shiro会话管理

最新推荐文章于 2022-08-29 17:14:39 发布
最新推荐文章于 2022-08-29 17:14:39 发布
阅读量99 收藏
点赞数
文章标签: java spring 缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_65774688/article/details/126587605
版权

目录

1、会话管理

1.1、会话监听器

1.2、Spring-shiro.xml

1.3、测试

2、缓存管理

2.1、初识缓存

2.2、ehcache.xml介绍

2.3、ehcache的初步使用

2.4、ehcache完成realm授权

1、会话管理

1.1、会话监听器

Shiro独立的会话管理,包含了单点登录的业务场景;Nginx负载多个tomcat;

package com.ssr.ssm.shiro;

import org.apache.shiro.session.Session;
import org.apache.shiro.session.SessionListener;

/**
 * @author ssr
 * @create 2022-08-27 11:16
 */
public class ShiroSessionListener implements SessionListener {
    @Override
    public void onStart(Session session) {
        System.out.println("ShiroSessionListener.onstart..."+session.getId());
    }

    @Override
    public void onStop(Session session) {
        System.out.println("ShiroSessionListener.onStop..."+session.getId());
    }

    @Override
    public void onExpiration(Session session) {
        System.out.println("ShiroSessionListener.onExpiration..."+session.getId());
    }
}

1.2、Spring-shiro.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">

    <!--配置自定义的Realm-->
    <bean id="shiroRealm" class="com.ssr.ssm.shiro.Myrealm">
        <property name="userBiz" ref="UserService" />
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--以下三个配置告诉shiro将如何对用户传来的明文密码进行加密-->
        <property name="credentialsMatcher">
            <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <!--指定hash算法为MD5-->
                <property name="hashAlgorithmName" value="md5"/>
                <!--指定散列次数为1024次-->
                <property name="hashIterations" value="1024"/>
                <!--true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储-->
                <property name="storedCredentialsHexEncoded" value="true"/>
            </bean>
        </property>
    </bean>


    <!--注册安全管理器-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="shiroRealm" />
        <property name="sessionManager" ref="sessionManager"></property>
    </bean>

    <!--Shiro核心过滤器-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 -->
        <property name="securityManager" ref="securityManager" />
        <!-- 身份验证失败,跳转到登录页面 -->
        <property name="loginUrl" value="/login"/>
        <!-- 身份验证成功,跳转到指定页面 -->
        <!--<property name="successUrl" value="/index.jsp"/>-->
        <!-- 权限验证失败,跳转到指定页面 -->
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        <!-- Shiro连接约束配置,即过滤链的定义 -->
        <property name="filterChainDefinitions">
            <value>
                <!--
                注:anon,authcBasic,auchc,user是认证过滤器
                    perms,roles,ssl,rest,port是授权过滤器
                -->
                <!--anon 表示匿名访问,不需要认证以及授权-->
                <!--authc表示需要认证 没有进行身份认证是不能进行访问的-->
                <!--roles[admin]表示角色认证,必须是拥有admin角色的用户才行-->
                /user/login=anon
                /user/updatePwd.jsp=authc
                /admin/*.jsp=roles[4]
                /user/teacher.jsp=perms[2]
                <!-- /css/**               = anon
                 /images/**            = anon
                 /js/**                = anon
                 /                     = anon
                 /user/logout          = logout
                 /user/**              = anon
                 /userInfo/**          = authc
                 /dict/**              = authc
                 /console/**           = roles[admin]
                 /**                   = anon-->
            </value>
        </property>
    </bean>

    <!-- Shiro生命周期,保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <!-- Session ID 生成器 -->
    <bean id="sessionIdGenerator" class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator">
    </bean>

    <!--sessionDao自定义会话管理,针对Session会话进行CRUD操作-->
    <bean id="customSessionDao" class="org.apache.shiro.session.mgt.eis.MemorySessionDAO">
        <property name="sessionIdGenerator" ref="sessionIdGenerator"/>
    </bean>

    <!--会话监听器-->
    <bean id="shiroSessionListener" class="com.ssr.ssm.shiro.ShiroSessionListener"/>

    <!--会话cookie模板-->
    <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <!--设置cookie的name-->
        <constructor-arg value="shiro.session"/>
        <!--设置cookie有效时间-->
        <property name="maxAge" value="-1"/>
        <!--设置httpOnly-->
        <property name="httpOnly" value="true"/>
    </bean>

    <!--SessionManager会话管理器-->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <!--设置session会话过期时间 毫秒 2分钟=120000-->
        <property name="globalSessionTimeout" value="120000"/>
        <!--设置sessionDao-->
        <property name="sessionDAO" ref="customSessionDao"/>
        <!--设置间隔多久检查一次session的有效性 默认1分钟-->
        <property name="sessionValidationInterval" value="60000"/>
        <!--配置会话验证调度器-->
        <!--<property name="sessionValidationScheduler" ref="sessionValidationScheduler"/>-->
        <!--是否开启检测,默认开启-->
        <!--<property name="sessionValidationSchedulerEnabled" value="true"/>-->
        <!--是否删除无效的session,默认开启-->
        <property name="deleteInvalidSessions" value="true"/>
        <!--配置session监听器-->
        <property name="sessionListeners">
            <list>
                <ref bean="shiroSessionListener"/>
            </list>
        </property>
        <!--会话Cookie模板-->
        <property name="sessionIdCookie" ref="sessionIdCookie"/>
        <!--取消URL后面的JSESSIONID-->
        <property name="sessionIdUrlRewritingEnabled" value="false"/>
    </bean>

    <!--使用ehcache缓存-->
    <bean id="cacheManagerFactory" class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean">
        <property name="configLocation" value="classpath:ehcache.xml"/>
        <property name="shared" value="true"/>
    </bean>
    <!-- 默认是cacheManager -->
    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManager" ref="cacheManagerFactory"/>
    </bean>
</beans>

1.3、测试

当登录发送请求 会执行 监听器中的 onstart
当登出发送请求 会执行 监听器中的 onStop
当检查session过期时,会执行 监听器中的 onExpiration
过期时,需要身份验证才能访问的方法,就不会被允许访问;

2、缓存管理

2.1、初识缓存

解决反复授权查询数据库的问题

package com.ssr.ssm.ehcache;

import java.util.HashMap;
import java.util.Map;

/**
 * 利用map集合简易实现缓存原理
 * @author Administrator
 *
 */
public class EhcacheDemo1 {
	static Map<String, Object> cache = new HashMap<String, Object>();
	static Object getValue(String key) {
		Object value = cache.get(key);
		if(value == null) {
			System.out.println("hello zs");
			cache.put(key, new String[] {"zs"});
			return cache.get(key);
		}
		return value;
	}
	
	public static void main(String[] args) {
		System.out.println(getValue("sname"));
		System.out.println(getValue("sname"));
	}
}

2.2、ehcache.xml介绍

<?xml version="1.0" encoding="UTF-8"?>
<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:noNamespaceSchemaLocation="http://ehcache.org/ehcache.xsd"
         updateCheck="false">
    <!--磁盘存储:将缓存中暂时不使用的对象,转移到硬盘,类似于Windows系统的虚拟内存-->
    <!--path:指定在硬盘上存储对象的路径-->
    <!--java.io.tmpdir 是默认的临时文件路径。 可以通过如下方式打印出具体的文件路径 System.out.println(System.getProperty("java.io.tmpdir"));-->
    <diskStore path="D://xxx"/>


    <!--defaultCache:默认的管理策略-->
    <!--eternal:设定缓存的elements是否永远不过期。如果为true,则缓存的数据始终有效,如果为false那么还要根据timeToIdleSeconds,timeToLiveSeconds判断-->
    <!--maxElementsInMemory:在内存中缓存的element的最大数目-->
    <!--overflowToDisk:如果内存中数据超过内存限制,是否要缓存到磁盘上-->
    <!--diskPersistent:是否在磁盘上持久化。指重启jvm后,数据是否有效。默认为false-->
    <!--timeToIdleSeconds:对象空闲时间(单位:秒),指对象在多长时间没有被访问就会失效。只对eternal为false的有效。默认值0,表示一直可以访问-->
    <!--timeToLiveSeconds:对象存活时间(单位:秒),指对象从创建到失效所需要的时间。只对eternal为false的有效。默认值0,表示一直可以访问-->
    <!--memoryStoreEvictionPolicy:缓存的3 种清空策略-->
    <!--FIFO:first in first out (先进先出)-->
    <!--LFU:Less Frequently Used (最少使用).意思是一直以来最少被使用的。缓存的元素有一个hit 属性,hit 值最小的将会被清出缓存-->
    <!--LRU:Least Recently Used(最近最少使用). (ehcache 默认值).缓存的元素有一个时间戳,当缓存容量满了,而又需要腾出地方来缓存新的元素的时候,那么现有缓存元素中时间戳离当前时间最远的元素将被清出缓存-->
    <defaultCache eternal="false" maxElementsInMemory="1000" overflowToDisk="false" diskPersistent="false"
                  timeToIdleSeconds="0" timeToLiveSeconds="600" memoryStoreEvictionPolicy="LRU"/>


    <!--name: Cache的名称,必须是唯一的(ehcache会把这个cache放到HashMap里)-->
    <cache name="com.javaxl.one.entity.User" eternal="false" maxElementsInMemory="100"
           overflowToDisk="true" diskPersistent="true" timeToIdleSeconds="0"
           timeToLiveSeconds="300" memoryStoreEvictionPolicy="LRU"/>
</ehcache>

2.3、ehcache的初步使用

package com.ssr.ssm.ehcache;

import net.sf.ehcache.Cache;
import net.sf.ehcache.CacheManager;
import net.sf.ehcache.Element;

import java.io.InputStream;

public class EhcacheUtil {

    private static CacheManager cacheManager;

    static {
        try {
            InputStream is = EhcacheUtil.class.getResourceAsStream("/ehcache.xml");
            cacheManager = CacheManager.create(is);
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }

    private EhcacheUtil() {
    }

    public static void put(String cacheName, Object key, Object value) {
        Cache cache = cacheManager.getCache(cacheName);
        if (null == cache) {
            //以默认配置添加一个名叫cacheName的Cache
            cacheManager.addCache(cacheName);
            cache = cacheManager.getCache(cacheName);
        }
        cache.put(new Element(key, value));
    }


    public static Object get(String cacheName, Object key) {
        Cache cache = cacheManager.getCache(cacheName);
        if (null == cache) {
            //以默认配置添加一个名叫cacheName的Cache
            cacheManager.addCache(cacheName);
            cache = cacheManager.getCache(cacheName);
        }
        Element element = cache.get(key);
        return null == element ? null : element.getValue();
    }

    public static void remove(String cacheName, Object key) {
        Cache cache = cacheManager.getCache(cacheName);
        cache.remove(key);
    }
}

演示ehcache的使用

package com.ssr.ssm.ehcache;


/**
 * 演示利用缓存存储数据
 * @author Administrator
 *
 */
public class EhcacheDemo2 {
	public static void main(String[] args) {
		System.out.println(System.getProperty("java.io.tmpdir"));
//		EhcacheUtil.put("com.javaxl.four.entity.Book", 11, "zhangsan");
//		System.out.println(EhcacheUtil.get("com.javaxl.four.entity.Book", 11));

		EhcacheUtil.put("com.javaxl.one.entity.User", 11, "zhangsan");
		System.out.println(EhcacheUtil.get("com.javaxl.one.entity.User", 11));

	}
}

2.4、ehcache完成realm授权

package com.ssr.ssm.shiro;

import com.ssr.ssm.biz.UserBiz;
import com.ssr.ssm.ehcache.EhcacheUtil;
import com.ssr.ssm.model.User;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

import java.util.Set;

/**
 * @author ssr
 * @create 2022-08-25 18:16
 */
public class Myrealm extends AuthorizingRealm {
    private UserBiz userBiz;

    public UserBiz getUserBiz() {
        return userBiz;
    }

    public void setUserBiz(UserBiz userBiz) {
        this.userBiz = userBiz;
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("用户授权...");
        String username = principals.getPrimaryPrincipal().toString();
        User user = userBiz.queryByName(username);
        String user_role_key = "user:roles:";
        String user_pers_key = "user:pers:";
        Set<String> roles = userBiz.getRolesByUserId(user.getUsername());
        Set<String> pers = userBiz.getPersByUserId(user.getUsername());
        if(roles == null||roles.size()==0){
            System.out.println("从数据库中获取相关角色信息...");
            roles=userBiz.getRolesByUserId(user.getUsername());
            EhcacheUtil.put(user_role_key+user.getUserid(),user.getUserid(),roles);
        }
        if(pers==null||pers.size()==0){
            System.out.println("从数据库中获取相关权限信息...");
            pers=userBiz.getPersByUserId(user.getUsername());
            EhcacheUtil.put(user_pers_key+user.getUserid(),user.getUserid(),pers);
        }
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        info.setRoles(roles);
        info.setStringPermissions(pers);
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("身份验证...");
        String username = token.getPrincipal().toString();
        String password = token.getCredentials().toString();
        User user = userBiz.queryByName(username);
        AuthenticationInfo info=new SimpleAuthenticationInfo(
                user.getUsername(),
                user.getPassword(),
                ByteSource.Util.bytes(user.getSalt()),
                this.getName()
        );
        return info;
    }
}

测试会发现,只有第一次执行授权方法的时候,才会从数据库中获取用户信息,其他时候都是从缓存中拿数据

Shiro会话管理缓存管理
DN金猿的博客
07-23 176
-sessionDao自定义会话管理,针对Session会话进行CRUD操作-->Ehcache是现在最流行的纯Java开源缓存框架,配置简单、结构清晰、功能强大。是Hibernate中默认CacheProvider。Ehcache是一种广泛使用的开源Java分布式缓存。主要面向通用缓存,Java EE和轻量级容器。它具有内存和磁盘存储,缓存加载器,缓存扩展,缓存异常处理程序,一个gzip缓存servlet过滤器,支持REST和SOAP api等特点。
shiro会话监听_Shiro的SessionListener
weixin_39907591的博客
01-17 1104
1、创建 session和销毁session的时机1、创建session的时候会附带着创建一个cookie,它的MaxAge为-1,也就是说只能存在于内存中。当浏览器端禁用cookie时,这个cookie依然会被创建。2、当浏览器提交的请求中有jsessionid参数或cookie报头时,容器不再新建session,而只是找到先前的session进行关联。这里又分为两种情况:1)使用jsessio...
Shiro (三)之授权加注解式权限
cao_2000的博客
01-04 898
重点: 1.添加角色和权限的授权方法   //根据username查询该用户的所有角色,用于角色验证   Set&lt;String&gt; findRoles(String username); 代码分享: select r.roleid from t_shiro_user u,t_shiro_role r , t_shiro_user_role ur where u.userid=...
shiro授权和认证(一)
weixin_46403305的博客
10-28 535
shiro是什么 shiro一个授权和认证的这样一个框架 简单的给你说、就是以前咋们认证和授权的所有代码、shiro都给咋们写好了、而且封装好了、我们只需要按照这个框架提供的API来简单的集成到咋们的项目中就可以了 1、shiro能干什么 认证、授权、Cache的管理、Session的管理、rememberMe功能的实现、登陆、退出… 2、shiro的整体架构是什么 3、shiro的第一个helloworld程序 3.1、导包 <!--导入shiro的包--> <de
shiro session listener
marlgl
08-17 439
[code="java"]package com.xyz.service.shiro; import org.apache.shiro.session.Session; import org.apache.shiro.session.SessionListener; import lombok.extern.slf4j.Slf4j; @Slf4j public class S...
Shiro会话管理
m0_62604616的博客
08-29 435
1.为什么要使用缓存在没有使用缓存的情况下,我们每次发送请求都会调用一次doGetAuthorizationInfo方法来进行用户的授权操作,但是我们知道,一个用户具有的权限一般不会频繁的修改,也就是每次授权的内容都是一样的,所以我们希望在用户登录成功的第一次授权成功后将用户的权限保存在缓存中,下一次请求授权的话就直接从缓存中获取,这样效率会更高一些。2.什么是ehcacheEhcache是现在最流行的纯Java开源缓存框架,配置简单、结构清晰、功能强大。...
shiro会话监听_SpringBoot集成Shiro会话管理
weixin_29191761的博客
01-17 515
Shiro中我们可以通过org.apache.shiro.session.mgt.eis.SessionDAO对象的getActiveSessions()方法方便的获取到当前所有有效的Session对象。通过这些Session对象,我们可以实现一些比较有趣的功能,比如查看当前系统的在线人数,查看这些在线用户的一些基本信息,强制让某个用户下线等。我们在现有的Spring Boot Shiro项目基...
shiro会话管理示例代码
09-15
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),直接使用Shiro会话管理可以直接替换如Web容器的会话管理
记一下Shiro重构之ShiroSessionListener
程序员朱永胜
09-05 2438
package com.ccb.web.shiro; import lombok.extern.slf4j.Slf4j; import org.apache.shiro.session.Session; import org.apache.shiro.session.SessionListener; /** * 配置session监听器 * * @author zhuyongsheng ...
authc过滤器 shiro_Shiro验证以及分页查询数据
weixin_39719427的博客
12-06 159
登录功能使用的是Shiro安全框架进行登录验证配置文件<beans xmlns="http://www.springframework.org/schema/beans" xmlns:context="http://www.springframework.org/schema/context" xmlns:p="http://www.springframework.org/sc...
authc过滤器 shiro_shiro 安全框架(2)
weixin_39946460的博客
12-19 139
Shiro-与Spring整合实现登录认证之配置文件编写Shiro-与Spring整合实现登录认证有哪些操作步骤?实现步骤 A.新建web项目B.导入shiro相关jar包(shiro-all 以及shiro-spring)C.在web.xml中添加DelegatingFilterProxy配置 D.编写spring-shiro.xml E.编写mapper接口及mapper.xml F.编写se...
Shiro】六、Apache Shiro Session管理
05-26 173
1、Session的介绍 关于Session 会话:从启动一个Session到关闭这个Session作为一个会话,是对客户端和服务器端交互的一种封装,带有时效性 会话的产生:  一般从容器中产生    Web container:Web容器,如Tomcat,这些容器对Session进行了实现,可以产生Session    EJB Stateful Session Beans:比较少...
Shiro权限管理】14.Shiro授权
程序猿之洞
12-02 1673
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 我们之前讲解了Realm认证和认证器策略等知识,下面来讲解Shiro中比较重要的知识:授权。 对于授权,也叫访问控制,即在应用中控制谁访问哪些资源(如访问页面/编辑数据/页面操作等)。 一、授权的几个重要概念 在授权中需要了解几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、
authc过滤器 shiro_shiro笔记 【四】
weixin_39690391的博客
11-20 393
shiro笔记 【三】public class MyIniWebEnvironment extends IniWebEnvironment { @Override protected FilterChainResolver createFilterChainResolver() { //在此处扩展自己的FilterChainResolver return s...
配置shiro会话监听
Super的专栏
11-04 8881
配置监听类 import org.apache.shiro.session.Session; import org.apache.shiro.session.SessionListener; public class SessionListener1 implements SessionListener { @Override public void onStart(Session se
authc过滤器 shiro_Shiro的web下的使用
weixin_39844549的博客
12-20 118
在前面我们一起使用了iniRealm和JdbcRealm的使用,接下来我们将在web下使用自定义的Realm。步骤一:导入jar包 <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version&gt...
shiro会话管理数据库设计
最新发布
09-03
为了实现Shiro会话管理功能,你可以设计一个简单的数据库模式。以下是一个示例: ```sql CREATE TABLE sessions ( session_id VARCHAR(50) PRIMARY KEY, session_data TEXT, start_time TIMESTAMP, last_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

荣荣荣荣.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值