摘要:关于的自动对用户对象序列化并加密当获得请求时能够获取反序列化且解密之后的用户对象。
shirorememberMe流程原理研究
输入用户密码正儿八经登录时, 如果勾选了"记住我", 则后台给shiro设置rememberme
前一次登录勾选了记住我, 则本次登录时isRemembered()==true(如果上一次设置了rememberme, 本次登录是不会触发action中的login()的方法的, 即会直接进入登录状态. 这里为了演示, 强行进入login()方法).
经过shiro的login()则表示为认证登录的. 就是说authentication==true. 访问权限最高.
rememberMe==true, 则将不会进入任何action. 可以访问所有user控制的页面或路径. 但不能访问authc控制的.
但是authentication=false. 这里有个关键点:
subject.isAuthenticated()==true,
则subject.isRemembered()==false;
反之一样
下图所示, authentication=false, 并且能够principle不为空, 能够获取用户信息.
另外对于过滤器,一般这样使用:
访问一般网页,如个人在主页之类的,我们使用user拦截器即可,user拦截器只要用户登录(isRemembered()==true or isAuthenticated()==true)通过即可访问成功;
访问特殊网页,如我的订单,提交订单页面,我们使用authc拦截器即可,authc拦截器会判断用户是否是通过Subject.login(isAuthenticated()==true)登录的,如果是才放行,否则会跳转到登录页面叫你重新登录。
关于rememberMe的cookieshiro自动对用户对象序列化并加密. 当获得请求时, 能够获取反序列化且解密之后的用户对象。
当设置rememberMe==false, 将会自动清空rememberMe cookie.
如下图, 在设置rememberMe==false的前提下, 之前的rememberMe cookie已经不见了.
项目重启后(排除缓存影响). 强行访问action, 能够获取user对象.
调用shiro的logout()方法, 即消除自动登录功能.
rememberMe功能实现 简单实现引入shiro框架
引入maven坐标.
org.apache.shiro
shiro-all
${shiro.version}
配置spring
/css/**=anon
/js/**=anon
/images/**=anon
/validatecode.jsp*=anon
/userAction_login.action=anon
/customerAction_login.action=anon
/info.jsp*=anon
/courierAction_pageQuery*=perms["courier:list"]
/pages/base/courier.jsp*=perms["courier:list"]
/** = user
/pay/** = authc
实现上文配置文件中realm
public class UserRealm extends AuthorizingRealm {
@Autowired
private UserDao userDao;
@Autowired
private PermissionDao permissionDao;
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
// !这里的username可能并不是真正的username, 可能是手机号或者其他可以作为登录凭证的字段!
String username = token.getUsername();
User u = userDao.findByUsernameOrTelephone(username, username);
if (u == null) {
return null;
}
AuthenticationInfo info = new SimpleAuthenticationInfo(u, u.getPassword(), this.getName());
return info;
}
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//获取当前用户
User user = (User) principalCollection.getPrimaryPrincipal();
//内置用户:授予所有权限
List permissions = null;
if (user != null && user.getUsername().equals("admin")) {
permissions = permissionDao.findAll();
} else { // 其他普通用户:查出该用户对应的所有权限
permissions = permissionDao.findByUserId(user.getId());
}
// 授权
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
for (Permission p : permissions) {
info.addStringPermission(p.getKeyword());
}
return info;
}
}
登录action
@Action(value = "userAction_login")
public String login() throws UnsupportedEncodingException {
Log.begin();
String validateCode_ser = (String) ServletActionContext.getRequest().getSession().getAttribute("validateCode");
Subject subject;
if (StringUtils.isNotBlank(this.validateCode) && this.validateCode.equals(validateCode_ser)) {
subject = SecurityUtils.getSubject();
// 不论用户输入的是用户名还是手机号, 前台标签统一用username接收
UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());
//[[ADD 2018-1-9 14:44:01
// 设置是否"记住我"
rememberme = rememberme == null ? false : rememberme; //null=>false
token.setRememberMe(rememberme);
// ]]
try {
subject.login(token);
if (rememberme)
LOG.info("用户【{}】自动登录----{}", "天王", String.valueOf(System.currentTimeMillis()));
} catch (AuthenticationException e) {
e.printStackTrace();
return LOGIN;
}
} else {
this.addActionError("输入的验证码有误!");
return ERROR;
}//end if
return "home";
}
注意: 默认cookie会保存一年. 这个有点太长了, 通常需要缩短.
主要是spring配置的区别, 需要: 1. 配置自定义cookie; 2. 注入给rememberMeManager; 3. 将rememberMeManager注入给securityManager.
/css/**=anon
/js/**=anon
/images/**=anon
/validatecode.jsp*=anon
/userAction_login.action=anon
/customerAction_login.action=anon
/info.jsp*=anon
/courierAction_pageQuery*=perms["courier:list"]
/pages/base/courier.jsp*=perms["courier:list"]
/** = user
/pay/** = authc
复杂实现
这种方式需要在spring中配置很多参数. 很繁琐. 但是功能齐全. 如果只想实现简单的自动功能, 可以参照简单实现.
本部分spring配置可参见: 第十三章 RememberMe——《跟我学Shiro》
参考资料:
[1] http://jinnianshilongnian.ite...
[2] http://blog.icoolxue.com/shir...
[3] http://blog.csdn.net/lhacker/...
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/68229.html
摘要:写在前面在一款应用的整个生命周期,我们都会谈及该应用的数据安全问题。用户的合法性与数据的可见性是数据安全中非常重要的一部分。 写在前面 在一款应用的整个生命周期,我们都会谈及该应用的数据安全问题。用户的合法性与数据的可见性是数据安全中非常重要的一部分。但是,一方面,不同的应用对于数据的合法性和可见性要求的维度与粒度都有所区别;另一方面,以当前微服务、多服务的架构方式,如何共享Sessi...
摘要:目录简介靶场环境漏洞复现一手工复现二图形化工具简介是一个强大易用的安全框架,提供了认证授权加密和会话管理等功能。 目录 简介:靶场环境漏洞复现一、手工复现二、图形...
JAVA单点登录有好多种方式,譬如用cookie的domain做,用中间代理做等等,但都需要自行做许多开发工作。而其中耶鲁大学的开源项目CAS提供了一个一站式解决方案,只需很少的扩展即可轻松实现企业级单点登录。基础知识网上其他挺多的,这里我就不详述了。本文通过分析http请求过程中httpheader,cookie等数据剖析了cas(非代理模式,默认验证逻辑。其他如restletAPI等可扩展逻辑...
摘要:在服务端对的值,先解码然后解密再反序列化,就导致了反序列化漏洞。 用 X-Ray 刷洞发现一些出现频率高的漏洞,把漏洞原理和利用方式稍作整理,按照危害排名,低危漏...
摘要:渗透攻击渗透攻击是指有攻击者或渗透测试者利用一个系统应用或服务中的安全漏洞,所进行的攻击行为。是指在渗透攻击时作为攻击载荷运行的一组机器指令。 域 将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域,域是组织与存储资源的核心管理单元,在域中,至少有一台域控制器...
阅读 1806·2023-04-25 17:57
阅读 1086·2021-11-24 09:39
阅读 2359·2019-08-29 16:39
阅读 3192·2019-08-29 13:44
阅读 2915·2019-08-29 13:14
阅读 2146·2019-08-26 11:36
阅读 3593·2019-08-26 11:00
阅读 839·2019-08-26 10:14
