2. 程式人生 > >shiro將ServletHttpSession包裝成了ShiroHttpSession

shiro將ServletHttpSession包裝成了ShiroHttpSession

阿新 發佈:2018-12-21

最近在做Oauth SSO單點登入整合,目標有三個: A:各個業務系統在統一門戶登入,各業務系統不用再次登入,即SSO; B:原來各業務系統的登入入口暫時保留; C:解決同一個瀏覽器登入多個賬戶,session覆蓋的問題。

因為業務系統使用的是SpringMVC,並且使用了shiro安全框架。我的實現邏輯是,先執行OauthFilter,後執行Shiro認證。

但是在shiro中session設定的屬性,在OauthFilter中始終無法獲取,於是決定列印一下日誌。

在shiro中:

HttpSession session = req.getSession();
System.out.println("shiroFilter-session:"+session);
session.setAttribute("CURRENT_USER"+accessToken, token.getUsername());

在OauthFilter中:

HttpSession  session = request.getSession();
System.out.println("OauthFilter-session:"+session);

輸出日誌:

shiroFilter-session:[email protected]
OauthFilter-session:[email protected]

發現,這兩個session不是同一個Session,shiro將ServletHttpSession轉換成了ShiroHttpSession。 跟蹤一下原始碼:AbstractShiroFilter

    protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain)
            throws ServletException, IOException {

        Throwable t = null;

        try {
            final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
            final ServletResponse response = prepareServletResponse(request, servletResponse, chain);

            final Subject subject = createSubject(request, response);

            //noinspection unchecked
            subject.execute(new Callable() {
                public Object call() throws Exception {
                    updateSessionLastAccessTime(request, response);
                    executeChain(request, response, chain);
                    return null;
                }
            });
        } catch (ExecutionException ex) {
            t = ex.getCause();
        } catch (Throwable throwable) {
            t = throwable;
        }

        if (t != null) {
            if (t instanceof ServletException) {
                throw (ServletException) t;
            }
            if (t instanceof IOException) {
                throw (IOException) t;
            }
            //otherwise it's not one of the two exceptions expected by the filter method signature - wrap it in one:
            String msg = "Filtered request failed.";
            throw new ServletException(msg, t);
        }
    }


   @SuppressWarnings({"UnusedDeclaration"})
    protected ServletRequest prepareServletRequest(ServletRequest request, ServletResponse response, FilterChain chain) {
        ServletRequest toUse = request;
        if (request instanceof HttpServletRequest) {
            HttpServletRequest http = (HttpServletRequest) request;
            toUse = wrapServletRequest(http);
        }
        return toUse;
    }

  protected ServletRequest wrapServletRequest(HttpServletRequest orig) {
        return new ShiroHttpServletRequest(orig, getServletContext(), isHttpSessions());
    }

protected boolean isHttpSessions() {
        return getSecurityManager().isHttpSessionMode();
    }

現在終於知道shiro是怎麼把request物件包裝成ShiroHttpServletRequest型別的了.

一開始session的困惑也能解開了:

因為session是通過request獲取的,所以先看一下ShiroHttpServletRequest獲取session的原始碼:

public HttpSession getSession(boolean create) {

        HttpSession httpSession;

        if (isHttpSessions()) {
            httpSession = super.getSession(false);
            if (httpSession == null && create) {
                //Shiro 1.2: assert that creation is enabled (SHIRO-266):
                if (WebUtils._isSessionCreationEnabled(this)) {
                    httpSession = super.getSession(create);
                } else {
                    throw newNoSessionCreationException();
                }
            }
        } else {
            if (this.session == null) {

                boolean existing = getSubject().getSession(false) != null;

                Session shiroSession = getSubject().getSession(create);
                if (shiroSession != null) {
                    this.session = new ShiroHttpSession(shiroSession, this, this.servletContext);
                    if (!existing) {
                        setAttribute(REFERENCED_SESSION_IS_NEW, Boolean.TRUE);
                    }
                }
            }
            httpSession = this.session;
        }

        return httpSession;
    }

如果this.isHttpSessions()返回true,則返回父類HttpServletRequestWrapper的

也就是servelet規範的session,否則返回ShiroHttpSession物件.

那麼this.isHttpSessions()是什麼呢?

這裡的this.isHttpSessions()取決於this.getSecurityManager().isHttpSessionMode()的值.

我們專案裡SecurityManager設定為DefaultWebSecurityManager.其中isHttpSessionMode()方法為:

我們這個專案使用的sessionManager是DefaultWebSessionManager,DefaultWebSessionManager實現了sessionManager 介面. 但是DefaultWebSessionManager中該方法返回的是false.

public boolean isServletContainerSessions() {
        return false;
    }

所以最終session得到的是ShiroHttpSession.

如果不想讓Session轉換為ShiroHttpSession,我們可以自己實現sessionManager

<!-- sessionManager -->
	<!-- <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> -->
	<bean id="sessionManager" class="com.unis.module.auth.shiro.MyWebSessionManager">
		<property name="globalSessionTimeout" value="7200000" /> 
	    <property name="sessionDAO" ref="redisSessionDAO" />
	    <property name="sessionValidationScheduler" ref="sessionValidationScheduler"/>  
        <property name="sessionValidationSchedulerEnabled" value="true"/>  
        <property name="sessionIdCookie" ref="wapsession"/>
	</bean>

public class MyWebSessionManager extends DefaultWebSessionManager{
	
	@Override
	public boolean isServletContainerSessions() {
		return true;
	}

}

相關推薦

shiroServletHttpSession包裝ShiroHttpSession

最近在做Oauth SSO單點登入整合,目標有三個: A:各個業務系統在統一門戶登入,各業務系統不用再次登入,即SSO; B:原來各業務系統的登入入口暫時保留; C:解決同一個瀏覽器登入多個賬戶,session覆蓋的問題。 因為業務系統使用的是SpringMVC

ES6 系列之 Babel Async 編譯什麼樣子

前言 本文就是簡單介紹下 Async 語法編譯後的程式碼。 Async const fetchData = (data) => new Promise((resolve) => setTimeout(resolve, 1000, data + 1)) const fetchValue =

初級--反射(通過反射物件包裝類似JSON格式)

一.什麼是反射。 Java反射就是在執行狀態中,對於任意一個類,都能夠知道這個類的所有屬性和方法;對於任意一個物件,都能夠呼叫它的任意方法和屬性;並且能改變它的屬性。 二.實現 我們就建立一個User類 public class User{ private

Spring使用@ResponseBody註解返回json格式(一般包裝一個物件)的資料

使用@ResponseBody資料,返回Json資料(Restful風格)出現錯誤原因: 報406錯誤,百分之九十是沒有新增json的依賴包    解決辦法:     報404錯誤,找不到請求的路徑(請求路徑不對) 報406錯誤,百分之十是攔截請求不正確   

Json&符號轉 \u0026

\u0026 是 & 的Unicode碼錶示形式。  解決方法:     private static Gson json =  new GsonBuilder().setPrettyPrinting().serializeNulls().setLongSeria

編輯PDF文件太難的話,只需要PDF轉換Word就行

pdf pdf轉換 word 現在網上下載下來的很多文檔,資料,都是PDF格式的,而我們下載下來,希望可以摘取裏面的一部分內容來使用或者參考,又或者希望能夠修改裏面的一些內容或者數據,那我們應該如何做到呢?我們可以在PDF裏面直接進行編輯,不過這個需要借助其他的軟件,今天我們就不說這方面的方法,我

jsp頁面post傳參+替換空格

前段時間寫了個檔案操作流程,然後遇到這樣一個問題,檔案上傳成功,檔名和路徑也能正常顯示,但是將路徑傳遞到後臺進行下載卻始終失敗,看了下日誌報的是找不到此檔案,對比了下檔案路徑,發現後臺接收到的檔案路徑,+變成了空格,原理就不多說了,網上一堆,這裡提供一個解決方法。 這其實也

在iOS9中,蘋果原http協議改https協議,使用 TLS1.2 SSL加密請求資料。如何解決報錯

今天將Xcode升級至Xcode7,執行時發現有報錯~ 控制檯報錯如下: Application Transport Security has blocked a cleartext HTTP (http://) resource load since it is ins

Hibernate執行原生sql時,資料庫的char(n)型別轉換character型別的解決方案

在使用Hibernate的原生態SQL對Oracle進行查詢時,碰到查詢char型別的時候始終返回的是一個字元,開始認為應該是Hibernate在做對映的把資料型別給對映成char(1),在經過查詢網上的一些資料,得知產生這個問題的主要原因確實是Hibernate再查詢Or

【iOS越獄開發】怎樣應用打包.ipa文件

ria font 配置文件 例如 方法 col stat pack 應該 在項目開發中。我們經常須要將project文件打包成.ipa文件。提供給越獄的iphone安裝。 以下是一種方法: 1、首先應該給project安裝好配置文件(這裏不再敖述),在ios de

HTML5封裝android應用APK文件的幾種方法

android作為下一代的網頁語言,HTML5擁有很多讓人期待已久的新特性。HTML5的優勢之一在於能夠實現跨平臺遊戲編碼移植,現在已經有很多公司在移動 設備上使用HTML5技術。隨著HTML5跨平臺支持的不斷增強和智能手機的迅速普,HTML5技術有著非常好的發展前景,甚至有人預言HTML5將引燃 移動平臺遊

C#Word轉換PDF方法總結(基於Office和WPS兩種方案)

path ebs htm soft off ros exc 標題 總結  有時候,我們需要在線上預覽word文檔,當然我們可以用NPOI抽出Word中的文字和表格,然後顯示到網頁上面,但是這樣會丟失掉Word中原有的格式和圖片。一個比較好的辦法就是將word轉換成pdf,然

Shiro與Spring集

open ons 過濾 周期 .cn def 訪問 tex bean 1.新建web工程,加入 Spring 和 Shiro 的 jar 包 2.配置web.xml <?xml version="1.0" encoding="UTF-8"?> <web

微商界再遭地震,行業真傳銷聖地?

美妝 關系 代理模式 沒有 集體 方式 更多 支持 社會 近日,號稱”國內第一大微商”的摩能國際被曝涉嫌傳銷,騙取其代理商100億,10萬微商集體起訴,一些血本無歸的代理商甚至“圍攻”摩能國際總部。這則消息一經流出,立馬在微商界引起軒然大波,並再次將微商推上風口浪尖。 其

Docx4jhtml轉word時,br標簽為軟回車的問題修改

peek aras -i lin 位置 org pac 回車 tco docx4j版本:3.0.1 修改jar包:docx4j-ImportXHTML maven配置為: 具體代碼位置:\org\docx4j\convert\in\xhtml\XHTMLImporterIm

字典轉換變量, 字符串與列表相互轉換

div 變量 pda span locals split blog nbsp tr1 將字典轉換成變量: >>> locals().update({‘a‘:1,‘b‘:2}) >>> a 1 >>> b 2 字符串與

免費CAJ轉換PDF文檔的圖文教程

很多文件只要是從中國論文知網上下載下來都是CAJ格式的文件,而這種文件格式在編輯、復制、打印等方便都是比較麻煩的,下面就教大家一種可以免費將CAJ轉換成PDF文檔的方法。 1、其實免費將CAJ格式文件轉換成PDF文檔是直接在網頁上轉換的。在瀏覽器上搜索迅捷PDF在線轉換,找到相關網頁

這樣DWG轉換PDF,DWG轉換PDF能這樣轉

  DWG是最基礎的CAD圖紙文件格式,在我們編輯CAD圖紙的時候,最常使用的圖紙文件就是DWG文件,當我們對DWG文件編輯完成之後,大多數情況下都會選擇將DWG文件轉換成PDF格式,這是因為PDF文件相比於DWG文件查看更加的方便而且安全,那麽我們應該怎麽進行操作,才可以將DWG文件轉換成PDF格式?DWG

怎麽樣PDF轉換CAD

想要把PDF文件轉換成CAD文件,在網站上看看與什麽好的軟件,找了好久也沒有一款合適的,很多文件處理不了,在網上無意看到一款PDF轉CAD轉換器的軟件,很好用,分享給大家。 迅捷cad編輯器主要為DWG、DXF等文件格式圖紙提供瀏覽、編輯功能。不但支持多種圖紙格式的瀏覽,還全面支持圖紙編

圖片轉換文字其實很簡單

很多朋友們會在各大論壇或者網站上看到一些比較喜歡的文章或者是文字,但是很多文章會受到版權的限制或者其他的各種原因導致無法直接下載,就得不到自己喜歡的那些文字了。 這裏給大家發一個福利,就是我們的捷速OCR文字識別軟件,只要你把你想要的文字用截屏截成圖片,然後在捷速中進行文字識別,立