zoukankan      html  css  js  c++  java
  • Shiro的 rememberMe 功能使用指导(为什么rememberMe设置了没作用?)

    原理解释

    shiro对cookie做了什么?

    其实你设置了这个rememberMe之后shiro还是有做一点事情的,它会生成一个cookie值叫 rememberMe 并保存在你的浏览器里面,而且这个参数会随着你调用 subject.logout() 会被自动清除。这个参数的值是一串很长的Base64加密过的字符串,大概长这样
    名称:	rememberMe
    内容:	6gYvaCGZaDXt1c0xwriXj/Uvz6g8OMT3VSaAK4WL0Fvqvkcm0nf3CfTwkWWTT4EjeSS/EoQjRfCPv4WKUXezQDvoNwVgFMtsLIeYMAfTd17ey5BrZQMxW+xU1lBSDoEM1yOy/i11ENh6eXjmYeQFv0yGbhchGdJWzk5W3MxJjv2SljlW4dkGxOSsol3mucoShzmcQ4VqiDjTcbVfZ7mxSHF/0M1JnXRphi8meDaIm9IwM4Hilgjmai+yzdVHFVDDHv/vsU/fZmjb+2tJnBiZ+jrDhl2Elt4qBDKxUKT05cDtXaUZWYQmP1bet2EqTfE8eiofa1+FO3iSTJmEocRLDLPWKSJ26bUWA8wUl/QdpH07Ymq1W0ho8EIdFhOsELxM66oMcj7a/8LVzypJXAXZdMFaNe8cBSN2dXpv4PwiktCs3J9P9vP4XrmYees5x27UmXNqYFk86xQhRjFdJsw5A9ctDKXzPYvJmWFouo3qT5hugX0uxWALCfWg8MHJnG9w7QgVKM8oy3Xy4Ut8lSvYlA==
    

      

    这串字符串其实是对你登陆后的 Principal 进行了序列化后再Base64的结果。Principal 是 shiro 的一个概念,表示一个唯一的字符串能表示你这个用户的,如果你按照最简单的用户名密码登陆的方式,并且使用的是 SimpleAuthenticationInfo 对象,那么这个 Principal 其实就是一个字符串,就是你的用户名 username
    所以这串东西解密出来就是你的username
     

    shiro觉得rememberMe不安全

    shiro觉得不能把rememberMe等同于已经登陆了,这样不安全。所以shiro 觉得就算 rememberMe = true 也不能算是 authc 的而是 user 级别的。
    我们一般设置路径拦截是这样设置的
    /** = authc

    这样就保证了所有路径都需要登陆才能访问。就算你是 rememberMe=true也不能访问,官方说你如果设置成拦截级别为user就能访问,比如
    /** = user


    这样就可以访问了,但是官方建议不敏感的部分用user,敏感的部分还是要让用户再登陆一次,就像你上淘宝网就算不登陆,只要上一次有登陆过,你依然可以直接看我的淘宝那个页面,但是点击 我的宝贝的时候就又要让你登陆了。
    但是!我们的确有很多时候是 需要记住用户就相当于用户登录了!
    设置成user这个方案还有一个问题,就是我们实际项目中在登陆后有做了很多设置用户上下文的工作,比如设置session等,如果我们只是设置拦截级别为user,那么再次进入的时候虽然可以访问,但是session是空的,我们的页面必然异常频出。
     

    解决方案

    前提条件

    采用这个解决方案的前提是,你必须自己先实现一个realm,不过这个我相信大家都会实现的,毕竟默认的不是jdbcRealm ,真正的项目都是要查数据库才能确定用户是否登录的。那么我就假定大家的项目中都有那么一个负责验证登录的 JdbcRealm, 并且是采用用户名密码认证的,在 doGetAuthenticationInfo 方法里面是采用如下的方法来做认证
     
    ...
    info = new SimpleAuthenticationInfo(username, password.toCharArray(), getName());
    

      

    这个前提条件保证你的principal是username,相信大部分人根据教程做shiro的时候都采用了这种方式

    STEP1  复写 FormAuthenticationFilter 的 isAccessAllowed 方法

    做一个新类继承FormAuthenticationFilter ,并复写 isAccessAllowed  方法
     
    package com.yqr.jxc.shiro;
     
    import javax.annotation.Resource;
    import javax.servlet.ServletRequest;
    import javax.servlet.ServletResponse;
     
    import org.apache.shiro.session.Session;
    import org.apache.shiro.subject.Subject;
    import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
     
    import com.yqr.jxc.service.global.GlobalUserService;
     
    public class RememberAuthenticationFilter extends FormAuthenticationFilter {
    	
    	@Resource(name="globalUserService")
    	private GlobalUserService globalUserService;
    	
            /**
            * 这个方法决定了是否能让用户登录
            */
    	@Override
    	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
            Subject subject = getSubject(request, response);
     
            //如果 isAuthenticated 为 false 证明不是登录过的,同时 isRememberd 为true 证明是没登陆直接通过记住我功能进来的
            if(!subject.isAuthenticated() && subject.isRemembered()){
     
                    //获取session看看是不是空的
            	Session session = subject.getSession(true);
                    
                    //随便拿session的一个属性来看session当前是否是空的,我用userId,你们的项目可以自行发挥
            	if(session.getAttribute("userId") == null){
     
            		//如果是空的才初始化,否则每次都要初始化,项目得慢死
                            //这边根据前面的前提假设,拿到的是username
            		String username = subject.getPrincipal().toString();
            		
            		//在这个方法里面做初始化用户上下文的事情,比如通过查询数据库来设置session值,你们自己发挥
            		globalUserService.initUserContext(username, subject);
            	}
            }
     
            //这个方法本来只返回 subject.isAuthenticated() 现在我们加上 subject.isRemembered() 让它同时也兼容remember这种情况
            return subject.isAuthenticated() || subject.isRemembered();
        }
    }
    

      

    STEP2 设置使用这个新的 AuthenticationFilter (认证过滤器)

    如果你用的是spring那么
    <!-- 整合了rememberMe功能的filter -->
    <bean id="rememberAuthFilter" class="com.yqr.jxc.shiro.RememberAuthenticationFilter" ></bean>
     
    <!--将之前的 /** = authc 替换成 rememberAuthFilter
    ...
    /** = rememberAuthFilter
    ...
    

      如果你用的是 ini 文件,那么

    rememberAuthFilter=com.yqr.jxc.shiro.RememberAuthenticationFilter
    
    #将之前的 /** = authc 替换成 rememberAuthFilter
    ...
    /** = rememberAuthFilter
    

      

    然后重启项目我们来测试一下,先登录一次系统,然后直接关掉浏览器,然后打开浏览器直接输入系统某个页面的地址,发现可以直接进去了,session什么的也设置好了
     

    看起来很美?但是!

    忙活了半天,最后我还是决定在我的系统中撤下了这个功能。为什么呢?因为这个功能有个致命的安全缺陷就是随便谁把这个cookie值拿到别的浏览器都可以登录。就算你用再牛逼的加密,或者是这个cookie值根据浏览器的各个别的属性来达到仅供这个浏览器使用,但是对于黑客来说,只要你是通过表单把东西发送出去,这整个表单都是可以伪造的。就算是增加了过期时间,在这段时间之内还是有被伪造的风险,我目前没有想到什么好的解决方案。
    唯一能想到的就是对于使用场景的选择,在严格的业务系统中不能使用记住我这个功能,在非严格的系统中,比如不敏感的系统,像看看流量看看微博之类的,还是可以使用以上的方式来解决rememberMe的问题的。
    所以,请谨慎选择是否要将 rememberMe 功能范围扩大化!
  • 相关阅读:
    HDU 2276
    HDU 2254
    HDU 1536 & 1944
    HDU 1538
    HDU 2177
    HDU 2176
    HDU 1209
    HDU 1254
    c++ 11 default delete
    ssh免密登录
  • 原文地址:https://www.cnblogs.com/vincentmax/p/14356768.html
Copyright © 2011-2022 走看看