Shiro学习(10)Session管理
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。即直接使用Shiro的会话管理可以直接替换如Web容器的会话管理。
会话
所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。
Shiro的会话支持不仅可以在普通的JavaSE应用中使用,也可以在JavaEE应用中使用,如web应用。且使用方式是一致的。
- login("classpath:shiro.ini", "zhang", "123");
- Subject subject = SecurityUtils.getSubject();
- Session session = subject.getSession();
登录成功后使用Subject.getSession()即可获取会话;其等价于Subject.getSession(true),即如果当前没有创建Session对象会创建一个;另外Subject.getSession(false),如果当前没有创建Session则返回null(不过默认情况下如果启用会话存储功能的话在创建Subject时会主动创建一个Session)。
- session.getId();
获取当前会话的唯一标识。
- session.getHost();
获取当前Subject的主机地址,该地址是通过HostAuthenticationToken.getHost()提供的。
- session.getTimeout();
- session.setTimeout(毫秒);
获取/设置当前Session的过期时间;如果不设置默认是会话管理器的全局过期时间。
- session.getStartTimestamp();
- session.getLastAccessTime();
获取会话的启动时间及最后访问时间;如果是JavaSE应用需要自己定期调用session.touch()去更新最后访问时间;如果是Web应用,每次进入ShiroFilter都会自动调用session.touch()来更新最后访问时间。
- session.touch();
- session.stop();
更新会话最后访问时间及销毁会话;当Subject.logout()时会自动调用stop方法来销毁会话。如果在web中,调用javax.servlet.http.HttpSession. invalidate()也会自动调用Shiro Session.stop方法进行销毁Shiro的会话。
- session.setAttribute("key", "123");
- Assert.assertEquals("123", session.getAttribute("key"));
- session.removeAttribute("key");
设置/获取/删除会话属性;在整个会话范围内都可以对这些属性进行操作。
Shiro提供的会话可以用于JavaSE/JavaEE环境,不依赖于任何底层容器,可以独立使用,是完整的会话模块。
会话管理器
会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。是Shiro的核心组件,顶层组件SecurityManager直接继承了SessionManager,且提供了SessionsSecurityManager实现直接把会话管理委托给相应的SessionManager,DefaultSecurityManager及DefaultWebSecurityManager默认SecurityManager都继承了SessionsSecurityManager。
SecurityManager提供了如下接口:
- Session start(SessionContext context); //启动会话
- Session getSession(SessionKey key) throws SessionException; //根据会话Key获取会话
另外用于Web环境的WebSessionManager又提供了如下接口:
- boolean isServletContainerSessions();//是否使用Servlet容器的会话
Shiro还提供了ValidatingSessionManager用于验资并过期会话:
- void validateSessions();//验证所有会话是否过期
Shiro提供了三个默认实现:
DefaultSessionManager:DefaultSecurityManager使用的默认实现,用于JavaSE环境;
ServletContainerSessionManager:DefaultWebSecurityManager使用的默认实现,用于Web环境,其直接使用Servlet容器的会话;
DefaultWebSessionManager:用于Web环境的实现,可以替代ServletContainerSessionManager,自己维护着会话,直接废弃了Servlet容器的会话管理。
替换SecurityManager默认的SessionManager可以在ini中配置(shiro.ini):
- [main]
- sessionManager=org.apache.shiro.session.mgt.DefaultSessionManager
- securityManager.sessionManager=$sessionManager
Web环境下的ini配置(shiro-web.ini):
<!--EndFragment-->
- [main]
- sessionManager=org.apache.shiro.web.session.mgt.ServletContainerSessionManager
- securityManager.sessionManager=$sessionManager
另外可以设置会话的全局过期时间(毫秒为单位),默认30分钟:
- sessionManager. globalSessionTimeout=1800000
默认情况下globalSessionTimeout将应用给所有Session。可以单独设置每个Session的timeout属性来为每个Session设置其超时时间。
另外如果使用ServletContainerSessionManager进行会话管理,Session的超时依赖于底层Servlet容器的超时时间,可以在web.xml中配置其会话的超时时间(分钟为单位):
- <session-config>
- <session-timeout>30</session-timeout>
- </session-config>
在Servlet容器中,默认使用JSESSIONID Cookie维护会话,且会话默认是跟容器绑定的;在某些情况下可能需要使用自己的会话机制,此时我们可以使用DefaultWebSessionManager来维护会话:
- sessionIdCookie=org.apache.shiro.web.servlet.SimpleCookie
- sessionManager=org.apache.shiro.web.session.mgt.DefaultWebSessionManager
- sessionIdCookie.name=sid
- #sessionIdCookie.domain=xxx.com
- #sessionIdCookie.path=
- sessionIdCookie.maxAge=1800
- sessionIdCookie.httpOnly=true
- sessionManager.sessionIdCookie=$sessionIdCookie
- sessionManager.sessionIdCookieEnabled=true
- securityManager.sessionManager=$sessionManager
sessionIdCookie是sessionManager创建会话Cookie的模板:
sessionIdCookie.name:设置Cookie名字,默认为JSESSIONID;
sessionIdCookie.domain:设置Cookie的域名,默认空,即当前访问的域名;
sessionIdCookie.path:设置Cookie的路径,默认空,即存储在域名根下;
sessionIdCookie.maxAge:设置Cookie的过期时间,秒为单位,默认-1表示关闭浏览器时过期Cookie;
sessionIdCookie.httpOnly:如果设置为true,则客户端不会暴露给客户端脚本代码,使用HttpOnly cookie有助于减少某些类型的跨站点脚本攻击;此特性需要实现了Servlet 2.5 MR6及以上版本的规范的Servlet容器支持;
sessionManager.sessionIdCookieEnabled:是否启用/禁用Session Id Cookie,默认是启用的;如果禁用后将不会设置Session Id Cookie,即默认使用了Servlet容器的JSESSIONID,且通过URL重写(URL中的“;JSESSIONID=id”部分)保存Session Id。
另外我们可以如“sessionManager. sessionIdCookie.name=sid”这种方式操作Cookie模板。
会话监听器
会话监听器用于监听会话创建、过期及停止事件:
- public class MySessionListener1 implements SessionListener {
- @Override
- public void onStart(Session session) {//会话创建时触发
- System.out.println("会话创建:" + session.getId());
- }
- @Override
- public void onExpiration(Session session) {//会话过期时触发
- System.out.println("会话过期:" + session.getId());
- }
- @Override
- public void onStop(Session session) {//退出/会话过期时触发
- System.out.println("会话停止:" + session.getId());
- }
- }
如果只想监听某一个事件,可以继承SessionListenerAdapter实现:
- public class MySessionListener2 extends SessionListenerAdapter {
- @Override
- public void onStart(Session session) {
- System.out.println("会话创建:" + session.getId());
- }
- }
在shiro-web.ini配置文件中可以进行如下配置设置会话监听器:
- sessionListener1=com.github.zhangkaitao.shiro.chapter10.web.listener.MySessionListener1
- sessionListener2=com.github.zhangkaitao.shiro.chapter10.web.listener.MySessionListener2
- sessionManager.sessionListeners=$sessionListener1,$sessionListener2
会话存储/持久化
Shiro提供SessionDAO用于会话的CRUD,即DAO(Data Access Object)模式实现:
- //如DefaultSessionManager在创建完session后会调用该方法;如保存到关系数据库/文件系统/NoSQL数据库;即可以实现会话的持久化;返回会话ID;主要此处返回的ID.equals(session.getId());
- Serializable create(Session session);
- //根据会话ID获取会话
- Session readSession(Serializable sessionId) throws UnknownSessionException;
- //更新会话;如更新会话最后访问时间/停止会话/设置超时时间/设置移除属性等会调用
- void update(Session session) throws UnknownSessionException;
- //删除会话;当会话过期/会话停止(如用户退出时)会调用
- void delete(Session session);
- //获取当前所有活跃用户,如果用户量多此方法影响性能
- Collection<Session> getActiveSessions();
Shiro内嵌了如下SessionDAO实现:
AbstractSessionDAO提供了SessionDAO的基础实现,如生成会话ID等;CachingSessionDAO提供了对开发者透明的会话缓存的功能,只需要设置相应的CacheManager即可;MemorySessionDAO直接在内存中进行会话维护;而EnterpriseCacheSessionDAO提供了缓存功能的会话维护,默认情况下使用MapCache实现,内部使用ConcurrentHashMap保存缓存的会话。
可以通过如下配置设置SessionDAO:
- sessionDAO=org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
- sessionManager.sessionDAO=$sessionDAO
Shiro提供了使用Ehcache进行会话存储,Ehcache可以配合TerraCotta实现容器无关的分布式集群。
首先在pom.xml里添加如下依赖:
- <dependency>
- <groupId>org.apache.shiro</groupId>
- <artifactId>shiro-ehcache</artifactId>
- <version>1.2.2</version>
- </dependency>
接着配置shiro-web.ini文件:
- sessionDAO=org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
- sessionDAO. activeSessionsCacheName=shiro-activeSessionCache
- sessionManager.sessionDAO=$sessionDAO
- cacheManager = org.apache.shiro.cache.ehcache.EhCacheManager
- cacheManager.cacheManagerConfigFile=classpath:ehcache.xml
- securityManager.cacheManager = $cacheManager
sessionDAO. activeSessionsCacheName:设置Session缓存名字,默认就是shiro-activeSessionCache;
cacheManager:缓存管理器,用于管理缓存的,此处使用Ehcache实现;
cacheManager.cacheManagerConfigFile:设置ehcache缓存的配置文件;
securityManager.cacheManager:设置SecurityManager的cacheManager,会自动设置实现了CacheManagerAware接口的相应对象,如SessionDAO的cacheManager;
然后配置ehcache.xml:
- <cache name="shiro-activeSessionCache"
- maxEntriesLocalHeap="10000"
- overflowToDisk="false"
- eternal="false"
- diskPersistent="false"
- timeToLiveSeconds="0"
- timeToIdleSeconds="0"
- statistics="true"/>
Cache的名字为shiro-activeSessionCache,即设置的sessionDAO的activeSessionsCacheName属性值。
另外可以通过如下ini配置设置会话ID生成器:
- sessionIdGenerator=org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator
- sessionDAO.sessionIdGenerator=$sessionIdGenerator
用于生成会话ID,默认就是JavaUuidSessionIdGenerator,使用Java.util.UUID生成。
如果自定义实现SessionDAO,继承CachingSessionDAO即可:
- public class MySessionDAO extends CachingSessionDAO {
- private JdbcTemplate jdbcTemplate = JdbcTemplateUtils.jdbcTemplate();
- protected Serializable doCreate(Session session) {
- Serializable sessionId = generateSessionId(session);
- assignSessionId(session, sessionId);
- String sql = "insert into sessions(id, session) values(?,?)";
- jdbcTemplate.update(sql, sessionId, SerializableUtils.serialize(session));
- return session.getId();
- }
- protected void doUpdate(Session session) {
- if(session instanceof ValidatingSession && !((ValidatingSession)session).isValid()) {
- return; //如果会话过期/停止 没必要再更新了
- }
- String sql = "update sessions set session=? where id=?";
- jdbcTemplate.update(sql, SerializableUtils.serialize(session), session.getId());
- }
- protected void doDelete(Session session) {
- String sql = "delete from sessions where id=?";
- jdbcTemplate.update(sql, session.getId());
- }
- protected Session doReadSession(Serializable sessionId) {
- String sql = "select session from sessions where id=?";
- List<String> sessionStrList = jdbcTemplate.queryForList(sql, String.class, sessionId);
- if(sessionStrList.size() == 0) return null;
- return SerializableUtils.deserialize(sessionStrList.get(0));
- }
- }
doCreate/doUpdate/doDelete/doReadSession分别代表创建/修改/删除/读取会话;此处通过把会话序列化后存储到数据库实现;接着在shiro-web.ini中配置:
- sessionDAO=com.github.zhangkaitao.shiro.chapter10.session.dao.MySessionDAO
其他设置和之前一样,因为继承了CachingSessionDAO;所有在读取时会先查缓存中是否存在,如果找不到才到数据库中查找。
会话验证
Shiro提供了会话验证调度器,用于定期的验证会话是否已过期,如果过期将停止会话;出于性能考虑,一般情况下都是获取会话时来验证会话是否过期并停止会话的;但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。
可以通过如下ini配置开启会话验证:
- sessionValidationScheduler=org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler
- sessionValidationScheduler.interval = 3600000
- sessionValidationScheduler.sessionManager=$sessionManager
- sessionManager.globalSessionTimeout=1800000
- sessionManager.sessionValidationSchedulerEnabled=true
- sessionManager.sessionValidationScheduler=$sessionValidationScheduler
sessionValidationScheduler:会话验证调度器,sessionManager默认就是使用ExecutorServiceSessionValidationScheduler,其使用JDK的ScheduledExecutorService进行定期调度并验证会话是否过期;
sessionValidationScheduler.interval:设置调度时间间隔,单位毫秒,默认就是1小时;
sessionValidationScheduler.sessionManager:设置会话验证调度器进行会话验证时的会话管理器;
sessionManager.globalSessionTimeout:设置全局会话超时时间,默认30分钟,即如果30分钟内没有访问会话将过期;
sessionManager.sessionValidationSchedulerEnabled:是否开启会话验证器,默认是开启的;
sessionManager.sessionValidationScheduler:设置会话验证调度器,默认就是使用ExecutorServiceSessionValidationScheduler。
Shiro也提供了使用Quartz会话验证调度器:
- sessionValidationScheduler=org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler
- sessionValidationScheduler.sessionValidationInterval = 3600000
- sessionValidationScheduler.sessionManager=$sessionManager
使用时需要导入shiro-quartz依赖:
- <dependency>
- <groupId>org.apache.shiro</groupId>
- <artifactId>shiro-quartz</artifactId>
- <version>1.2.2</version>
- </dependency>
如上会话验证调度器实现都是直接调用AbstractValidatingSessionManager 的validateSessions方法进行验证,其直接调用SessionDAO的getActiveSessions方法获取所有会话进行验证,如果会话比较多,会影响性能;可以考虑如分页获取会话并进行验证,如com.github.zhangkaitao.shiro.chapter10.session.scheduler.MySessionValidationScheduler:
- //分页获取会话并验证
- String sql = "select session from sessions limit ?,?";
- int start = 0; //起始记录
- int size = 20; //每页大小
- List<String> sessionList = jdbcTemplate.queryForList(sql, String.class, start, size);
- while(sessionList.size() > 0) {
- for(String sessionStr : sessionList) {
- try {
- Session session = SerializableUtils.deserialize(sessionStr);
- Method validateMethod =
- ReflectionUtils.findMethod(AbstractValidatingSessionManager.class,
- "validate", Session.class, SessionKey.class);
- validateMethod.setAccessible(true);
- ReflectionUtils.invokeMethod(validateMethod,
- sessionManager, session, new DefaultSessionKey(session.getId()));
- } catch (Exception e) {
- //ignore
- }
- }
- start = start + size;
- sessionList = jdbcTemplate.queryForList(sql, String.class, start, size);
- }
其直接改造自ExecutorServiceSessionValidationScheduler,如上代码是验证的核心代码,可以根据自己的需求改造此验证调度器器;ini的配置和之前的类似。
如果在会话过期时不想删除过期的会话,可以通过如下ini配置进行设置:
- sessionManager.deleteInvalidSessions=false
默认是开启的,在会话过期后会调用SessionDAO的delete方法删除会话:如会话时持久化存储的,可以调用此方法进行删除。
如果是在获取会话时验证了会话已过期,将抛出InvalidSessionException;因此需要捕获这个异常并跳转到相应的页面告诉用户会话已过期,让其重新登录,如可以在web.xml配置相应的错误页面:
- <error-page>
- <exception-type>org.apache.shiro.session.InvalidSessionException</exception-type>
- <location>/invalidSession.jsp</location>
- </error-page>
sessionFactory
sessionFactory是创建会话的工厂,根据相应的Subject上下文信息来创建会话;默认提供了SimpleSessionFactory用来创建SimpleSession会话。
首先自定义一个Session:
- public class OnlineSession extends SimpleSession {
- public static enum OnlineStatus {
- on_line("在线"), hidden("隐身"), force_logout("强制退出");
- private final String info;
- private OnlineStatus(String info) {
- this.info = info;
- }
- public String getInfo() {
- return info;
- }
- }
- private String userAgent; //用户浏览器类型
- private OnlineStatus status = OnlineStatus.on_line; //在线状态
- private String systemHost; //用户登录时系统IP
- //省略其他
- }
OnlineSession用于保存当前登录用户的在线状态,支持如离线等状态的控制。
接着自定义SessionFactory:
- public class OnlineSessionFactory implements SessionFactory {
- @Override
- public Session createSession(SessionContext initData) {
- OnlineSession session = new OnlineSession();
- if (initData != null && initData instanceof WebSessionContext) {
- WebSessionContext sessionContext = (WebSessionContext) initData;
- HttpServletRequest request = (HttpServletRequest) sessionContext.getServletRequest();
- if (request != null) {
- session.setHost(IpUtils.getIpAddr(request));
- session.setUserAgent(request.getHeader("User-Agent"));
- session.setSystemHost(request.getLocalAddr() + ":" + request.getLocalPort());
- }
- }
- return session;
- }
- }
根据会话上下文创建相应的OnlineSession。
最后在shiro-web.ini配置文件中配置:
- sessionFactory=org.apache.shiro.session.mgt.OnlineSessionFactory
- sessionManager.sessionFactory=$sessionFactory
Shiro学习(10)Session管理的更多相关文章
- Shiro权限管理框架(四):深入分析Shiro中的Session管理
其实关于Shiro的一些学习笔记很早就该写了,因为懒癌和拖延症晚期一直没有落实,直到今天公司的一个项目碰到了在集群环境的单点登录频繁掉线的问题,为了解决这个问题,Shiro相关的文档和教程没少翻.最后 ...
- 细说shiro之六:session管理
官网:https://shiro.apache.org/ 我们先来看一下shiro中关于Session和Session Manager的类图. 如上图所示,shiro自己定义了一个新的Session接 ...
- Shiro在Spring session管理
会话管理 在shiro里面可以发现所有的用户的会话信息都会由Shiro来进行控制,那么也就是说只要是与用户有关的一切的处理信息操作都可以通过Shiro取得,实际上可以取得的信息可以有用户名.主机名称等 ...
- OC学习10——内存管理
1.对于面向对象的语言,程序需要不断地创建对象.这些对象都是保存在堆内存中,而我们的指针变量中保存的是这些对象在堆内存中的地址,当该对象使用结束之后,指针变量指向其他对象或者指向nil时,这个对象将称 ...
- hibernate框架学习之Session管理
Session对象的生命周期 lHibernate中数据库连接最终包装成Session对象,使用Session对象可以对数据库进行操作. lSession对象获取方式: •加载所有配置信息得到Conf ...
- Apache Shiro学习-2-Apache Shiro Web Support
Apache Shiro Web Support 1. 配置 将 Shiro 整合到 Web 应用中的最简单方式是在 web.xml 的 Servlet ContextListener 和 Fil ...
- Shiro Quartz之Junit測试Session管理
Shiro的quartz主要API上提供了org.apache.shiro.session.mgt.quartz下session管理的两个类:QuartzSessionValidationJob和Qu ...
- ASP.NET Core中的OWASP Top 10 十大风险-失效的访问控制与Session管理
不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...
- hibernate学习笔记第七天:二级缓存和session管理
二级缓存配置 1.导入ehcache对应的三个jar包 ehcache/*.jar 2.配置hibernate使用二级缓存 2.1设置当前环境开始二级缓存的使用 <property name=& ...
- SpringBoot+Shiro学习(七):Filter过滤器管理
SpringBoot+Shiro学习(七):Filter过滤器管理 Hiwayz 关注 0.5 2018.09.06 19:09* 字数 1070 阅读 5922评论 1喜欢 20 先从我们写的一个 ...
随机推荐
- 使用nano编辑器进行查找和替换
笔者自己常用的是vim.这里nano的使用场景就是刚安装好Ubuntu系统,想要替换更新源,这时候还没装上vim.所以,学一下如何用nano查找和替换,可以解决这个小问题. 首先sudo nano / ...
- MySQL慢SQL语句常见诱因
原创转载请注明出处:https://www.cnblogs.com/agilestyle/p/11429037.html 1. 无索引.索引失效导致慢查询 如果在一张几千万数据的表中以一个没有索引的列 ...
- Java中的多表&事务&DCL&一个多表操作例子
准备sql: 创建部门表 CREATE TABLE dept( id INT PRIMARY KEY AUTO_INCREMENT, NAME VARCHAR(20) ); INSERT INTO d ...
- shell 读取文件的每一行
1.使用while #!/bin/bash while read line do echo $line done < file.txt #!/bin/bash cat file.txt | wh ...
- 阿里云HBase推出普惠性高可用服务,独家支持用户的自建、混合云环境集群
HBase可以支持百TB数据规模.数百万QPS压力下的毫秒响应,适用于大数据背景下的风控和推荐等在线场景.阿里云HBase服务了多家金融.广告.媒体类业务中的风控和推荐,持续的在高可用.低延迟.低成本 ...
- SCP-bzoj-1085
项目编号:bzoj-1085 项目等级:Safe 项目描述: 戳这里 特殊收容措施: A*(上下界剪枝). 答案上界:15. 答案下界:当前步数+当前状态剩余步数估价. 这里我们简单地设计估价函数为当 ...
- NOIWC2019 懵逼记
弱省蒟蒻,第一次也是最后一次来冬令营.. Day [-inf,-1] \(woc\)咋啥都听不懂,没错在下划水王. Day 0 白天上课继续划水..晚上跑去试机,骗了半天交互的分就滚了..半夜里竟然睡 ...
- Django实现得步骤流程
我们利用django实现功能得时候,步骤和流程是怎样得呢? 一,首先要在Models中创建表. 1,在setting中找到DATABASE 中找到要使用得数据库,用mysql就把名字改了mysql. ...
- Nginx在Windows平台的配置
Nginx在Windows平台的配置 能够使用Nginx搭建Tomcat集群,并完成负载均衡. 1.什么是Nginx 2.为什么使用Nginx 背景: 互联网飞速发展的今天,大用户量高并发已经成为互联 ...
- (3)C++复合类型
存储数据时必须跟踪的三个属性:信息储存在何处,存储的值,存储的类型 一.数组 #include <iostream> using namespace std; int main() { / ...