复选框3.配置文件中配置4.登录控制器5.测试 1.Remember me简介 Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1.首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie写到客户端并保存下来; 2.关闭浏览器再重新打开;会发现浏览器还是记住你的; 3.访
Shiro进阶(四)ShiroRememberMe
jwang的博客
05-13 6356
前言 本章讲解一下Shiro的记住我的功能 方法 1.概念 首先要澄清一点的是,这里的记住我并不是记住用户名和密码。 shiro的记住我是一种基于cookie实现的方式,特定的页面在关掉浏览器后(session消失)也可以进行访问的功能! 2.实现步骤 1)前台登录页面修改 如果需要记住我的功能,那么前台页面需要一个checkbox多选框来让用户进行勾选。 这里我就不...
Shiro 实现 RememberMe 功能
暗星涌动
10-08 5840
本文内容:ShiroRememberMe 功能的介绍以及实现。1介绍Shiron 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器...
三.shiro:remember me
u014203449的博客
02-16 1068
访问地址: 搭建1:https://blog.csdn.net/u014203449/article/details/79330811 搭建2:https://blog.csdn.net/u014203449/article/details/79331417 访问地址地址:点击打开链接http://47.98.153.30:8080/ 账号:melo 密码:12345678 g...
Shiro——rememberMe允许用户在下次访问应用时免除重新登录,保持持久性的登录状态
程序员阿皓的博客
05-06 365
Shiro——rememberMe允许用户在下次访问应用时免除重新登录,保持持久性的登录状态
第十三章 RememberMe——《跟我学Shiro
cihongmo6452的博客
03-21 182
目录贴:跟我学Shiro目录贴 Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1、首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会...
ShiroRemember Me
有志青年
09-02 2150
Shiro提供了Remember服务,AuthenticationToken需要实现org.apache.shiro.authc.RememberMeAuthenticationToken接口(UsernamePasswordtoken已经提供了这个接口)。 这个接口提供了一个方法 : boolean isRememberMe(); 如果这个方法设置为true,Shiro 将会在整个会话
Shiro(十):shiro RememberMe(记住我)
12程序猿的博客
10-29 2529
shiro RememberMe(记住我) 一、概述 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问, 基本流程如下: 首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的Cookie 写到客户端并保存下来; 关闭浏览器再重新打开;会发现浏览器还是记住你的; 访问一般的网页服务器端还是知道你是谁,且能正常访问; 但是比如我们访问淘宝时,如果要
第十三章 RememberMe——《跟我学Shiro
jinnianshilongnian的专栏
03-17 848
  目录贴: 跟我学Shiro目录贴   Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1、首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie写到客户端并保存下来; 2、关闭浏览器再重新打开;会发现浏览...
shirorememberMe的使用
abou15871390117的博客
11-14 1110
1.根据系统安全首先将用到的ActiveUser和SysPermission这两个类进行系列化接口 2.在安全管理气的属性中配置rememberMe,并设置失效时间, 3.在页面中添rememberMe这个选项 4.在自定义的form认证过滤器中的bean属性中添rememberMe 记住我 用户登陆选择“自动登陆”本次登陆成功会向cookie写身份信息,下次登陆从cooki
shirorememberme
最新发布
12-28
### Apache Shiro RememberMe 功能实现与使用教程 #### 1. 记住我 (RememberMe) 的基本概念 Shiro 提供了记住我(RememberMe)的功能,允许用户在关闭浏览器后再次访问时仍然保持登录状态。这意味着即使会话过期或浏览器被关闭,用户也不必重新输入凭证来验证身份[^2]。 #### 2. 配置 RememberMe 功能 为了启用此特性,在应用程序配置文件中设置相应的参数: ```properties shiro.rememberMe.cookieName=rememberMeCookie shiro.rememberMe.timeout=2592000 # 单位秒,默认一个月有效期 ``` 这些属性定义了用于存储令牌的 cookie 名称以及其有效期限。 #### 3. 使用代码集成 RememberMe 当创建 `DefaultWebSecurityManager` 或其他类型的 SecurityManager 实例时,可以通过如下方式开启并自定义 RememberMe 支持: ```java import org.apache.shiro.mgt.DefaultSecurityManager; import org.apache.shiro.web.mgt.DefaultWebSecurityManager; // 创建安全管理器实例... DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 设置 RememberMe Manager ... securityManager.setRememberMeManager(new CookieRememberMeManager()); // 将安全管理者应用到当前环境上下文中... SecurityUtils.setSecurityManager(securityManager); ``` 对于 Web 应用程序而言,通常会在 web.xml 中声明过滤器链以便处理 HTTP 请求中的认证逻辑: ```xml <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.apache.shiro.spring.web.ShiroFilterFactoryBean</filter-class> <!-- ... --> <init-param> <param-name>loginUrl</param-name> <param-value>/login.jsp</param-value> </init-param> <init-param> <param-name>successUrl</param-name> <param-value>/index.jsp</param-value> </init-param> <init-param> <param-name>unauthorizedUrl</param-name> <param-value>/error/401.html</param-value> </init-param> <init-param> <param-name>filters</param-name> <param-value>authc,roles,ssl,user,anon,logout,**rememberMe**</param-value> </init-param> </filter> ``` 注意这里的 **rememberMe** 过滤器名称,它负责解析来自客户端请求头里的 rememberMe token 并尝试恢复用户的主体信息。 #### 4. 安全注意事项 由于存在潜在的安全风险,建议采取措施保护系统的安全性: - 不要使用默认密钥; - 对敏感操作实施额外的身份验证检查; - 缩短 rememberMe cookies 的生命周期; - 启用 HTTPS 来防止中间人攻击获取未密传输的数据流。 通过上述步骤可以有效地利用 Apache ShiroRememberMe 特性提升用户体验的同时保障系统安全[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值