在安全框领域,ApacheShiro提供了一个独一无二的东西:一个完整的企业级Session解决方案,从最简单的命令行及智能手机应用到最大的集群企业Web应用程序。如果你需要session支持,你可以使用Shiro的Session支持,比Web容器或使用EJB有状态会话Bean这两种机制的使用和管理更为简单。
下面是Shiro对Session支持的一些特点:
1) POJO/J2SEbased(IoCfriendly)-Shiro的一切(包括所有Session和SessionManagement方面)都是基于接口和POJO实现。这可以让你轻松地配置所有拥有任何JavaBeans兼容配置格式(如JSON,YAML,SpringXML或类似的机制)的会话组件。你也可以轻松地扩展Shiro的组件或编写你自己所需的来完全自定义sessionmanagement。
2) EasyCustomSessionStorage-因为Shiro的Session对象是基于POJO的,会话数据可以很容易地存储在任意数量的数据源。这允许你自定义你的应用程序会话数据的确切位置——例如,文件系统,联网的分布式缓存,关系数据库,或专有的数据存储。
3) Container-IndependentClustering!-Shiro的会话可以很容易地聚集通过使用任何随手可用的网络缓存产品,像Ehcache+Terracotta,Coherence,GigaSpaces,等等。这意味着你可以为Shiro配置会话群集一次且仅一次,无论你部署到什么容器中,你的会话将以相同的方式聚集。不需要容器的具体配置!
4) HeterogeneousClientAccess-与EJB或web会话不同,Shiro会话可以被各种客户端技术“共享”。例如,一个桌面应用程序可以“看到”和“共享”同一个被使用的物理会话通过在Web应用程序中的同一用户。我们不知道除了Shiro以外的其他框架能够支持这一点。
5) EventListeners-事件监听器允许你在会话生命周期监听生命周期事件。你可以侦听这些事件和对自定义应用程序的行为作出反应——例如,更新用户记录当他们的会话过期时。
6) HostAddressRetention-ShiroSessions从会话发起地方保留IP地址或主机名。这允许你确定用户所在,并作出相应的反应(通常是在IP分配确定的企业内部网络环境)。
7) Inactivity/ExpirationSupport-由于不活动导致会话过期,如果你希望的话,它们可以通过touch()方法来保持它们“活着”。这在RIA(富互联网应用)环境非常有用,用户可能会使用桌面应用程序,但可能不会经常与服务器进行通信,但该服务器的会话不应过期。
8) TransparentWebUse-Shiro的网络支持,充分地实现和支持关于Sessions(HttpSession接口和它的所有相关的API)的Servlet2.5规范.这意味着你可以使用在现有Web应用程序中使用Shiro会话,并且你不需要改变任何现有的Web代码。
9) CanbeusedforSSO-由于Shiro会话是基于POJO的,它们可以很容易地存储在任何数据源,而且它们可以跨程序“共享”。我们称之为"poorman'sSSO",并且它可以用来提供简单的登录体验,由于共享的会话能够保留身份验证状态。
在Shiro中使用Session非常简单,可以通过与当前执行的Subject交互来获取Session。例如:
| SubjectcurrentUser=SecurityUtils.getSubject(); Sessionsession=currentUser.getSession(); session.setAttribute("someKey",someValue); |
对于那些熟悉HttpServletRequestAPI的人,Subject.getSession(booleancreate)方法与HttpServletRequest.getSession(booleancreate)方法有着异曲同工之效。
l如果该Subject已经拥有一个Session,则boolean参数被忽略且Session被立即返回。
l如果该Subject还没有一个Session且create参数为true,则创建一个新的会话并返回该会话。
l如果该Subject还没有一个Session且create参数为false,则不会创建新的会话且返回null。
l 当你获取了一个Subject的Session后,你可以用它来做许多事情,像设置或取得attribute,设置其超时时间,等等。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
