Я тестируя Apache Shiro и только что построили простую демонстрацию, расположенный на https://github.com/pires/simple-shiro-web-appApache Shiro и JSESSIONID
Это только простое использование Сиро, где он пытается выполнить проверку подлинности с jdbcrealm. Каждая вещь работает отлично, за исключением
Shiro не меняет SESSIONID после успешной аутентификации . Это означает, что SESSIONID является таким же, когда пользователь прибывает на страницу входа в систему, а также после аутентификации пользователя.
отметил также, что после успешной аутентификации, если я закрою
браузер, в следующий раз я открыть и перейти на страницу, мне нужно войти снова.
Это обычное поведение сиро. Если да, то почему?
Ну мне любопытно, есть ли у нас возможность в Сиро, чтобы держать печенье, чтобы идентифицировать сеанс пользователя, пока время на стороне сервера. В этом случае требуется изменить sessionid при аутентификации, чтобы избежать атак на фиксацию сеанса. Как побочная заметка, помните, что функция в сиро не дает того, что я ожидаю. – SashikaXP
было запрошено;) https://issues.apache.org/jira/browse/SHIRO-170 Перейдя на весеннюю безопасность, я нашел весеннюю безопасность, чтобы иметь несколько дополнительных функций безопасности над сиро. –