shiro会话监听_SpringBoot集成Shiro会话管理

最新推荐文章于 2025-06-25 15:45:10 发布
最新推荐文章于 2025-06-25 15:45:10 发布
阅读量524 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: shiro会话监听
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_29191761/article/details/113010695
本文介绍了如何在Spring Boot应用中使用Shiro进行会话管理,包括通过Redis或Ehcache存储Session,实现在线用户数量统计,以及监听Session事件强制用户下线。详细步骤涉及SessionDAO配置、SessionManager与SessionListener设置,以及通过Service和Controller处理在线用户列表和踢出用户功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在Shiro中我们可以通过org.apache.shiro.session.mgt.eis.SessionDAO对象的getActiveSessions()方法方便的获取到当前所有有效的Session对象。通过这些Session对象,我们可以实现一些比较有趣的功能,比如查看当前系统的在线人数,查看这些在线用户的一些基本信息,强制让某个用户下线等。

我们在现有的Spring Boot Shiro项目基础上进行一些改造。

Redis Session管理

Redis作为缓存实现,那么SessionDAO为RedisSessionDAO:

/**

* session会话

*

* @return

*/

@Bean

public RedisSessionDAO sessionDAO() {

RedisSessionDAO redisSessionDAO = new RedisSessionDAO();

redisSessionDAO.setRedisManager(redisManager());

return redisSessionDAO;

}

Ehcache Session管理

Ehcache作为缓存实现,那么SessionDAO为RedisSessionDAO:

/**

* session会话

*

* @return

*/

@Bean

public SessionDAO sessionDAO() {

MemorySessionDAO sessionDAO = new MemorySessionDAO();

return sessionDAO;

}

SessionManager 管理器

SessionDao通过org.apache.shiro.session.mgt.SessionManager进行管理,在ShiroConfig中配置SessionManager:

/**

* session会话管理器

*/

@Bean

public SessionManager sessionManager() {

DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();

Collection listeners = new ArrayList<>();

listeners.add(new ShiroSessionListener());

sessionManager.setSessionListeners(listeners);

sessionManager.setSessionDAO(sessionDAO());

return sessionManager;

}

ShiroSessionListener 监听器

public class ShiroSessionListener implements SessionListener{

private final AtomicInteger sessionCount = new AtomicInteger(0);

@Override

public void onStart(Session session) {

sessionCount.incrementAndGet();

}

@Override

public void onStop(Session session) {

sessionCount.decrementAndGet();

}

@Override

public void onExpiration(Session session) {

sessionCount.decrementAndGet();

}

}



ShiroSessionListener维护着一个原子类型的Integer对象,用于统计在线Session的数量。

定义完SessionManager后,还需将其注入到SecurityManager中:

@Bean

public SecurityManager securityManager(){

DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

securityManager.setRealm(shiroRealm());

...

securityManager.setSessionManager(sessionManager());

return securityManager;

}

UserOnline

配置完ShiroConfig后,我们可以创建一个UserOnline实体类,用于描述每个在线用户的基本信息:

public class UserOnline implements Serializable{

private static final long serialVersionUID = 3828664348416633856L;

// session id

private String id;

// 用户id

private String userId;

// 用户名称

private String username;

// 用户主机地址

private String host;

// 用户登录时系统IP

private String systemHost;

// 状态

private String status;

// session创建时间

private Date startTimestamp;

// session最后访问时间

private Date lastAccessTime;

// 超时时间

private Long timeout;

// get set略

}

Service

创建一个Service接口,包含查看所有在线用户和根据SessionId踢出用户抽象方法:

public interface SessionService {

List list();

boolean forceLogout(String sessionId);

}

其具体实现:

@Service

public class SessionServiceImpl implements SessionService {

@Autowired

private SessionDAO sessionDAO;

@Override

public List list() {

List list = new ArrayList<>();

Collection sessions = sessionDAO.getActiveSessions();

for (Session session : sessions) {

UserOnline userOnline = new UserOnline();

TbUser user;

SimplePrincipalCollection principalCollection;

if (session.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY) == null) {

continue;

} else {

principalCollection = (SimplePrincipalCollection) session

.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY);

user = (TbUser) principalCollection.getPrimaryPrincipal();

userOnline.setUsername(user.getUserName());

userOnline.setUserId(user.getId().toString());

}

userOnline.setId((String) session.getId());

userOnline.setHost(session.getHost());

userOnline.setStartTimestamp(session.getStartTimestamp());

userOnline.setLastAccessTime(session.getLastAccessTime());

Long timeout = session.getTimeout();

if (timeout == 0L) {

userOnline.setStatus("离线");

} else {

userOnline.setStatus("在线");

}

userOnline.setTimeout(timeout);

list.add(userOnline);

}

return list;

}

@Override

public boolean forceLogout(String sessionId) {

Session session = sessionDAO.readSession(sessionId);

session.setTimeout(0);

return true;

}

}

通过SessionDao的getActiveSessions()方法,我们可以获取所有有效的Session,通过该Session,我们还可以获取到当前用户的Principal信息。

值得说明的是,当某个用户被踢出后(Session Time置为0),该Session并不会立刻从ActiveSessions中剔除,所以我们可以通过其timeout信息来判断该用户在线与否。

如果使用的Redis作为缓存实现,那么,forceLogout()方法需要稍作修改:

@Override

public boolean forceLogout(String sessionId) {

Session session = sessionDAO.readSession(sessionId);

sessionDAO.delete(session);

return true;

}

Controller

定义一个SessionContoller,用于处理Session的相关操作:

@Controller

@RequestMapping("/online")

public class SessionController {

@Autowired

SessionService sessionService;

@RequestMapping("/index")

public String online() {

return "online";

}

@ResponseBody

@RequestMapping("/list")

public List list() {

return sessionService.list();

}

@ResponseBody

@RequestMapping("/forceLogout")

public AjaxResult forceLogout(String id) {

try {

sessionService.forceLogout(id);

return AjaxResult.success();

} catch (Exception e) {

e.printStackTrace();

return AjaxResult.error("踢出用户失败");

}

}

}

页面

我们编写一个online.html页面,用于展示所有在线用户的信息:

在线用户管理

table {

margin: 20px 40px 20px 0px;

width: 100%;

border-collapse: collapse;

border-spacing: 0;

table-layout: automatic;

word-wrap: break-all

}

table > tbody > tr:nth-of-type(odd) {

background-color: #F7F7F7

}

th, td {

padding: 8px;

text-align: left;

vertical-align: middle;

font-weight: normal;

font-size: 12px;

border-bottom: 1px solid #fff;

}

th {

padding-bottom: 10px;

color: #fff;

font-weight: 700;

background: rgba(66, 185, 131, .9)

}

td {

border-bottom-width: 1px

}

在线用户数:

序号用户名称登录时间最后访问时间主机状态操作

返回

var ctx = [[@{/}]];

$.get(ctx + "online/list", {}, function (r) {

console.log(r);

var length = r.length;

$("#onlineCount").text(length);

var html = "";

for (var i = 0; i < length; i++) {

html += "

"

+ "

" + (i + 1) + ""

+ "

" + r[i].username + ""

+ "

" + r[i].startTimestamp + ""

+ "

" + r[i].lastAccessTime + ""

+ "

" + r[i].host + ""

+ "

" + r[i].status + ""

+ "

下线"

+ "

";

}

$("table").append(html);

}, "json");

function offline(id, status) {

if (status == "离线") {

alert("该用户已是离线状态!!");

return;

}

$.get(ctx + "online/forceLogout", {"id": id}, function (r) {

if (r.code == 0) {

alert('该用户已强制下线!');

location.href = ctx + 'online/index';

} else {

alert(r.msg);

}

}, "json");

}

在index.html中加入该页面的入口:

xmlns:th="http://www.thymeleaf.org"

xmlns:shiro="http://www.pollix.at/thymeleaf/shiro">

首页

div {

border: 1px dashed #ddd;

padding: 10px;

margin: 10px 10px 10px 0px;

}

你好![[${user.userName}]]

你的角色为超级管理员

你的角色为测试账户

获取用户信息

新增用户

删除用户

在线用户管理

注销

测试

在主界面点击“在线用户管理”:

image-56-1024x129.png

下线按钮,成功将其强制踢出:

金渡江
关注
shiro会话监听_ShiroSessionListener
weixin_39907591的博客
01-17 1110
1、创建 session和销毁session的时机1、创建session的时候会附带着创建一个cookie,它的MaxAge为-1,也就是说只能存在于内存中。当浏览器端禁用cookie时,这个cookie依然会被创建。2、当浏览器提交的请求中有jsessionid参数或cookie报头时,容器不再新建session,而只是找到先前的session进行关联。这里又分为两种情况:1)使用jsessio...
shiro会话监听_Shiro会话管理
weixin_35807050的博客
01-17 196
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理会话事件监听会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。建议在开发中,Controller层使用原生的HttpSession对象,在Service层中使用Shiro提供的Session对象。如果在Servic...
MongoDB增删改查操作
雨的印记的博客
10-22 317
MongoDB增删改查操作实战案例(非模块化) 案例:用户信息增删改查 搭建网站服务器,实现客户端与服务器端的通信 连接数据库,创建用户集合,向集合中插入文档 当用户访问/list时,将所有用户信息查询出来 将用户信息和表格HTML进行拼接并将拼接结果响应回客户端 当用户访问/add时,呈现表单页面,并实现添加用户信息功能 当用户访问/modify时,呈现修改页面,并实现修改用户信息功能 当用户访问/delete时,实现用户删除功能 代码(Node+模板字符串+MongDB) // 1. 搭建网站服务器
shiro踢用户下线
最新发布
不积跬步,无以至千里
06-25 239
【代码】shiro踢用户下线。
shiro会话监听_shiro session 监听
weixin_29344293的博客
01-17 583
spring 使用 shiro 后,由于shiro重新封装了原有的session,所以不能再使用原来的session监听方法了(1)在shiro配额只文件中设置监听类(2)监听类import org.apache.shiro.session.Session;import org.apache.shiro.session.SessionListenerAdapter;import org.slf4j...
SpringBoot 中 session 监听配置
转身那一瞬
08-04 2321
SpringBoot 中 session 监听配置 1、注册自定义sessionListener 到 SessionManger中,此方式是 代码方式配置,也可以用 xml,看个人习惯 @Configuration @Order(2) public class ShiroConfiguration { @Bean public SessionManager sessionMan...
SpringBoot整合Redis实现Shiro分布式Session共享
m0_54849806的博客
04-26 778
前言: 我们知道shiro有一套自身的session管理机制,默认的session是存储在运行jvm内存中的,在单应用服务器中可共享session,但系统若为分布式架构,则不同应用服务器之间无法共享session,要实现不同应用服务器之间共享session,则需要重写SessionManager中的SessionDao,把session存储在缓存中,这里我们采用redis来存储,引用shiro-redis插件已为我们实现了SessionDao的重写,闲话少说上代码: 1.pom.xml配置依赖包 <!
shiro会话监听_【Shiro学习之五】shiro会话管理
weixin_35936191的博客
01-17 324
Shiro 提供了完整的企业级会话管理功能,不管JavaSE 还是 JavaEE 环境都可以使用,提供了会话管理会话事件监听会话存储/持久化、容器无关的集群、失效/过期支持、对 Web 的透明支持、SSO 单点登录的支持等特性。即直接使用 Shiro会话管理可以直接替换如 Web 容器的会话管理。一、基础组件1、会话管理会话管理器管理着应用中所有 Subject 的会话的创建、维护、删除...
SpringBootShiro 整合系列(五)会话管理
12程序猿的博客
01-12 624
系列(五)讲述 SpringBoot整合Shiro 实现会话管理 目录Shiro会话管理一、概述1.什么是shiro会话管理?2.shiro中的session特性3.会话相关的 API4.会话监听器SessionListener接口)二、shiro配置会话管理配置1.创建session监听类,实现SessionListener接口2.在ShiroConfig类中添加如下Bean2.1 配置session监听2.2 配置会话ID生成器2.3 配置sessionDAO2.4 配置sessionId的cook
跟我学shiro综合实例(springboot新版)
06-04
- **会话管理**:Shiro可以方便地管理用户的会话,例如设置会话超时、监听会话事件、实现单点登录(SSO)等。 - **安全加密**:Shiro 提供了多种加密工具,如MD5、SHA等,可用于密码存储、令牌生成等。 4. **实战...
shiro-root-1.7.0_ROOT_shirocore1.7_shiro1.7源码_
10-01
它支持会话超时、会话监听器、分布式会话等高级功能。 5. **Web Support(Web 支持)**:Shiro 提供了Servlet Filter,使得在Web应用中集成Shiro变得简单。通过配置Filter,可以实现登录验证、URL级别的权限控制等...
Springboot集成Shiro和Redis实现session共享
llwhlee的博客
07-03 737
Springboot集成shiro,redis实现session共享
SpringBoot 配置拦截器和监听器
qq_34748010的博客
01-28 447
SpringBoot注册Servlet三大组件【Servlet、Filter、Listener】
SpringBoot项目Shiro框架中session会话过期后自动跳转提示框
好巧~我看到你了
07-17 3623
首先,展示一波实现后的界面 方案思路 1.首先知道会话什么时候超时,利用shiro中的session会话监听,每隔一段时间监听。 2.当监听会话过期时,利用WebSocket推送消息到前台提示"您长时间没有操作,请重新登录!!!"的提示框 步骤安排 1.首先创建 配置session会话监听ShiroSessionListener(这个类后面会继续改造) package com.ktamr.shiro.web.session; import com.ktamr.WebSocket.WebSocketS
Shiro第七篇】SpringBoot + Shiro实现会话管理
weixiaohuai的博客
11-21 1644
一、概述 Shiro 提供了完整的企业级会话管理功能,不依赖于底层容器(如 web 容器 tomcat),不管 JavaSE 还是 JavaEE 环境都可以使用,提供了会话管理会话事件监听会话存储 / 持久化、容器无关的集群、失效 / 过期支持、对 Web 的透明支持、SSO 单点登录的支持等特性,即直接使用 Shiro会话管理可以直接替换如 Web 容器的会话管理。 二、重要概念 会话 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中
记一下Shiro重构之ShiroSessionListener
程序员朱永胜
09-05 2448
package com.ccb.web.shiro; import lombok.extern.slf4j.Slf4j; import org.apache.shiro.session.Session; import org.apache.shiro.session.SessionListener; /** * 配置session监听器 * * @author zhuyongsheng ...
SpringBoot+Shiro学习(五):Session会话管理
weixin_34205826的博客
12-16 1474
这节我们讲一下,Shiro的Session会话管理会话 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 SessionManager 会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。是Shiro的核心组件...
springboot整合shiro最全功能
fwdwqdwq的博客
04-26 432
springboot整合shiro,实现登录认证,登录过期,权限拦截,单点登录 1、权限控制的两种方式:粗粒度基于URL级别权限控制、细粒度基于方法级别权限控制 2、基于Apache Shiro实现登录认证和权限控制,重点讲解shiro权限控制流程、自定义Realm对象控制系统认证和授权 3、Apache Shiro实现细粒度方法级别权限控制 4、动态系统菜单显示功能 5、对认证和授权数据进行缓存优化 粗粒度 URL 级别权限控制(基于页面的访问路径) 用户发送请求,访问页面,通过配置的Filter过滤器
SpringBoot中Session监听器的使用
热门推荐
Purse的博客
09-09 1万+
当需要统计应用的试试在线人数的时候,统计成功登录后创建的session的数量是最为准确的数据。SpringBoot通过SessionListener可以很方便的监听session的生命周期。在SpringBoot监听session的步骤如下: 1、创建session监听器. package com.sds.listenner; import java.util.HashSet; impo...
SpringBoot集成Shiro认证授权实践教程
7. 会话管理Shiro提供了会话管理的API,可以对会话进行各种操作,如设置超时、监听会话变化等。 文档标题“springboot-07-shiro.zip”暗示这可能是一个教程或者示例代码的压缩包。其中,“07”可能表示这是本教程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值