Springboot+Shiro 发生的问题

两个问题

问题1：会话cookie通过URL传递

org.apache.shiro.session.UnknownSessionException: There is no session with id [2e9e317f-7575-4bb0-98c4-3e6e5d2578f5]

问题2：session找不到

https://localhost/login;JSESSIONID=eefe2007-a31b-492e-a56f-4d1fa8bd61c6

问题3：
出现场景：当进入登录界面时（包括退出跳转），就会出现创建了三个session会话。

会话创建：5d0cdb48-f58d-4855-b033-cd8b43def326
会话创建：7cdcbebe-0288-4f38-a35a-47e5d246b372
会话创建：8da8447a-e3e6-4240-9662-e43c83e58637

redis中会出现多余的session，这些多余的session无法转换为user，我觉得是可能我的springboot集成了许多其他的框架，这些框架会去联网来完成某些事情，或者登录界面有问题，或者shiro配置有问题，反正暂时解决不了。所以也统计不了人数。对权限控制和登录检测啥的都没有影响。

---

---

解决

问题1
在使用shiro之后，shiro的重定向跳转，默认是带有JSESSIONID的。
解决方案：
在sessionManager中添加

// 去掉shiro登录时url里的JSESSIONID
sessionManager.setSessionIdUrlRewritingEnabled(false);

如果你发现defaultWebSessionManager.setSessionIdUrlRewritingEnabled(false);竟然报红——没有该方法。原因是1.3.2一下版本的shiro有bug，1.3.2以后的修复了这个URL重写却不可禁用的BUG

---

问题2
1）：shiro的JSESSIONID 与Tomcat 、Jetty默认的JSESSIONID 冲突了。这时候需要改一下shiro对应的JSESSIONID：
2）：你的session被删除了，可能是你的过期时间太短了，或者其他地方有删除的操作

1）的解决方案：
在shiro的DefaultWebSessionManager类中，默认Cookie名称是JSESSIONID，这样的话与servlet容器名冲突, 如jetty, tomcat等默认JSESSIONID, 当跳出shiro servlet时如error-page容器会为JSESSIONID重新分配值导致登录会话丢失!

/**
     * shiro session的管理
     */
    public DefaultWebSessionManager sessionManager() {
        ...
        ...
        sessionManager.setSessionIdCookieEnabled(true);
        sessionManager.setSessionIdCookie(sessionIdCookie());
    }

     /**
     * 配置保存sessionId的cookie
     * 注意：这里的cookie 不是上面的记住我 cookie 记住我需要一个cookie session管理 也需要自己的cookie
     * @return
     */
    @Bean("sessionIdCookie")
    public SimpleCookie sessionIdCookie(){
        SimpleCookie simpleCookie = new SimpleCookie("sid");
        return simpleCookie;
    }

这样cookie的名字就由JSESSIONID改为sid

2）的解决方案
触发事件：我登录成功后再次去重复登录，就会出现此错误

检查自己代码里有没有删除session的操作，我的就是这个原因
在自定义的Realm中我写了一段代码，负责单点登录，用户多个地方登录，就会踢掉之前的session，实现单点登录

        //单用户登录，在线人数
        //处理session
        DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager();
        DefaultWebSessionManager sessionManager = (DefaultWebSessionManager) securityManager.getSessionManager();
        //获取当前已登录的用户session列表
        Collection sessions = sessionManager.getSessionDAO().getActiveSessions();
        User temp;
        int allUser=sessions.size();
        for(Session session : sessions){
            //清除该用户以前登录时保存的session，强制退出
            Object attribute = session.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY);
            if (attribute == null) {
                continue;
            }
            temp = (User) ((SimplePrincipalCollection) attribute).getPrimaryPrincipal();
            if(userName.equals(temp.getUsername())) {
                allUser--;
                sessionManager.getSessionDAO().delete(session);
            }
        }
        System.out.println("现在登录人数为："+allUser);

我重复登录就会删除session

---

---

很不错的shiro错误的文章，不仅仅是解决问题，更是理解shiro
记一次蛋疼的tomcat、shiro自动生成的JESSIONID去除历程..........
springboot整合shiro-session管理(六)
Apache Shiro去掉URL中的JSESSIONID
如何设置shiro保持登陆状态？