我正在测试 apache shiro,刚刚构建了位于 https://github.com/pires/simple-shiro-web-app 的简单演示
这只是 shiro 的一个简单用法,它尝试使用 jdbcrealm 进行身份验证。一切都很好,除了
Shiro 成功后不会更改 SESSIONID 验证。这意味着 SESSIONID 是相同的,当用户 到达登录页面,并且一旦用户通过身份验证。
还注意到如果我在成功验证后关闭
浏览器,下次我打开并导航到该页面时,我需要登录
又进来了。
这是shiro的惯常行为吗。如果是,为什么?
【问题讨论】:
如前所述,shiro 不会在用户登录时生成新 ID。不过,您可以自己轻松实现:
@Override
protected boolean executeLogin( final ServletRequest request, final ServletResponse response )
throws Exception
{
final AuthenticationToken token = createToken( request, response );
if ( token == null )
{
throw new IllegalStateException( "Your error message here" );
}
try
{
// Stop session fixation issues.
// https://issues.apache.org/jira/browse/SHIRO-170
final Subject subject = getSubject( request, response );
Session session = subject.getSession();
// Store the attributes so we can copy them to the new session after auth.
final LinkedHashMap<Object, Object> attributes = new LinkedHashMap<Object, Object>();
final Collection<Object> keys = session.getAttributeKeys();
for ( Object key : keys )
{
final Object value = session.getAttribute( key );
if ( value != null )
{
attributes.put( key, value );
}
}
session.stop();
subject.login( token );
// Restore the attributes.
session = subject.getSession();
for ( final Object key : attributes.keySet() )
{
session.setAttribute( key, attributes.get( key ) );
}
return onLoginSuccess( token, subject, request, response );
}
catch ( AuthenticationException e )
{
return onLoginFailure( token, e, request, response );
}
}
【讨论】:
AFAIK shiro 在登录时不会更改会话 ID。我确实在我的项目中使用了它,但没有看到它确实改变了会话 ID 的迹象。我认为这只是他们不支持的功能。当我切换到 spring 时,我遇到了各种各样的问题,因为 spring 确实支持这种行为。
至于您的第二点,我认为这与会话的寿命有关。该会话可能配置为仅持续到浏览器关闭。如果 Shiro 使用 url 重写来维护会话,它必须请求另一个登录,因为 url 上的会话 id 后缀将丢失。使用 cookie 可以支持这种行为,尽管执行此操作的典型方法是使用记住我的 cookie。
【讨论】: