文档章节

Shiro的Session会话管理

小致dad
 小致dad
发布于 2016/12/12 12:14
字数 2634
阅读 1675
收藏 12
点赞 1
评论 0

Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。即直接使用Shiro的会话管理可以直接替换如Web容器的会话管理。

会话

所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。

Shiro的会话支持不仅可以在普通的JavaSE应用中使用,也可以在JavaEE应用中使用,如web应用。且使用方式是一致的。

Subject subject = SecurityUtils.getSubject();  
Session session = subject.getSession(); 

Session提供了一些api

//获取当前会话的唯一标识
session.getId();
//获取当前Subject的主机地址,该地址是通过HostAuthenticationToken.getHost()提供的
session.getHost();
//获取/设置当前Session的过期时间;如果不设置默认是会话管理器的全局过期时间
session.getTimeout();  
session.setTimeout(毫秒);
//获取会话的启动时间及最后访问时间;
//如果是JavaSE应用需要自己定期调用session.touch()去更新最后访问时间;
//如果是Web应用,每次进入ShiroFilter都会自动调用session.touch()来更新最后访问时间
session.getStartTimestamp();  
session.getLastAccessTime();
//更新会话最后访问时间及销毁会话;
//当Subject.logout()时会自动调用stop方法来销毁会话
//如果在web中,调用javax.servlet.http.HttpSession. invalidate()也会自动调用Shiro Session.stop方法进行销毁Shiro的会话 
session.touch();  
session.stop();
//设置/获取/删除会话属性;在整个会话范围内都可以对这些属性进行操作
session.setAttribute("key", "hello world");  
Assert.assertEquals("hello world", session.getAttribute("key"));  
session.removeAttribute("key"); 

Shiro提供的会话可以用于JavaSE/JavaEE环境,不依赖于任何底层容器,可以独立使用,是完整的会话模块

会话管理器

会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。是Shiro的核心组件,顶层组件SecurityManager直接继承了SessionManager,且提供了SessionsSecurityManager实现直接把会话管理委托给相应的SessionManager,DefaultSecurityManager及DefaultWebSecurityManager默认SecurityManager都继承了SessionsSecurityManager

Shiro提供了三个默认实现:

DefaultSessionManager:DefaultSecurityManager使用的默认实现,用于JavaSE环境;

ServletContainerSessionManager:DefaultWebSecurityManager使用的默认实现,用于Web环境,其直接使用Servlet容器的会话;

DefaultWebSessionManager:用于Web环境的实现,可以替代ServletContainerSessionManager,自己维护着会话,直接废弃了Servlet容器的会话管理。

替换SecurityManager默认的SessionManager可以在bean中配置

默认情况下globalSessionTimeout将应用给所有Session。可以单独设置每个Session的timeout属性来为每个Session设置其超时时间。

另外如果使用ServletContainerSessionManager进行会话管理,Session的超时依赖于底层Servlet容器的超时时间,可以在web.xml中配置其会话的超时时间(分钟为单位)

<session-config>  
  <session-timeout>30</session-timeout>  
</session-config> 

在Servlet容器中,默认使用JSESSIONID Cookie维护会话,且会话默认是跟容器绑定的;在某些情况下可能需要使用自己的会话机制,此时我们可以使用DefaultWebSessionManager来维护会话:

<!-- Session Manager -->
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
    <!-- 相隔多久检查一次session的有效性   -->
    <property name="sessionValidationInterval" value="1800000"/>
    <!-- session 有效时间为半小时 (毫秒单位)-->
    <property name="globalSessionTimeout" value="1800000"/>
    <property name="sessionDAO" ref="customShiroSessionDAO"/>
    <!-- session 监听,可以多个。 -->
    <property name="sessionListeners">
        <list>
            <ref bean="customSessionListener"/>
        </list>
    </property>
    <!-- 间隔多少时间检查,不配置是60分钟 -->
    <property name="sessionValidationScheduler" ref="sessionValidationScheduler"/>
    <!-- 是否开启 检测,默认开启 -->
    <property name="sessionValidationSchedulerEnabled" value="true"/>
    <!-- 是否删除无效的,默认也是开启 -->
    <property name="deleteInvalidSessions" value="true"/>
    <!-- 会话Cookie模板 -->
    <property name="sessionIdCookie" ref="sessionIdCookie"/>
</bean>

sessionIdCookie是sessionManager创建会话Cookie的模板:

sessionIdCookie.name:设置Cookie名字,默认为JSESSIONID;

sessionIdCookie.domain:设置Cookie的域名,默认空,即当前访问的域名;

sessionIdCookie.path:设置Cookie的路径,默认空,即存储在域名根下;

sessionIdCookie.maxAge:设置Cookie的过期时间,秒为单位,默认-1表示关闭浏览器时过期Cookie;

sessionIdCookie.httpOnly:如果设置为true,则客户端不会暴露给客户端脚本代码,使用HttpOnly cookie有助于减少某些类型的跨站点脚本攻击;此特性需要实现了Servlet 2.5 MR6及以上版本的规范的Servlet容器支持;

sessionManager.sessionIdCookieEnabled:是否启用/禁用Session Id Cookie,默认是启用的;如果禁用后将不会设置Session Id Cookie,即默认使用了Servlet容器的JSESSIONID,且通过URL重写(URL中的“;JSESSIONID=id”部分)保存Session Id。

<!-- 会话Cookie模板 -->
<bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
    <property name="httpOnly" value="true"/>
    <property name="name" value="v_v-s-quick4j"/>
    <property name="domain" value="quick4j.org"/>
</bean>

会话监听器

会话监听器用于监听会话创建、过期及停止事件: 

public class CustomSessionListener implements SessionListener {
    protected Logger logger = LoggerFactory.getLogger(CustomSessionListener.class);
    private ShiroSessionRepository shiroSessionRepository;

    /**
     * 一个session会话的生命周期开始
     */
    @Override
    public void onStart(Session session) {
        logger.info("on start sessionId:{}" + session.getId());
    }

    /**
     * 一个session会话的生命周期结束
     */
    @Override
    public void onStop(Session session) {
        logger.info("on stop sessionId:{}" + session.getId());
    }

    @Override
    public void onExpiration(Session session) {
        logger.info("on delete sessionId:{}" + session.getId());
        shiroSessionRepository.deleteSession(session.getId());
    }

    public ShiroSessionRepository getShiroSessionRepository() {
        return shiroSessionRepository;
    }

    public void setShiroSessionRepository(ShiroSessionRepository shiroSessionRepository) {
        this.shiroSessionRepository = shiroSessionRepository;
    }

}

如果只想监听某一个事件,可以继承SessionListenerAdapter实现:

public class MySessionListener extends SessionListenerAdapter {  
    @Override  
    public void onStart(Session session) {  
        System.out.println("会话创建:" + session.getId());  
    }  
}  

在sprin-shiro.xml配置文件中可以进行如下配置设置会话监听器:

会话存储/持久化 

Shiro提供SessionDAO用于会话的CRUD,即DAO(Data Access Object)模式实现:

//如DefaultSessionManager在创建完session后会调用该方法;如保存到关系数据库/文件系统/NoSQL数据库;即可以实现会话的持久化;返回会话ID;主要此处返回的ID.equals(session.getId());  
Serializable create(Session session);  
//根据会话ID获取会话  
Session readSession(Serializable sessionId) throws UnknownSessionException;  
//更新会话;如更新会话最后访问时间/停止会话/设置超时时间/设置移除属性等会调用  
void update(Session session) throws UnknownSessionException;  
//删除会话;当会话过期/会话停止(如用户退出时)会调用  
void delete(Session session);  
//获取当前所有活跃用户,如果用户量多此方法影响性能  
Collection<Session> getActiveSessions();   

Shiro内嵌了如下SessionDAO实现,是使用内存的ConcurrentHashMap:

public class MemorySessionDAO extends AbstractSessionDAO {
    private static final Logger log = LoggerFactory.getLogger(MemorySessionDAO.class);
    private ConcurrentMap<Serializable, Session> sessions = new ConcurrentHashMap();

    public MemorySessionDAO() {
    }

    protected Serializable doCreate(Session session) {
        Serializable sessionId = this.generateSessionId(session);
        this.assignSessionId(session, sessionId);
        this.storeSession(sessionId, session);
        return sessionId;
    }

    protected Session storeSession(Serializable id, Session session) {
        if(id == null) {
            throw new NullPointerException("id argument cannot be null.");
        } else {
            return (Session)this.sessions.putIfAbsent(id, session);
        }
    }

    protected Session doReadSession(Serializable sessionId) {
        return (Session)this.sessions.get(sessionId);
    }

    public void update(Session session) throws UnknownSessionException {
        this.storeSession(session.getId(), session);
    }

    public void delete(Session session) {
        if(session == null) {
            throw new NullPointerException("session argument cannot be null.");
        } else {
            Serializable id = session.getId();
            if(id != null) {
                this.sessions.remove(id);
            }

        }
    }

    public Collection<Session> getActiveSessions() {
        Collection values = this.sessions.values();
        return (Collection)(CollectionUtils.isEmpty(values)?Collections.emptySet():Collections.unmodifiableCollection(values));
    }
}

AbstractSessionDAO提供了SessionDAO的基础实现,如生成会话ID等;CachingSessionDAO提供了对开发者透明的会话缓存的功能,只需要设置相应的CacheManager即可;MemorySessionDAO直接在内存中进行会话维护;而EnterpriseCacheSessionDAO提供了缓存功能的会话维护,默认情况下使用MapCache实现,内部使用ConcurrentHashMap保存缓存的会话。

可以通过如下配置设置SessionDAO:

<!-- custom shiro session listener -->
<bean id="customShiroSessionDAO" class="org.liuyuantao.quick4j.shiro.CustomShiroSessionDAO">
    <property name="shiroSessionRepository" ref="jedisShiroSessionRepository"/>
    <property name="sessionIdGenerator" ref="sessionIdGenerator"/>
</bean>

会话验证

Shiro提供了会话验证调度器,用于定期的验证会话是否已过期,如果过期将停止会话;出于性能考虑,一般情况下都是获取会话时来验证会话是否过期并停止会话的;但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。

可以通过如下配置开启会话验证:

<!-- 会话验证调度器 -->
<bean id="sessionValidationScheduler" class="org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler">
    <!-- 间隔多少时间检查,不配置是60分钟 -->
    <property name="interval" value="${session.validate.timespan}"/>
    <property name="sessionManager" ref="sessionManager"/>
</bean>

sessionValidationScheduler:会话验证调度器,sessionManager默认就是使用ExecutorServiceSessionValidationScheduler,其使用JDK的ScheduledExecutorService进行定期调度并验证会话是否过期;

sessionValidationScheduler.interval:设置调度时间间隔,单位毫秒,默认就是1小时;

sessionValidationScheduler.sessionManager:设置会话验证调度器进行会话验证时的会话管理器;

sessionManager.globalSessionTimeout:设置全局会话超时时间,默认30分钟,即如果30分钟内没有访问会话将过期;

sessionManager.sessionValidationSchedulerEnabled:是否开启会话验证器,默认是开启的;

sessionManager.sessionValidationScheduler:设置会话验证调度器,默认就是使用ExecutorServiceSessionValidationScheduler。

Shiro也提供了使用Quartz会话验证调度器:

<!-- 会话验证调度器 -->
<bean id="sessionValidationScheduler" class="org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler">
    <!-- 间隔多少时间检查,不配置是60分钟 -->
    <property name="sessionValidationInterval" value="${session.validate.timespan}"/>
    <property name="sessionManager" ref="sessionManager"/>
</bean>

如上会话验证调度器实现都是直接调用AbstractValidatingSessionManager 的validateSessions方法进行验证,其直接调用SessionDAO的getActiveSessions方法获取所有会话进行验证,如果会话比较多,会影响性能;可以考虑如分页获取会话并进行验证。

sessionFactory

sessionFactory是创建会话的工厂,根据相应的Subject上下文信息来创建会话;默认提供了SimpleSessionFactory用来创建SimpleSession会话。

首先自定义一个Session:

public class OnlineSession extends SimpleSession {  
    public static enum OnlineStatus {  
        on_line("在线"), hidden("隐身"), force_logout("强制退出");  
        private final String info;  
        private OnlineStatus(String info) {  
            this.info = info;  
        }  
        public String getInfo() {  
            return info;  
        }  
    }  
    private String userAgent; //用户浏览器类型  
    private OnlineStatus status = OnlineStatus.on_line; //在线状态  
    private String systemHost; //用户登录时系统IP  
    //省略其他  
}   

OnlineSession用于保存当前登录用户的在线状态,支持如离线等状态的控制。

接着自定义SessionFactory:

public class OnlineSessionFactory implements SessionFactory {  
  
    @Override  
    public Session createSession(SessionContext initData) {  
        OnlineSession session = new OnlineSession();  
        if (initData != null && initData instanceof WebSessionContext) {  
            WebSessionContext sessionContext = (WebSessionContext) initData;  
            HttpServletRequest request = (HttpServletRequest) sessionContext.getServletRequest();  
            if (request != null) {  
                session.setHost(IpUtils.getIpAddr(request));  
                session.setUserAgent(request.getHeader("User-Agent"));  
                session.setSystemHost(request.getLocalAddr() + ":" + request.getLocalPort());  
            }  
        }  
        return session;  
    }  
}  

根据会话上下文创建相应的OnlineSession。

最后在spring-shiro.xml配置文件中对sessionManager配置:

<property name="sessionFactory" ref="OnlineSessionFactory "/>

 

© 著作权归作者所有

共有 人打赏支持
小致dad
粉丝 114
博文 496
码字总数 549917
作品 0
济南
技术主管
Apache Shiro SessionManager配置详解.

SessionManager是在应用程序中为所有Subject提供Session的管理,包括创建,删除,失效及验证等。同其的核心组件一样,SessionManager 也是一个由SecurityManager 维护的顶级组件。 在Shiro中...

东北·赵本山 ⋅ 2015/06/03 ⋅ 0

shiro简单入门

shiro简介绍; Apache Shiro是Java的一个安全框架。 Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等 Authentication:身份认证/登录,验证用户是不是拥有相应的身份;...

xpttxsok ⋅ 2016/04/24 ⋅ 0

筱龙缘/shiro-redis-session

使用redis作为shiro实现集群会话管理,并可配置ehcache作为进程内缓存,通过redis消息订阅发布实现session缓存统一 shiro-redis-session jar shiro-redis-session-webapp 示例demo IDEA 需安...

筱龙缘 ⋅ 2015/11/10 ⋅ 0

Shiro系列(3) - What is shiro?

什么是shiro? Shiro是apache的一个开源权限管理的框架,它实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架 使用shiro来实现权限管理,可以非常有效的提高...

风间影月 ⋅ 2017/10/25 ⋅ 0

Apache Shiro(安全框架) 学习一

1、Apache Shiro 是一个强大易容的java开源安全框架,能够非常清晰的处理认证、授权、管理会话及密码加密,可为任何应用提供安全保障(命令行应用、移动应用到大型网络及企业应用)。架构如下...

爱笑的痴迷者 ⋅ 2016/11/21 ⋅ 0

shiro个人学习1

shiro的功能点: Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的...

金馆长1 ⋅ 2015/08/21 ⋅ 0

shiro之一

一、shiro的基本功能点: Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事...

沉默的懒猫 ⋅ 2016/07/04 ⋅ 0

第一章 Shiro简介

1.1 简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不...

heroShane ⋅ 2014/02/26 ⋅ 0

第一章 Shiro简介——《跟我学Shiro》

1.1 简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不...

真爱2015 ⋅ 2015/12/15 ⋅ 0

Apache Shiro框架认识

1.1 简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不...

tsmyk0715 ⋅ 2016/11/23 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

个人博客的运营模式能否学习TMALL天猫质量为上?

心情随笔|个人博客的运营模式能否学习TMALL天猫质量为上? 中国的互联网已经发展了很多年了,记得在十年前,个人博客十分流行,大量的人都在写博客,而且质量还不错,很多高质量的文章都是在...

原创小博客 ⋅ 今天 ⋅ 0

JavaScript零基础入门——(十一)JavaScript的DOM操作

JavaScript零基础入门——(十一)JavaScript的DOM操作 大家好,欢迎回到我们的JavaScript零基础入门。最近有些同学问我说,我讲的的比书上的精简不少。其实呢,我主要讲的是我在开发中经常会...

JandenMa ⋅ 今天 ⋅ 0

volatile和synchronized的区别

volatile和synchronized的区别 在讲这个之前需要先了解下JMM(Java memory Model :java内存模型):并发过程中如何处理可见性、原子性、有序性的问题--建立JMM模型 详情请看:https://baike.b...

MarinJ_Shao ⋅ 今天 ⋅ 0

深入分析Kubernetes Critical Pod(一)

Author: xidianwangtao@gmail.com 摘要:大家在部署Kubernetes集群AddOn组件的时候,经常会看到Annotation scheduler.alpha.kubernetes.io/critical-pod"="",以表示这是一个关键服务,那你知...

WaltonWang ⋅ 今天 ⋅ 0

原子性 - synchronized关键词

原子性概念 原子性提供了程序的互斥操作,同一时刻只能有一个线程能对某块代码进行操作。 原子性的实现方式 在jdk中,原子性的实现方式主要分为: synchronized:关键词,它依赖于JVM,保证了同...

dotleo ⋅ 今天 ⋅ 0

【2018.06.22学习笔记】【linux高级知识 14.4-15.3】

14.4 exportfs命令 14.5 NFS客户端问题 15.1 FTP介绍 15.2/15.3 使用vsftpd搭建ftp

lgsxp ⋅ 今天 ⋅ 0

JeeSite 4.0 功能权限管理基础(Shiro)

Shiro是Apache的一个开源框架,是一个权限管理的框架,实现用户认证、用户授权等。 只要有用户参与一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户...

ThinkGem ⋅ 昨天 ⋅ 0

python f-string 字符串格式化

主要内容 从Python 3.6开始,f-string是格式化字符串的一种很好的新方法。与其他格式化方式相比,它们不仅更易读,更简洁,不易出错,而且速度更快! 在本文的最后,您将了解如何以及为什么今...

阿豪boy ⋅ 昨天 ⋅ 0

Python实现自动登录站点

如果我们想要实现自动登录,那么我们就需要能够驱动浏览器(比如谷歌浏览器)来实现操作,ChromeDriver 刚好能够帮助我们这一点(非谷歌浏览器的驱动有所不同)。 一、确认软件版本 首先我们...

blackfoxya ⋅ 昨天 ⋅ 0

线性回归原理和实现基本认识

一:介绍 定义:线性回归在假设特证满足线性关系,根据给定的训练数据训练一个模型,并用此模型进行预测。为了了解这个定义,我们先举个简单的例子;我们假设一个线性方程 Y=2x+1, x变量为商...

wangxuwei ⋅ 昨天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部