JeecgBoot项目中Cookie解析与Shiro认证异常问题分析

问题现象

在JeecgBoot项目的最新master分支版本中，用户登录时后台会打印大量警告日志。这些日志主要包含两类信息：

1. Tomcat服务器报告接收到无效的Cookie头信息
2. Shiro安全框架在尝试检索"记住我"功能凭证时出现加密解密异常

技术背景分析

Cookie解析问题

Tomcat服务器在解析HTTP请求中的Cookie头时，发现格式不符合RFC规范。具体表现为Cookie值中包含了多个时间戳值，用逗号分隔，这种格式在某些浏览器插件或统计脚本中常见，但不是标准的Cookie格式。

Shiro认证异常

Shiro框架的RememberMe功能使用AES加密算法来保护"记住我"的凭证信息。当客户端携带的RememberMe Cookie与服务端配置的加密密钥不匹配时，会导致解密失败，抛出AEADBadTagException异常。

问题原因

经过深入分析，发现根本原因是浏览器缓存了旧的RememberMe Cookie。当系统加密密钥发生变化（如重新部署或配置更新）后，旧的Cookie无法用新密钥解密，导致以下连锁反应：

1. 客户端携带了格式不规范的第三方Cookie
2. 同时携带了旧的RememberMe Cookie
3. 服务端Shiro框架尝试解密时失败
4. 系统降级处理，继续正常认证流程

解决方案

对于这类问题，推荐以下几种解决方案：

1. 清除浏览器Cookie：这是最直接的解决方法，清除所有与目标站点相关的Cookie后重新登录
2. 配置Shiro的cipherKey：在配置文件中显式设置securityManager.rememberMeManager.cipherKey，避免每次重启变化
3. 忽略第三方Cookie：可以配置Tomcat忽略特定格式的第三方Cookie
4. 日志级别调整：对于生产环境，可以适当调整相关组件的日志级别

最佳实践建议

1. 对于生产环境，建议固定Shiro的加密密钥，避免重启后变化
2. 定期清理测试环境的浏览器数据，避免残留Cookie干扰
3. 考虑实现RememberMe Cookie的版本控制机制，支持密钥轮换
4. 对Tomcat的Cookie解析器进行适当配置，处理非标准Cookie

总结

这类问题在基于Shiro的安全框架中较为常见，特别是在开发和测试环境频繁重启时。理解其背后的机制有助于开发者更好地处理认证相关的问题，同时也能为生产环境部署提供更可靠的配置方案。