XiaohuFight 2022-07-05 15:49 采纳率: 100%
浏览 1364
已结题

如何关闭shiro Rememberme持久化登录功能

img


对于shiro rememberMe 反序列化漏洞
1、已经升级到最新的版本1.9.1
2、但应该如何关闭RememberMe持久化登录呢?
Response 中 header里也有 rememberMe = deleteMe,是否可以去掉?

  • 写回答

1条回答 默认 最新

  • sum墨 2022-07-05 17:22
    关注

    有 rememberMe = deleteMe就行了,说明这个功能你已经禁用的,这个漏洞可以使用自定义加密解决,

    /**
     * cookie对象;
     */
    @Bean
    public SimpleCookie rememberMeCookie() {
        //这个参数是cookie的名称,对应前端的checkbox的name = rememberMe
        SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
        //cookie生效时间30天,单位秒;
        simpleCookie.setMaxAge(2592000);
        return simpleCookie;
    }
 @Bean
    public CookieRememberMeManager rememberMeManager() {
        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
        cookieRememberMeManager.setCookie(rememberMeCookie());
        cookieRememberMeManager.setCipherKey(createCipherKey());
        return cookieRememberMeManager;
    }
public byte[] createCipherKey() {
        KeyGenerator keyGenerator;
        try {
            keyGenerator = KeyGenerator.getInstance("AES");
        } catch (Exception e) {
            throw new DscException(ErrorCodeEnum.UNKNOWN_EXCEPTION, "Init AES key error!");
        }
        keyGenerator.init(128);
        SecretKey secretKey = keyGenerator.generateKey();
        return secretKey.getEncoded();
    }
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 系统已结题 7月16日
  • 已采纳回答 7月8日
  • 创建了问题 7月5日

悬赏问题

  • ¥15 关于#java#的问题:找一份能快速看完mooc视频的代码
  • ¥15 这种微信登录授权 谁可以做啊
  • ¥15 请问我该如何添加自己的数据去运行蚁群算法代码
  • ¥20 用HslCommunication 连接欧姆龙 plc有时会连接失败。报异常为“未知错误”
  • ¥15 网络设备配置与管理这个该怎么弄
  • ¥20 机器学习能否像多层线性模型一样处理嵌套数据
  • ¥20 西门子S7-Graph,S7-300,梯形图
  • ¥50 用易语言http 访问不了网页
  • ¥50 safari浏览器fetch提交数据后数据丢失问题
  • ¥15 matlab不知道怎么改,求解答!!