Shiro的Session管理

最新推荐文章于 2022-08-29 17:14:39 发布
最新推荐文章于 2022-08-29 17:14:39 发布
阅读量258 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 数据库 运维
原文链接:https://my.oschina.net/boonya/blog/348149

为什么80%的码农都做不了架构师?>>>   hot3.png

概述和配置使用

n概述

  Shiro提供安全框架界独一无二的东西:一个完整的企业级Session 解决方案,可以为任意的应用提供session支持,包括web和非web应用,并且无需部署你的应用程序到Web 容器或使用EJB容器。

n基本使用

  可以通过与当前执行的Subject 交互来获取Session:

 Subject currentUser = SecurityUtils.getSubject();  
 Session session = currentUser.getSession();
 session.setAttribute("someKey", someValue);

n关于SessionManager

  SessionManager是用来管理Session的组件,包括:创建,删除,inactivity(失效)及验证,等等。SessionManager 也是一个由SecurityManager 维护的顶级组件。

  shiro提供了默认的SessionManager实现,一般没有必要自定义这个。

n设置Sessioin的过期时间

  Shiro 的SessionManager 实现默认是30 分钟会话超时。

  你可以设置SessionManager 默认实现的globalSessionTimeout 属性来为所有的会话定义默认的超时时间。例如,

[main]
# 3,600,000 milliseconds = 1 hour
securityManager.sessionManager.globalSessionTimeout = 3600000

nSessioin的事件监听

      你可以实现SessionListener 接口(或扩展易用的SessionListenerAdapter)并与相应的会话操作作出反应。 配置示例:

[main]
aSessionListener = com.foo.my.SessionListener
anotherSessionListener = com.foo.my.OtherSessionListener
securityManager.sessionManager.sessionListeners = $aSessionListener, $anotherSessionListener

 

SessionDAO

n概述

  每当一个会话被创建或更新时,它的数据需要持久化到一个存储位置以便它能够被稍后的应用程序访问,实现这个功能的组件就是SessionDAO。

  你能够实现该接口来与你想要的任何数据存储进行通信。这意味着你的会话数据可以驻留在内存中,文件系统,关系数据库或NoSQL 的数据存储,或其他任何你需要的位置。

n基本配置
  SessionDAO是作为一个属性配置在默认的SessionManager 实例上

[main]
sessionDAO = com.foo.my.SessionDAO
securityManager.sessionManager.sessionDAO = $sessionDAO

 这种SessionDAO主要在本地应用中起作用。

n基于EHCache的SessionDAO,基本配置如下:

[main]
sessionDAO = org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
securityManager.sessionManager.sessionDAO = $sessionDAO
cacheManager = org.apache.shiro.cache.ehcache.EhCacheManager
securityManager.cacheManager = $cacheManager

nShiro提供了默认的EHCache的配置xml,如果你要配置自己的EHCache.xml,需要注意以下几点:

1:overflowToDisk=“true” - 这确保当你溢出进程内存时,会话不丢失且能够被序列化到磁盘上。

2: eternal=“true” - 确保缓存项(Session 实例)永不过期或被缓存自动清除。这是很有必要的,因为Shiro 基于计划过程完成自己的验证。如果我们关掉这项,缓存将会在Shiro 不知道的情况下清扫这些Sessions,这可能引起麻烦。

3:如果你想使用一个不同的名字而不是默认的,你可以在EnterpriseCacheSessionDAO 上配置名字,例如:sessionDAO.activeSessionsCacheName = myname

  只要确保在ehcahe.xml 中有一项与这个名字匹配

 

Web应用中的Session

       n在web应用上,默认使用的是容器的会话,如果你想基于Web 应用程序启用SessionDAO 来自定义会话存储或会话群集,你将不得不首先配置一个本地的Web 会话管理器。例如:

[main]
sessionManager=org.apache.shiro.web.session.mgt.DefaultWebSessionManager
securityManager.sessionManager = $sessionManager
# Configure a SessionDAO and then set it:
securityManager.sessionManager.sessionDAO = $sessionDAO

      n在web应用上,如果想要在每一个请求的基础上启用或禁用会话的创建,可以在配置中的[urls] 里面,为相应的url设置一个noSessionCreation过滤器,如下:

[urls]
/rest/** = noSessionCreation, authcBasic

 自定义SessionDAO

       n在某些场景中,我们需要管理用户的Session信息,比如把Session信息放到数据库中,这样就可以记录一个操作日志,或是统计在线人员等等。

       n自定义SessionDAO也非常简单,通常是继承AbstractSessionDAO,实现对Session数据的CRUD即可,简单示例如下:

public class MySessionDAO extends AbstractSessionDAO{
private Map<Serializable,Session> map = new HashMap<Serializable,Session>();
  public void update(Session session) throws UnknownSessionException {
  System.out.println("now update session");
  map.put(session.getId(),session);
  }
  public void delete(Session session) {
  System.out.println("now delete session"); 
  map.remove(session.getId());
  }
  public Collection<Session> getActiveSessions() {
  System.out.println("now getActiveSessions session");
  return map.values();
  }
 
  protected Serializable doCreate(Session session) {
  System.out.println("now doCreate session");
  Serializable sessionId = generateSessionId(session);
      assignSessionId(session, sessionId);
      map.put(sessionId, session);
   
     return sessionId;
  }
  protected Session doReadSession(Serializable sessionId) {
  System.out.println("now doReadSession session");
  return map.get(sessionId);
  }
}

n基本的配置示例:

sessionDAO = cn.javass.hello.MySessionDAO
securityManager.sessionManager.sessionDAO = $sessionDAO

 私塾在线 原创,转载请注明 http://sishuok.com/forum/blogPost/list/0/7458.html


转载于:https://my.oschina.net/boonya/blog/348149

shirosession实现的简单分析
tinysakura的博客
08-28 4894
前阵子对shiro进行分布式环境下的改造时跟了一遍源码,当时只是使用了思维带图简要的记录了一下方法的调用过程。最近有空了决定用博客详细的记录分析一下这个流程,以帮助自己更好的理解。 配置 首先看看shiro在web.xml文件中的配置 &amp;amp;lt;!-- shiro过滤器 --&amp;amp;gt; &amp;amp;lt;filter&amp;amp;gt; &amp;amp;lt;filter-name&amp;
shiro(会话管理Session Management,加密Cryptography)
cuishujian_2003的博客
10-28 750
加密是指通过特定的算法和密钥,将明文数据转换为密文数据的过程。在Shiro框架中,加密功能主要用于保护用户密码、敏感数据等不被未授权人员获取。Shiro支持多种加密算法,如MD5、SHA-256、BCrypt等,开发者可以根据实际需求选择合适的加密算法。
关于org.apache.shiro.SecurityUtils.getSubject().getSession()
weixin_30924239的博客
03-12 2377
SubjectcurrentUser=SecurityUtils.getSubject(); Sessionsession=currentUser.getSession(); session.setAttribute("someKey",someValue); 可以通过与当前执行的Subject 交互来获取Session; 转载于:https:/...
org.apache.shiro.SecurityUtils.getSubject().getSession()
bitree1的博客
01-11 1万+
ShiroSession管理 概述和配置使用 1.概述   Shiro提供安全框架界独一无二的东西:一个完整的企业级Session 解决方案,可以为任意的应用提供session支持,包括web和非web应用,并且无需部署你的应用程序到Web 容器或使用EJB容器。 2.基本使用   可以通过与当前执行的Subject 交互来获取Session: Subject currentUser...
Shiro在Spring的会话管理session
热门推荐
u012737182的博客
11-13 3万+
会话管理shiro里面可以发现所有的用户的会话信息都会由Shiro来进行控制,那么也就是说只要是与用户有关的一切的处理信息操作都可以通过Shiro取得,实际上可以取得的信息可以有用户名、主机名称等等,这所有的信息都可以通过Subject接口取得。System.out.println("SESSION ID = " + SecurityUtils.getSubject().getSession(
shiro的源码学习(二)( Session session = getSession())
weixin_34326558的博客
07-17 503
subject代表用户访问服务器的一些操作:比做登录、登出,查看角色/权限、 同时可获取session如:subject.getSession(),该接品,如果之前不存在session,则创建session。创建过程大致为: subject委托SecurityManager创建、SecurityManager委托SessionManager创建,SessionManager通过SessionF...
springboot +shiro+redis实现session共享(方案二)1
08-08
* 简化了登录 session管理 8. 结论 本文档介绍了如何使用 Spring Boot、Shiro 和 Redis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。通过使用 Redis 作为 Session 存储和 Shiro ...
Shiro会话管理
m0_62604616的博客
08-29 466
1.为什么要使用缓存在没有使用缓存的情况下,我们每次发送请求都会调用一次doGetAuthorizationInfo方法来进行用户的授权操作,但是我们知道,一个用户具有的权限一般不会频繁的修改,也就是每次授权的内容都是一样的,所以我们希望在用户登录成功的第一次授权成功后将用户的权限保存在缓存中,下一次请求授权的话就直接从缓存中获取,这样效率会更高一些。2.什么是ehcacheEhcache是现在最流行的纯Java开源缓存框架,配置简单、结构清晰、功能强大。...
Shiro之会话管理&缓存管理
m0_67477525的博客
08-27 395
Ehcache是现在最流行的纯Java开源缓存框架,配置简单、结构清晰、功能强大。是Hibernate中默认CacheProvider。Ehcache是一种广泛使用的开源Java分布式缓存。主要面向通用缓存,Java EE和轻量级容器。它具有内存和磁盘存储,缓存加载器,缓存扩展,缓存异常处理程序,一个gzip缓存servlet过滤器,支持REST和SOAP api等特点。System.out.println("用户授权...");...
shiro——session会话管理
dgh112233的博客
08-23 1万+
目录 1. 会话 1.1 Session 接口 1.2 SessionManager 会话管理 1.3 SessionListener 会话监听 2. 会话持久化 2.1 SessionDAO接口 2.2AbstractSessionDAO类 2.3 CachingSessionDAO 类 2.4 EnterpriseCacheSessionDAO 类 2.5 Memo...
shiro 新手鼓捣了一天终于搞好了。。还差个分布式session
03-20
shiro 新手鼓捣了一天终于搞好了。。还差个分布式session. MMP改天出个文档写清楚各个配置都是干啥的,还有之间的关系。
Shrio中的session机制
P19777的博客
03-20 868
主要是web相关,javase不说 引入 SecurityManager是shiro的核心,负责与shiro的其他组件进行交互,而SessionManager是session的真正管理者,负责shirosession管理。 在shrio中,当我们利用subject.login()进行登录的时候或者是利用subject.getSession()的时候,就会创建一个session。这个session...
shiro-会话管理session管理
加油吧,少年!
03-22 2408
shiro-会话管理session管理shiro自己实现了一套session管理体系可以在不借助任何web容器或servlet的情况下使用session。 1.SessionManager(session管理器)、SessionDAO(实现session的增删改查) 2.Redis实现Session共享 3.Redis实现Session共享存在的问题 代码: pom.xml文件中添加依赖 ...
Hello Mr.J——shiro session管理机制
Rephilo
08-31 2186
shiro 删除用户session_Shiro Session管理——操作session
weixin_28687251的博客
01-14 1250
整体框架介绍image.png我们可以看到这个框架图,我们的整个交互都是与security Manager做交互,而这里面就有一个Session Manager的管理器,Shiro当然内置了实现,我们也可以根据接口拓展其功能,那么下面,我们就来了解一下shiro中关于Session管理的部分内容DefaultWebSessionManager这是一个管理器实现类,是shiro提供的可用的结构。im...
总结之shiro(六)——缓存、session管理
IManiy的博客
11-01 1282
缓存 shiro每次授权都会通过realm获取权限信息,为了提高访问速度需要添加缓存,第一次从realm中读取权限数据,之后不再读取。 缓存可以使用redis和ehcache来实现缓存 小型项目使用ehcache就可以了,很方便。 这里使用ehcache 依赖ehcache包 &lt;dependency&gt; &lt;groupId&gt;org.apache.shir...
shiro的缓存及session.html
weixin_67696142的博客
06-29 329
shiro的缓存及session.html
ShiroshiroSession管理
来日浅谈的博客
05-27 1840
ShiroshiroSession管理1. Session管理介绍2. JavaSE环境下3. JavaEE环境下4. Session监听5. Session检测 1. Session管理介绍 shiro作为⼀款安全管理框架,对状态保持有很强的需要。 ⽐如最常⽤的⽤户认证,就必需状态的保持,以及其他的⼀些功能实现的需要。 【shiro需要:认证中的 记住我中的⽤户名 正式登陆的⽤户名 】 【 开发者需要:其他功能中需要存⼊session的值 】 shiro提供了⼀整套session管理⽅案. 1. s
Shiro学习(10)Session管理
m0_67403073的博客
08-24 3012
但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。更新会话最后访问时间及销毁会话;
shiro session管理
最新发布
03-15
### Apache Shiro Session 管理机制 Apache Shiro 提供了一种简单而强大的会话管理机制,允许开发者在任何环境中轻松管理和操作用户的会话状态。无论是在传统的 Web 应用还是无界面的应用程序中,Shiro 都能提供一致的 API 来处理会话。 #### 1. **核心概念** Shiro 的会话管理基于 `SessionManager` 和 `SessionFactory` 这两个接口实现。通过这些组件,Shiro 能够创建、维护和销毁会话对象。默认情况下,Shiro 使用内存来存储会话数据,但在分布式环境或高并发场景下,可以自定义持久化策略以支持集群部署[^2]。 #### 2. **主要特性** - **跨平台一致性**: 不论是 Web 应用还是桌面应用,Shiro 均提供了统一的会话管理接口。 - **可插拔性**: 开发者可以通过扩展 `DefaultWebSessionManager` 或其他内置类来自定义会话行为。 - **超时控制**: 支持设置全局或特定会话的最大存活时间以及空闲过期时间。 - **事件监听器**: 可注册 `SessionListener` 对象,在会话生命周期的不同阶段触发回调函数。 #### 3. **配置方法** ##### XML 配置 以下是使用 INI 文件配置 Shiro 会话管理的一个例子: ```ini [sessionManager] sessionValidationSchedulerEnabled = true globalSessionTimeout = 1800000 # 设置全局会话超时时长为 30 分钟 (毫秒) [main] securityManager.sessionMode = native securityManager.sessionManager.globalSessionTimeout = ${sessionManager.globalSessionTimeout} securityManager.sessionManager.sessionValidationScheduler.interval = 60000 # 每分钟验证一次有效会话 ``` 上述配置启用了本地模式下的会话管理,并设置了定时任务定期清理失效会话[^3]。 ##### Java 配置 对于 Spring Boot 用户而言,也可以借助编程方式进行更灵活的定制: ```java @Bean public DefaultWebSessionManager sessionManager() { DefaultWebSessionManager manager = new DefaultWebSessionManager(); manager.setGlobalSessionTimeout(1800000); // 单位:毫秒 manager.setDeleteInvalidSessions(true); return manager; } @Bean public SecurityManager securityManager(DefaultWebSessionManager sessionManager, MyRealm realm) { DefaultSecurityManager securityManager = new DefaultSecurityManager(realm); securityManager.setSessionManager(sessionManager); return securityManager; } ``` 此代码片段展示了如何通过注入的方式将自定义的 `DefaultWebSessionManager` 整合到 Shiro 安全管理体系之中。 #### 4. **高级主题** 当面对大规模分布式架构时,可能需要考虑以下几点优化措施: - 利用 Redis/Memcached 替代默认的内存存储方案; - 自定义序列化逻辑减少网络传输开销; - 结合负载均衡设备同步客户端 Cookie 中保存的 JSESSIONID 数据。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值