DefaultWebSessionManager 不适用于 Chrome

【问题标题】:DefaultWebSessionManager not works on ChromeDefaultWebSessionManager 不适用于 Chrome
【发布时间】:2014-02-19 09:03:33
【问题描述】:

嗯,我在 Shiro 的论坛上发布了以下问题 1 周,但直到现在没有回复。

我只是想在一个简单的 Spring 应用程序中使用 Shiro。安全管理器定义为DefaultWebSecurityManager,默认情况下将会话管理器设置为ServletContainerSessionManager,它适用于我。但是,在我将会话管理器更改为 DefaultWebSessionManager 这意味着我想使用 Shiro 的本机会话后,它在 Chrome 上不起作用。我挖出了以下一些信息:-

  • 当使用DefaultWebSessionManager 时,Shiro 会尝试从请求 cookie 中获取会话 ID。逻辑 SimpleCookie 循环所有请求 cookie 并在 cookie 的名称为“JSESSIONID”时返回。但是,在来自 Chrome 的请求中,有 2 个名为“JSESSIONID”的 cookie。第一个的值与request中的'requestedSessionid'不同,另一个等于。这会在身份验证成功后导致新的重定向到登录页面。为了简单起见,现在的过程是:访问任何地址 -> Shiro 重定向到登录页面 -> 提交主体和凭据 -> 身份验证成功并通过 Shiro 重定向到主页 -> 一个新请求出现并找到另一个会话 id未缓存在 Shiro 中,导致 resolveSession 中的 InvalidSessionException 方法 DefaultSecurityManager -> 重定向回登录 页。
  • 使用ServletContainerSessionManager时,由于session id来自request.getSession(false),重定向后可以找到session。

我的问题是这是一个缺陷还是任何配置或代码可以解决这个问题?请注意,只有 Chrome 会触发此问题。我想这是关于 Chrome 的缓存,但你能解释更多吗?

以下是您复制的必要来源:-

web.xml 

<listener>
  <listener-class>test.shiro.framework.WebSessionListener</listener-class>
</listener>
<listener>
  <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<context-param>
  <param-name>contextConfigLocation</param-name>
  <param-value>/WEB-INF/spring-servlet.xml</param-value>
</context-param>  


<filter>
  <filter-name>shiroFilter</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  <init-param>
    <param-name>targetFilterLifecycle</param-name>
    <param-value>true</param-value>
  </init-param>
</filter>

<filter-mapping>
  <filter-name>shiroFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

<servlet>
  <servlet-name>spring</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>

<servlet-mapping>
    <servlet-name>spring</servlet-name>
    <url-pattern>/controller/*</url-pattern>
</servlet-mapping>

spring-servlet.xml:

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
  <property name="securityManager" ref="securityManager" />
  <property name="loginUrl" value="/login.jsp"/>
  <property name="successUrl" value="/home.jsp"/>  
  <property name="unauthorizedUrl" value="/unauthorized.jsp"/>

  <property name="filterChainDefinitions">
    <value>
      /** = authc 
    </value>
  </property>
</bean>

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

  <property name="realm" ref="myRealm" />
  <property name="sessionManager">
    <bean class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"></bean>
  </property>

</bean>
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

<bean id="myRealm" class="org.apache.shiro.realm.text.TextConfigurationRealm">
  <property name="userDefinitions">
    <value>
      huzj=12345678,authc 
      guodg=12345678,operator 
      sadd=12345678,guest 
    </value>
  </property>
  <property name="roleDefinitions">
    <value>
      authc=* 
      operator=book:* 
      guest=book:view:* 
    </value>
  </property>
</bean>

2 月 18 日更新: 进一步测试表明,仅当我尝试从ServletContainerSessionManager 更改为DefaultWebSessionManager 时才出现问题。我猜chrome在这种情况下错误地记录了一个垃圾cookie。

毕竟我尝试了@paulochf 的解决方案,它确实有效。我再次调试,相信你明白了。非常感谢!

【问题讨论】:

    标签: google-chrome shiro


    【解决方案1】:

    在我的工作中,我们遇到了同样的问题,但我们解决了。

    使用谷歌浏览器时,应用程序无法保持会话,因为它的 ID 几乎在每次发出请求时都会更改。同时,Firefox 没有它。打开 DefaultWebSessionManager 的人使用了网络上的一个示例,它将 cookie 名称设置为“cookie”。

    他解决了将cookie的名称更改为另一个,例如,

    cookie = org.apache.shiro.web.servlet.SimpleCookie 
cookie.name = your.cookie
cookie.path = /
sessionManager.sessionIdCookie = $cookie

    我希望这对你有用。

    【讨论】:

    • 谢谢你,@paulochf。你的解决方案对我很有效。
    • 你把这些设置放在哪里?我遇到了类似的错误。
    【解决方案2】:

    您的解决方案仍然有效。当前环境:Shiro 1.2.3,Chrome 版本 42.0.2311.90(64 位),Linux 操作系统。

    【讨论】:

      【解决方案3】:

      对于那些通过 Spring 配置 Shiro 的人,这里是如何覆盖 JSESSIONID 作为默认 cookie 名称(在本例中为“JSESSID”)。

      <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
    <property name="globalSessionTimeout" value="..." />
    <property name="sessionListeners">
        <util:list>
            <ref bean="..." />
        </util:list>
    </property>
    <property name="sessionIdCookie">
        <bean class="org.apache.shiro.web.servlet.SimpleCookie">
            <property name="name" value="JSESSID" />
        </bean>
    </property>
</bean>

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 2022-12-28
        • 2023-01-14
        • 2015-02-20
        • 2017-10-30
        • 2015-07-06
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode