解决session共享问题&前端不支持cookie的效果

原创 已于 2023-07-11 18:57:06 修改 · 376 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#java #开发语言
于 2023-07-11 18:50:50 首次发布
文章介绍了如何在SpringBoot应用中使用Shiro和Redis解决Session共享问题,以及处理前端不支持Cookie的情况。通过将Session存储在Redis中,重写DefaultWebSessionManager获取SessionId的方法,允许前端通过请求头传递sessionId。此外,还涉及前端路由守卫设置、防止恶意重复登录、退出登录接口和获取用户信息的实现。

目录

1.如何解决session共享问题

2. 解决前端不支持cookie的效果

2.1 如何把sessionId放入请求头。

2.2 重写DefaultWebSessionManager的方法

 3.设置前端前置路由守卫

4.如何防止恶意重复登录

 5.退出登录接口

6.获取当前登录用户的信息

7.设定登录设备的个数

1.如何解决session共享问题

默认session存储再各自服务的内存中,可以让session统一存储再redis中。

疯狂的蛋糕的依赖。---提供了redis存储session的类。

<dependency>

        <groupId>org.crazycake</groupId>

        <artifactId>shiro-redis</artifactId>

        <version>3.3.1</version>

</dependency>

(1)修改shiro的配置类。  

 @Bean
    public DefaultWebSecurityManager securityManager(){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        securityManager.setRealm(myRealm());
        securityManager.setCacheManager(cacheManager());
        //设置session管理器
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }
    @Bean
   public SessionManager sessionManager(){
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionDAO(setSessionDao());
        return sessionManager;
    }
    @Bean
    public SessionDAO setSessionDao(){
        //该类会对session进行插入到操作
        RedisSessionDAO sessionDAO = new RedisSessionDAO();
        sessionDAO.setRedisManager(redisManager());
        return sessionDAO;
    }
    @Bean
    public RedisManager redisManager(){
        RedisManager manager = new RedisManager();
        manager.setHost("192.168.214.129:6379");
        manager.setDatabase(1);
        return manager;
    }

 解决思路:

DefaulWrbSessionManager获取请求头中JSESSION的值,通过RedisSessionDao从redis中查询该值对应的key,如果存在则认为当前用户登录。

2. 解决前端不支持cookie的效果

当登陆成功,点击相应的操作会出现跨域问题。

 原因: 默认DefaultWebSessionManager它只接受Cookie中存储的JsessionId. 查询发现再redis中不存在对应的key.

 如何解决:

 客户发送请求时,再请求头中携带sessionId, 然后重写DefaultWebSessionManager中getSessionId()的方法。

思考:1. 如何把sessionId放入请求头。

        2. 重写getSessionId方法如何获取请求头的sessionID。

2.1 如何把sessionId放入请求头。

(1)修改登录的接口

@Controller
//@CrossOrigin
public class LoginController {
    @PostMapping("/login")
    @ResponseBody
    public Result login(@RequestBody LoginVo loginVo){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(loginVo.getUsername(),loginVo.getPassword());
        try {
            subject.login(token);
            //subject.getSession().getId()希望带当前会话id
            return new Result(200,"登陆成功",subject.getSession().getId());
        }catch (Exception e){
            e.printStackTrace();
            return new Result(500,"账号或密码错误",null);
        }
    }
}

注意:在登陆的时候会出现序列化报错!!!

 解决方法:在实体类实现Serializable接口


@Data
public class User implements Serializable {
    @TableId
    private Integer id;
    private String username;
    private String userpwd;
    private String sex;
    private String address;
    private String salt;
}
(2)修改前端登录方法

 (3)修改main.js文件

//设置axios的请求拦截器
axios.interceptors.request.use(config=>{
  //从localStorage中获取token的值
  var item = localStorage.getItem("token");
  if (item){
    config.headers.token=item;
  }
  return config;
})

2.2 重写DefaultWebSessionManager的方法

(1)自定义MyWebSessionManager配置类

public class MyWebSessionManager extends DefaultWebSessionManager {
    private static final String AUTHORIZATION = "token";
    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        //获取请求头中名称为token的内容
        String id = WebUtils.toHttp(request).getHeader("token");
        if (!StringUtils.isEmpty(id)) { //如果存在该token
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "Stateless request");
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        } else {
            //从cookie中获取sessionId.
            return super.getSessionId(request, response);
        }
    }
}

(2)修改shiro配置类

 (3)修改shiroFilter过滤器

我们发现跨域请求,会发送两个请求:第一个OPTIONS请求,第二个请求是真实的请求。

OPTIONS请求:先头部队。

所以我们对OPTIONS请求都要放行。

  @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        HttpServletRequest request1 = (HttpServletRequest) request;
        //获取请求方式
        String method = request1.getMethod();
        if ("OPTIONS".equals(method)){
            return true;
        }
        return super.isAccessAllowed(request, response, mappedValue);
    }

 3.设置前端前置路由守卫

//设置前置路由守卫
router.beforeEach((to,from,next)=>{
  //to:到哪去  from:从哪来  next:下一站
  let path = to.path;//获取路由的路径
  if (path == "/login"){
    return next();
  }
  //判断是否定登陆过
  let token = sessionStorage.getItem("token");
  if (token){
    return next();
  }
  return next("/login");
})

4.如何防止恶意重复登录

 5.退出登录接口

(1)编辑退出接口

   @PostMapping("/logout")
    public Result logout(){
        Subject subject = SecurityUtils.getSubject();
        //redis清空
        subject.logout();
        return new Result(200,"退出成功",null);
    }

(2)编辑前端退出按钮

<el-button type="danger" @click="logout">退出登录</el-button>



logout(){
      this.$http.post("http://localhost:8080/logout").then(result=>{
        if (result.data.code == 200){
          this.$message.success("退出成功");
          //清空sessionStorage
          sessionStorage.clear();
          this.$router.push("/login")
        }else {
          this.$message.error("退出失败");
        }
      })

6.获取当前登录用户的信息

(1)编辑信息接口

 @GetMapping("/info")
    public Result info(){
        Subject subject = SecurityUtils.getSubject();
        Object principal = subject.getPrincipal();
        return new Result(200,"查询成功",principal);
    }

(2)编辑查看信息按钮

info(){
      this.$http.get("http://localhost:8080/info").then(result=>{
        this.userinfo = result.data.data;
        console.log(result.data.data.username)
      })
    }



    <el-button  type="info" @click="info()">获取用户信息</el-button>

7.设定登录设备的个数

(1)引入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

(2)配置 application.properties文件

#配置redis
spring.redis.host=192.168.214.129

(3)编写后端登录接口

 @Autowired
    private StringRedisTemplate redisTemplate;
    @PostMapping("/login")
    public Result login(@RequestBody LoginVo loginVo){
        Subject subject = SecurityUtils.getSubject();
        //判断当前用户是否登陆过
        if(subject.isAuthenticated()){
            return new Result(200,"登陆成功",subject.getSession().getId());
        }
        UsernamePasswordToken token = new UsernamePasswordToken(loginVo.getUsername(),loginVo.getPassword());
        try {
            String key = "shiro:user:"+loginVo.getUsername();
            System.out.println(key+"===========================");
            ValueOperations<String, String> forValue = redisTemplate.opsForValue();
            int count = 0;
            String s = forValue.get(key);
            System.out.println(s+"------------------------------");
            if (s !=null){
                if (Integer.parseInt(s)>=1){
                    return new Result(400,"同时在线设备不能超过2台",subject.getSession().getId());
                }else {
                    count++;
                }
            }else {
                count = 0;
            }
            forValue.set(key,count+"");
            subject.login(token);

            //subject.getSession().getId()希望带当前会话id
            return new Result(200,"登陆成功",subject.getSession().getId());
        }catch (Exception e){
            e.printStackTrace();
            return new Result(500,"账号或密码错误",null);
        }
    }

elicious
关注
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
主要介绍了前后端分离 vue+springboot 跨域 session+cookie失效问题解决方法,解决过程也很简单 ,需要的朋友可以参考下
记一次springsession使用的坑,cookie策略与header策略
m0_46649280的博客
06-17 1826
公司项目前后端分离,开始的时候用的httpsession,没啥毛病,后来项目上线,服务器遭不住了,加入了集群,并用redis共享session,于是使用了springsession,此时出现了问题,set-cookie 前端死活设置不上,百度了各种方式后无果,最后找到springsession 的 header传递策略解决springsession 默认的cookie策略,修改header新增一个配置 //过期时间 @EnableRedisHttpSession(maxInactiveIntervalI
Java重定向Response.sendRedirect()时Cookies丢失编程
SVIPCODE的博客
08-13 2352
为了解决这个问题,我们可以手动将Cookies添加到重定向的响应中,让浏览器在重定向时携带上这些Cookies。这样,当浏览器接收到重定向响应后,它会自动携带之前设置的Cookies,并发送到目标URL。方法进行重定向时,如果希望保留原始请求中的Cookies,需要手动将Cookies添加到重定向的响应中。然而,在某些情况下,我们可能会遇到一个问题,即在重定向的过程中,之前设置的Cookies会丢失。接着,我们手动将原始请求中的Cookies添加到重定向的响应中,通过遍历Cookies数组,并使用。
JAVA 重定向 Respone.sendRedirct Cookies丢失
隔壁老瓦的专栏
01-13 3939
啥也不说看代码: Map&lt;String, String&gt; map = login.cookies(); for (String key : map.keySet()) { Cookie cookie = new Cookie(key,map.get(key)); cookie.setPath("/");...
php中session不可用的解决办法
lep的博客
08-02 1万+
最近因为刚接触php,之前在云服务器上测试的代码需要搬到新的服务器上(版本Windows 2008 server),其中的php版本是5.5.12,结果发现原来php代码里的session功能不可用了。后来网上查了下是由于服务器上php配置文件里的session存放目录的问题。经过一番折腾,大概总结下整个问题。以下说明 均以Windows 2008 server为例。一,修改session_sav
JavaWeb】Cookie共享问题
算法工程师dongab的博客
04-24 840
上一篇: 会话技术CookieSession详解. 本文目录1.Cookie共享问题1.1 同一个Tomcat服务器1.1.1 验证 1.Cookie共享问题 1.1 同一个Tomcat服务器 正常的cookie只能在一个应用中(简单理解,就是一个目录)共享,即一个cookie只能由创建它的应用获得。默认情况下cookie不能被多个Web应用共享, 比如我的Tomcat/webapp下面有两个...
工作中使用到的单词(软件开发)_第五版
sun0322
10-04 2088
本文摘要: 本文为软件开发相关的术语与技术要点整理,主要包含2020-2025年间四版内容更新(No.01-41)。重点包括: 证书文件格式(PEM/P12)差异 外部API通信注意事项(Accept头设置、HTTPS连接问题) Postman工具使用技巧(Cookie管理、请求头设置) WAS配置相关经验(JVM设置、SSL连接问题) 数据库操作命令(DB2表结构修改) IBM安全管理组件(TAM/iv-user机制) 网络通信细节(chunked传输编码特性) 常用开发工具(curl、Postman)的
Linux VPS命令行下载全指南:wget/curl/rsync/aria2实战选型与避坑
weixin_34150830的博客
06-19 423
在无图形界面的Linux服务器环境中,'下载'并非简单点击动作,而是涉及协议支持、网络可靠性、权限控制与安全校验的系统性工程。理解HTTP/HTTPS、FTP、SFTP等基础传输协议原理,是选择wget(专注稳健下载)、curl(灵活请求控制)、rsync(智能增量同步)或aria2(多线程加速)的前提;其技术价值在于保障大文件断点续传、跨服务器高效同步及自动化脚本集成能力。典型应用场景包括VPS初始化部署、远程备份拉取、CI/CD资源获取及嵌入式固件分发。本文聚焦真实生产环境中的linux vps dow
网络安全自学笔记
Apricitly的博客
06-01 468
网络安全的笔记
破除Codex桌面版迷思:用PWA、IDE插件与脚本构建真实AI工作流
weixin_33766168的博客
06-19 380
大型语言模型(LLM)本身不具备‘桌面版’或‘离线安装包’的形态,其本质是基于HTTPS协议的云服务调用。理解这一原理,是规避钓鱼工具、伪订阅和安全风险的前提。真正的技术价值在于将AI能力无缝集成到开发工作流中——通过PWA实现类原生桌面体验,借助VS Code等IDE插件实现上下文感知的代码补全与审查,再以PowerShell等自动化脚本桥接系统级操作。这种‘能力集成’范式,既保障了通信安全与凭证可控,又兼顾了响应效率与工程可维护性。本文聚焦ChatGPT、Claude、DeepSeek等主流服务在国内环
Unicorn实战:10个PowerShell攻击场景与内网渗透技巧
最新发布
weixin_34239592的博客
06-20 362
PowerShell作为Windows系统深度集成的脚本环境,其强大的自动化与管理能力在IT运维中广泛应用,但同时也成为攻击者进行无文件攻击和横向移动的利器。其核心原理在于通过内存加载与执行,绕过传统基于文件的检测机制,实现隐蔽的代码执行。这种技术价值在于能够有效规避终端防护软件的静态扫描,在红蓝对抗与渗透测试中具有重要实战意义。常见的应用场景包括权限维持、凭证窃取、防御绕过及内网横向移动等。本文以Unicorn框架为例,结合Mimikatz、AMSI绕过等热词,深入解析其在真实环境中的攻击链构建与防御规避
禁止 Cookie 使用 Session,采用 URL 重写,具体解决方案
assiduous_me的博客
08-04 1486
先叙述一下 session 的实现原理吧! session 服务器为每个客户端访问开辟的一块内存区域,可以存放一些客户端的一些操作信息 正常情况下在用户通过客户端访问服务器这个过程中 session 一直存活,直到客户端关闭,服务器中的 session 被销毁 非正常情况下,服务器调用 session.invalidate() 方法进行手动销毁 session 依赖于 cookie !!!...
使手机浏览支持session解决方式
wang0076的专栏
03-27 7174
因为有不少手机不支持cookie。而sessionid默认是通过cookie来存储和传递的。所以会出现收集不支持session的情况。         首先我们先搞清楚Session,Cookie, Url重写这些概念, 然后在这个基础上阐述如何利用Url重写在Wap门户的开发中维护Session.        什么是Session, 什么是Cookie?         Sessi
关于WEB远程服务器在不支持session.save.path的情况下的解决方法
热门推荐
单核CPU的小朋友的博客
11-13 3万+
代码: define('ROOT_PATH',str_replace(&amp;amp;quot;\\&amp;amp;quot;,'/',substr(dirname(__FILE__),0,26))); $savePath=ROOT_PATH.&amp;amp;quot;/tmp/&amp;amp;quot;; if (!file_exists($savePath)){ mkdir($savePath,0777,true); } session_save_path($savePath);...
session共享及禁用cookie时保持登录状态
生而为人我很抱歉
06-09 1658
session共享 session共享通常应用在负载均衡系统中,因为负载均衡,导致如果两次访问如果不是被分配到同一个服务器,则session会丢失,已经登录的用户需要重新登录。 session共享可以使用以下方式实现: 使用关系型数据库 首选当然是大名鼎鼎的mysql数据库,并且建议使用内存表Heap,提高session操作的读写效率。这个方案的实用性比较强,相信大家普遍在使用,它的缺点在于session的并发读写能力取决于mysql数据库的性能,同时需要自己实现session淘汰逻辑,以便定时从数据表
HttpServletResponse.sendRedirect重定向与Cookie失效
Nothing is difficult if you put your heart into it
05-09 1万+
注意:url 如果是传全地址例如:http://www.baidu.com cookie失效url要传相对路径:springmvc的login/login.do 这样Cookie不会失效
Response.Redirect后Cookie丢失了
anyincc125的博客
01-10 5648
我的这个流程是这样的,有点复杂:1. 客户打开我们的一个url2. 在这个url的后台调用httpwebrequest到一个认证程序来认证,认证程序会换回一个加密后的cookie3. 把这个cookie加入到Response.cookies里4. 调用Response.Redirect到一个新的页面,这个页面会根据那个加密的cookie来判断用户是否已通过认证现在的问题是第3步加入的cookie...
前后端分离--前置路由守卫(登录过滤)和整合shiro安全框架
weixin_43766390的博客
08-09 1084
***//*授权方法 当执行权限校验时执行此方法*/@Override}/*认证方法*/@Override/*根据token获取账号*//*定义查询封装类,将查询的条件封装进去*//*根据账号查询用户信息*/if (one!= null) {/*获取盐*//*从数据库获取密码*/}}}/***/@Override//未登录时进入该方法。...
前端面试:数据存储CookieSessionStorage、LocalStorage知多少
zjjcchina的博客
05-12 2829
它们的共同点:都是存储在浏览器本地的。它们的区别:cookie是由服务器端写入的,而SessionStorage、 LocalStorage都是由前端写入的,cookie的生命周期是由服务器端在写入的时候就设置好的,LocalStorage是写入就一直存在,除非手动清除,SessionStorage是页面关闭的时候就会自动清除。当Max-Age为负数时,表示的是临时储存,不会生出cookie文件,只会存在浏览器内存中,且只会在打开的浏览器窗口或者子窗口有效,一旦浏览器关闭,cookie就会消失;
Java 重定向 Response.sendRedirect() 中的 Cookies 丢失
CodeLancerX的博客
09-08 2388
当客户端发送请求到服务器时,服务器可以在响应中包含一个或多个 Cookies,然后客户端会将这些 Cookies 存储起来。方法进行重定向时,实际上是发送了一个特殊的响应给客户端,告诉客户端要跳转到另一个 URL。然而,由于重定向是通过发送一个新的请求来实现的,因此原本的请求和响应对象都会被销毁,包括其中的 Cookies。通过在会话中存储需要保留的数据,我们可以在重定向后获取到原本的 Cookies 值。希望本文对你有所帮助!通过使用会话对象,在重定向过程中我们可以保留原本的 Cookies 数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值