shrio验证cookie有效性

最新推荐文章于 2023-08-21 17:22:28 发布
最新推荐文章于 2023-08-21 17:22:28 发布
阅读量1.9k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Java 文章标签: cookie shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wf632856695/article/details/73499962
本文探讨了Shiro框架中cookie验证的有效性问题及其解决方案。当用户选择记住我功能时,Shiro会保存cookie用于后续访问。然而,直接更改数据库中的用户信息可能导致cookie验证失效。文章提出了一种自定义RememberMeManager的方法来解决这一问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

shrio验证cookie有效性

概述

shrio中提供cookie管理的功能,当用户选择了rememberMe,则下次不需要再登录,而是直接通过本地记录的cookie进行验证,然后就可以访问权限为user的页面。

问题

shiro提供清除用户权限的功能,但是那是在代码中动态控制的,你修改了某个用户的权限,可以调用clearCachedAuthorizationInfo(principals)清除权限信息。但是如果是直接改了数据库里的信息(虽然按道理不应该出这种套路),那么它取cookie的时候就不会再验证,不验证用户名密码是否正确,不验证用户里的信息是否有变化。

流程

shiro中解析客户端发来的cookie其实主要就是调用AbstractRememberMeManager中的getRememberedPrincipals():

public PrincipalCollection getRememberedPrincipals(SubjectContext subjectContext) {
        PrincipalCollection principals = null;

        try {
            byte[] re = this.getRememberedSerializedIdentity(subjectContext);
            if(re != null && re.length > 0) {
                principals = this.convertBytesToPrincipals(re, subjectContext);
            }
        } catch (RuntimeException var4) {
            principals = this.onRememberedPrincipalFailure(var4, subjectContext);
        }

        return principals;
    }

CookieRememberMeManager中实现了抽象方法getRememberedSerializedIdentity():

protected byte[] getRememberedSerializedIdentity(SubjectContext subjectContext) {
        if(!WebUtils.isHttp(subjectContext)) {
            if(log.isDebugEnabled()) {
                String wsc1 = "SubjectContext argument is not an HTTP-aware instance.  This is required to obtain a servlet request and response in order to retrieve the rememberMe cookie. Returning immediately and ignoring rememberMe operation.";
                log.debug(wsc1);
            }

            return null;
        } else {
            WebSubjectContext wsc = (WebSubjectContext)subjectContext;
            if(this.isIdentityRemoved(wsc)) {
                return null;
            } else {
                HttpServletRequest request = WebUtils.getHttpRequest(wsc);
                HttpServletResponse response = WebUtils.getHttpResponse(wsc);
                String base64 = this.getCookie().readValue(request, response);
                if("deleteMe".equals(base64)) {
                    return null;
                } else if(base64 != null) {
                    base64 = this.ensurePadding(base64);
                    if(log.isTraceEnabled()) {
                        log.trace("Acquired Base64 encoded identity [" + base64 + "]");
                    }

                    byte[] decoded = Base64.decode(base64);
                    if(log.isTraceEnabled()) {
                        log.trace("Base64 decoded byte array length: " + (decoded != null?decoded.length:0) + " bytes.");
                    }

                    return decoded;
                } else {
                    return null;
                }
            }
        }
    }

主要就是进行解密,然后再返回去convertBytesToPrincipals()

解决方案

熟悉了大致的流程,应该可以想到一个解决方案。就是继承CookirRememberMeManager,重写getRememberedPrincipals()

public class MyRememberMeManager extends CookieRememberMeManager {
    @Autowired
    LoginService loginService;
    @Override
    public PrincipalCollection getRememberedPrincipals(SubjectContext subjectContext) {
        PrincipalCollection principals =  super.getRememberedPrincipals(subjectContext);
        if(null == principals)
            return null;
        User loginUser = (User) principals.getPrimaryPrincipal();
        User checkUser = loginService.check(loginUser.getUsername(), loginUser.getPassword());
        if(null == checkUser)
            return null;
        loginUser.setLevel(checkUser.getLevel());
        loginUser.setCounty(checkUser.getCounty());
        loginUser.setCity(checkUser.getCity());
        loginUser.setTown(checkUser.getTown());
        loginUser.setVillage(checkUser.getVillage());
        loginUser.setDescription(checkUser.getDescription());
        return principals;
    }
}
浅谈shiro的认证
qq_54778098的博客
08-07 856
shiro认证流程和细节
Shiro + JWT实现Token验证的快速入门
菩提小猿的博客
06-23 4745
章节目录1. 用户认证1.1 Session认证1.1.1 什么是Session?1.1.2 什么是Session认证? 1. 用户认证 用户认证一般分为:Session认证、Token认证(JWT是一种特殊的Token认证) 1.1 Session认证 Session认证用于一般的Web项目中。 1.1.1 什么是Session? HTTP协议是一种无状态协议。即:每次服务端接收客户端的请求时,都是一个全新的请求,服务端并不知道客户端的历史请求。例如说:当客户端进行账号和密码通过了身份认证,接着向服务端发
Shiro中的session和cookie
m0_67265464的博客
08-24 2503
注意:在使用SessionListenerAdapter来监听session生命周期时,onStart()方法不能作为用户登陆日志的开始时间节点,因为session的创建是在第一次请求服务器创建的,而不是用户登陆时创建的,所以不要搞混;cookie都是key-value类型的,key的值是可以改变的,这点看下源码就可以知道,存储sessionid的cookie的key的值默认为JSESSIONID.4.此时我们在浏览器看下保存的cookie值,和服务端session的sessionid时一样的。
Shiro 登录、退出、校验是否登录涉及到的Session和Cookie
08-23 754
前提 我们的使用的是DefaultWebSessionManager而不是ServletContainerSessionManager。这就意味着前者的session为Shiro的,后者的session为Tomcat的。 登录   DefaultWebSessionManager调用start()方法(在AbstractNativeSessionManager中)创建Session...
从代码分析shiro的登陆验证流程
远行的博客
03-27 327
功能: 认证,授权,加密,会话管理,,缓存。。。。 我的理解:什么是shiro,它就是一个基于cookie和session会话技术,采用mvc思想来完成用户的登陆注册和应用资源权限管理的安全框架。它的mvc三层模型分别是jsp/html 【v视图层】 realm【m模型层】 subject+securityManager【门面+管理=c=(控制层+业务层)】 shiro是一个...
SpringBoot 整合Shiro 实现登录验证拦截功能
Soup's Blog
04-12 2803
前言: Shiro 安全框架是目前为止作为登录注册最常用的框架,因为它十分的强大简单,提供了认证,授权 ,加密和会话管理等功能。 我们项目的登录功能就集成了Shiro ,如果你也对Shiro感兴趣,一起随着小编看下去吧! Shiro 官网 :http://shiro.apache.org/ Apache Shiro 1.5.2是当前的稳定版本(Java 1.8+ JVM)。 概...
ssm整合shiro框架,要求登录前后更新Cookie或者Session
weixin_43253247的博客
08-24 673
登录前后会话标识不变容易被别有用心的人利用,所以强制更新会话标识。 SecurityUtils.getSubject().logout(); 在登录前告诉系统之前的会话标识作废,重新生成会话标识
cookie丢失问题(认证失效) Authentication (用户验证信息)也会丢失
12-11
本文将探讨一种特定的问题,即在基于Cookie的认证系统中,由于特定的操作导致用户验证信息(Authentication)丢失,从而需要重新登录。这个问题主要涉及到JavaScript的window对象和浏览器的工作机制。 首先,我们要...
cookie 丢失 shiro
最新发布
08-22
cookie丢失时,Shiro框架无法正确识别和验证用户...为了解决这个问题,可以在应用程序中添加对cookie有效性检查,当发现cookie丢失或无效时,及时重定向用户到登录页面重新进行身份验证,以确保应用程序的安全性。
shiro学习笔记.rar
10-06
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,...通过阅读和实践这份学习笔记,你将掌握Shiro的基本用法,以及如何在Spring Boot环境中有效地利用它来保障应用程序的安全。
shiro之记住登录信息
08-29
虽然 RememberMe 功能方便了用户,但也存在一定的安全性风险,因为长期有效的 Cookie 可能被恶意用户利用。因此,在敏感操作如查看订单或支付时,通常还需要重新验证用户身份,以确保当前操作者是真实的已认证用户...
使用cookie和session实现用户的认证和授权(原生方式,不使用安全框架)
weixin_43266529的博客
03-24 7325
在学习springsecurity和shiro等安全框架之前可以使用原生的方式,基于cookie和session实现原生的认证,有利于加强对框架学习的理解,也有助于清晰的理解认证和授权的流程,也有助于对cookie和session作用的理解。 对cookie和session的概念不清楚的可以参考:cookie和session 一般的管理系统都是基于RABC授权,也即基于角色授权,RABC授权模式最简单的就是利用5张表:用户表,角色表,权限表,用户角色中间表,角色权限中间表,这里就基于这5张表进行讲解。 案例
权限验证框架之Shiro
小明同学的博客
08-21 907
总结起来,Realm、AuthenticationFilter和AuthorizationFilter需要进行定义或配置,并由SecurityManager进行管理,以确保Shiro能够正确地进行身份验证和授权操作。将数据转换为不可读的形式,以保护数据的安全性。会话是指用户在与应用程序交互期间的一段时间。是整个Shiro安全体系的核心。因为它没有依赖于特定的框架。配置相应的加密算法和密钥。代表当前执行操作的用户。是所有安全操作的入口点。基于Cookie的会话。用于管理用户的会话信息。基于URL重写的会话。
vulhub漏洞复现——Shiro(CVE-2016-4437) 反序列化
m0_62805300的博客
06-15 416
利用工具https://github.com/feihong-cs/ShiroExploit-Deprecated/releases/tag/v2.51 填入url选择利用方式再攻击上上开启监听 反弹shell
shiro+ehcache缓存 和 验证码 和 记住我
weixin_34082177的博客
01-15 336
shiro缓存 针对项目资源或者角色授权需要频繁查询数据库,需要使用shiro缓存。 缓存流程 shiro中提供了对认证信息和授权信息的缓存。shiro默认是关闭认证信息缓存的,对于授权信息的缓存shiro默认开启的。主要研究授权信息缓存,因为授权的数据量大。 用户认证通过。 该 用户第一次授权:调用realm查询数据库 ...
Shiro 身份验证流程
weixin_42146345的博客
03-19 141
Shiro 用户身份验证过程介绍
整合token和cookie实现登陆及验证,实现跨域前后端分离
四十岁后转行程序员的博客
06-22 2133
session管理支持cookie token两种方式
前后端分离使用shiro登录认证cookie跨域问题踩坑
gitcat的博客
10-30 3865
基于cookie, session的登录认证一般后端需要将session id保存在cookie中,这样下次请求时浏览器带上cookie,服务器才知道是同一个会话,根据session id取出session中保存的用户信息,以确定用户是否已登录。 在前后端分离模式下,前端一般通过ajax请求向服务器请求数据,但是如果前后端部署在不同的域名下,因为一些安全机制,cookie无法跨域携带,所以如果还想基于cookie, session来实现就要做一些配置以实现cookie可以跨越携带。 ...
springboot整合shiro完成基本的登录验证
高振的博客
03-14 729
感谢原链接教你 Shiro 整合 SpringBoot,避开各种坑 - 简书 本文做了理解处理,注:本文只简要说明实现方式,不涉及原理介绍 1、引入依赖 <!--shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值