Shiro去掉登录时url里的JSESSIONID,允许分号 中文参数

已于 2022-07-29 19:21:14 修改
阅读量1.2k 收藏 4
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 框架 文章标签: java 开发语言 shiro
于 2022-07-29 19:17:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlddhj/article/details/125084837
本文介绍了Shiro 1.8升级后如何配置以允许中文参数和分号,同时移除登录URL中的JSESSIONID,以及解决HTTPS跳转问题的详细步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Shiro升级1.8之后默认不允许中文参数,以及分号(;)参数,导致系统首次打开时,因带有;JSESSIONID=参数,系统出现400错误页面。

配置允许;号参数后即可解决,如果想要去掉JSESSIONID参数,可按如下方式处理

一、去掉登录时url里面的JSESSIONID参数

    @Bean
    @ConditionalOnMissingBean
    public DefaultWebSessionManager sessionManager(ShiroProp shiroProp) {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        // 去掉shiro登录时url里的JSESSIONID
        sessionManager.setSessionIdUrlRewritingEnabled(false);
        return sessionManager;
    }
    
    @Bean
    @ConditionalOnMissingBean
    public org.apache.shiro.mgt.SecurityManager securityManager(EhCacheManager cacheManager,
                                                                RememberMeManager rememberMeManager, AbstractShiroDbRealm shiroDbRealm,
                                                                SessionManager sessionManager, ShiroProp shiroProp) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 设置realm.
        securityManager.setRealm(shiroDbRealm);
        securityManager.setCacheManager(cacheManager);
        securityManager.setRememberMeManager(rememberMeManager);
        // 设置sessionManager,去掉shiro登录时url里的JSESSIONID
        securityManager.setSessionManager(sessionManager);
        return securityManager;
    }

二、允许分号/中文参数

重写invalidRequest过滤器,允许;号参数以及中文参数

1)定义InvalidRequestFilter bean对象
2)配置shiroFilter对象,重新配置invalidRequest过滤器

    private InvalidRequestFilter invalidRequestFilter(){
        InvalidRequestFilter invalidRequestFilter = new InvalidRequestFilter();
        //允许中文参数地址
        invalidRequestFilter.setBlockNonAscii(false);
        //允许地址带分号;
        invalidRequestFilter.setBlockSemicolon(false);
        return invalidRequestFilter;
    }
    
    @ConditionalOnMissingBean
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shirFilter(org.apache.shiro.mgt.SecurityManager securityManager, Section section) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
        shiroFilterFactoryBean.setLoginUrl("/login");
        // 登录成功后要跳转的链接
        shiroFilterFactoryBean.setSuccessUrl("/index");
        // 未授权界面;
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");

        // 拦截器.
        shiroFilterFactoryBean.setFilterChainDefinitionMap(section);
        Map<String, Filter> filters = new HashMap<>();
        // 配置 invalidRequestFilter
        filters.put("invalidRequest", invalidRequestFilter());
        shiroFilterFactoryBean.setFilters(filters);
        logger.info("Shiro拦截器工厂类注入成功");
        return shiroFilterFactoryBean;
    }

三、配置https,跳转后变成http

这个问题我试了很久,只有以下方法能解决

1)重写过滤器
2)配置nginx,http请求强制转发到https

1、重写过滤器

public class MyFormAuthenticationFilter extends FormAuthenticationFilter {
	
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
		if (isLoginRequest(request, response)) {
			if (isLoginSubmission(request, response)) {
				return executeLogin(request, response);
			} else {
				//allow them to see the login page ;)
				return true;
			}
		} else {
			saveRequestAndRedirectToLogin(request, response);
			return false;
		}
	}
	// 配置https,跳转后变成http --start
	protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
		saveRequest(request);
		redirectToLogin(request, response);
	}

	protected void redirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
		String loginUrl = getLoginUrl();
		WebUtils.issueRedirect(request, response, loginUrl, null, true, false);
	}
	// 配置https,跳转后变成http --end
}

2、nginx配置,http请求强制转发到https

proxy_redirect http:// $scheme://;
shiro整合中登录url地址栏带jsessionid的解决方式
周先森爱编程丶的博客
04-02 9747
shiro登录完成的候,第一次或者重启项目之后访问系统候 浏览器地址栏会出现后缀带jsessionid,如下图: 解决方式: 1.web.xml web.xml必须为3.0版本 <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-inst...
Springboot+Shiro 去除JSESSIONID
cocosum
11-05 4994
1、可能很多人去重写会话管理器(Springboot 2.13 + shiro 1.4.1): DefaultWebSessionManager defaultWebSessionManager = new DefaultWebSessionManager(); System.out.println(defaultWebSessionManager.isSessionIdUrlRewriti...
去掉shiro登录urlJSESSIONID
奥法vx的笔记
06-17 1万+
经过查找论坛和分析源码,确认了是在ShiroHttpServletResponse加上的。 因此继承ShiroHttpServletResponse类,覆盖相应方法,再重写 ShiroFilterFactoryBean就可以把添加JSESSIONID部分去掉。 重写ShiroHttpServletResponse Java代码 public class MyShiroHttpServletRe
Apache Shiro去掉URL中的JSESSIONID
热门推荐
yyf314922957的专栏
04-01 2万+
最近集成框架用到shiro碰到url候会带上jsessionid候又没有。以前也碰到但是没有深入研究。 网上查了半天各种方法用了都没用。比如web.xml面加session-config,添加DisableUrlSessionFilter 等等神马都没用。于是自己研究源码。说了半天废话终于进入正题。先申明下我是菜鸟。说的不对的错的请无视。有些是网上复制的。 先说下为什
Spring security配置详解
qq_22162093的博客
12-21 7543
一直对项目的安全配置比较陌生,这次总结一下项目的那些关于security配置 1、 核心组件 这一节主要介绍一些在 Spring Security 中常见且核心的 Java 类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder 用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限… 这些都被保存在 Security
jsessionid所引起的问题 和解决
12-13 6040
jsessionid所引起的问题在Spring MVC当使用RedirectView或者"redirect:"前缀来做重定向,Spring MVC最后会调用:response.sendRedirect(response.encodeRedirectURL(url));对于IE来说,打开一个新的浏览器窗口,第一次访问服务器,encodeRedirectURL()会在url后面附加上一段jsess
jsessionid存在的问题及其解决方案
03-16
NULL 博文链接:https://mysun.iteye.com/blog/413836
shiro去除浏览器地址中的JSESSIONID
风一样的男子
10-29 1684
1.更换shiro的版本,采用shiro1.3.2 &lt;!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --&gt; &lt;dependency&gt;     &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt;     &lt;artifactId&gt;s...
去掉地址栏中的jsessionid
技术空间站
07-16 7115
原来我在index.jsp中的编码是结果每次第一次登录都会在地址栏上出现了jsessionid问题这个是由jstl的c:redirect标签生成的,当检查不到cookie的候自动使用url重写来实现session的管理。将其改为下面这句话就可以轻松去掉jsessionid的问题 response.sendRedirect("search.html?changecolor=se
去掉jsessionid
weixin_30853329的博客
05-23 602
1. 如果你是 Tomcat 6的话, 'disableURLRewriting' attribute 设置为 true 找到你tomcat的 context.xml 文件 <?xml version='1.0' encoding='utf-8'?> <Context docBase="PATH_TO_WEBAPP" path="/CONTEXT" disab...
shiro登录url地址栏带jsessionid的两种方式
m0_67390788的博客
03-28 728
1.web.xml web.xml必须为3.0版本 <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://ja
CAS单点登陆,URL多出个参数jsessionid导致登陆失败问题
wejack的专栏
07-22 529
https://www.cnblogs.com/RunForLove/p/6381821.html
去掉静态文件后面的jsessionid
Flyer的后花园
04-11 1772
jsessionid的危害及去除解决方案,原文:http://randomcoder.com/articles/jsessionid-considered-harmful  其实就是加个filter截取所有URL并进行重写:  Java代码   public class DisableUrlSessionFilter implements Filter {
版本为1.13.0的shiro怎么去除登录界面url后的JESSIONID
最新发布
10-11
Shiro是一个Java安全框架,用于身份验证、授权和会话管理。版本1.13.0中的Shiro确实会在登录成功后在URL中添加JSESSIONID作为会话标识符,这是为了跟踪用户的会话状态。如果你想移除这个后缀,可以采取以下几种方式: 1. **禁用自动URL重写**: Shiro默认会将用户从未授权页面重定向到登录页面,并在登录后自动在URL上添加`JSESSIONID`。如果你不需要这种行为,可以在配置文件中设置`sessionIdUrlRewriteEnabled`属性为`false`。 ```xml <http autoConfig="true" sessionIdUrlRewriteEnabled="false"> <!-- ... --> </http> ``` 2. **自定义过滤器处理登录结果**: 创建一个自定义的Filter,比如`NoSessionIdFilter`,在用户登录成功后手动设置响应头或直接重定向到无`JSESSIONID`的URL。 3. **使用无痕会话管理**: 如果你不希望URL包含会话标识,可以考虑使用HttpSession的`removeAttribute()`方法清空或隐藏`JSESSIONID`相关的属性,但这并不意味着完全删除它,因为浏览器通常还是会保存这个值。 4. **前端处理**: 在前端(如JavaScript)层面,你可以监听登录事件并在用户登录成功后手动修改URL或清除查询参数。 请注意,在实际操作中,你需要结合应用的具体需求和架构来选择最适合的方法,同确保安全性不会受到影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

顽石九变

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值