关于Shiro登陆退出遇到的一些问题

写在开始

最近项目中出现一些问题,以前可能不大关注,但是问题是实实在在存在的。

timg.jpg

问题一

系统重启用户登陆或者退出报错:Disk Write of 407a1347-c2c6-434e-89e3-365aa277497c failed

这个问题,并不是经常出现,看详细错误信息,应该是数据 list或者map序列化的问题。看了一下实体类都实现了序列化。

解决方案

突然想起,以前是没有这个问题的,自从升级了Ehcache的jar包,这个问题时常出现。目前使用的是ehcache2.10.0,随后版本降级为ehcache2.6.9,重启以后再没出现过这个问题。

问题二

用户退出无法请求到logout.action,导致尽管session已经清理,但是用户缓存信息还是实实在在存在的。

如果把logout 改为user或者anon,会报以下错误:

java.lang.IllegalStateException: org.apache.shiro.session.UnknownSessionException: There is no session with id [1370262d-eeac-4ee7-a86e-1a2b14c86d83]

字面意思是,找不到session,的确F12 sid已经不见了,shiro在做跳转的时候就报这个错误(目前不清楚原因,但是后面有解决方案)

部分代码:

 <!-- Shiro权限过滤过滤器定义 -->
        <property name="filterChainDefinitions">
            <value>
                /common/** = anon
                /template/** = anon
                /LoginAction_login.action = anon
                /LoginAction_logout.action = logout
                /** =user 
            </value>
        </property>

仔细膜拜一下源代码,退出操作是走LogoutFilter过滤的。
部分代码:

protected boolean preHandle(ServletRequest request, ServletResponse response)
            throws Exception {
        Subject subject = getSubject(request, response);
        String redirectUrl = getRedirectUrl(request, response, subject);
        try {
            subject.logout();
        } catch (SessionException ise) {
            log.debug(
                    "Encountered session exception during logout.  This can generally safely be ignored.",
                    ise);
        }
        issueRedirect(request, response, redirectUrl);
        return false;
    }

注意:最后的return false,返回false表示不执行后续的过滤器,直接返回跳转到登录页面。所以也就不可能再请求到LoginAction_logout.action,也就不会清空用户缓存信息了。

解决方案

重写LogoutFilter:

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import org.apache.shiro.session.SessionException;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.LogoutFilter;
import com.acts.web.sys.utils.UserUtils;
/**
 * 重写退出过滤器
 * 创建者 张志朋
 * 创建时间    2017年4月24日
 */
public class SystemLogoutFilter extends LogoutFilter {
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        Subject subject = getSubject(request, response);
        String redirectUrl = getRedirectUrl(request, response, subject);
        try {
            //清空缓存
            UserUtils.clearCache();
            subject.logout();
        } catch (SessionException e) {
           e.printStackTrace();
        }
        issueRedirect(request, response, redirectUrl);
        return false;

    }
}

配置文件定义:

<bean id="logout" class="com.acts.web.filter.SystemLogoutFilter"/>
<!-- 加入filters -->
<property name="filters">
            <map>
                <entry key="logout"     value-ref="kickoutSessionControlFilter"/>
            </map>
</property>

如果存在多realm,可能会返回不同的登陆页,这里可以把return false 改为 return true 执行后续的过滤器,自定义Action重定向不同的页面。

好,到这两个问题都解决了。第二个问题,基本就是由于未理解shiro的原理导致的,所以大家使用开源框架的时候一定要弄清楚其原理,这样才可以精确的定位问题。

qrcode_for_gh_bf7a27ade681_258.jpg

作者: 小柒

出处: https://blog.52itstyle.com

分享是快乐的,也见证了个人成长历程,文章大多都是工作经验总结以及平时学习积累,基于自身认知不足之处在所难免,也请大家指正,共同进步。

本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出, 如有问题, 可邮件(345849402@qq.com)咨询。