springboot shiro session过期时间配置

最新推荐文章于 2023-06-14 16:54:06 发布
原创 最新推荐文章于 2023-06-14 16:54:06 发布 · 1.8w 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#springboot #shiro #session

本文介绍两种设置Session过期时间的方法:一是通过内置Tomcat容器配置,适用于内部部署场景;二是利用Shiro框架进行配置,后者优先级更高。此外还提到了直接通过HttpServletRequest设置Session过期时间。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第一种方式:使用内置tomcat容器配置:

在application.properties配置:

#session过期时间(单位秒)  默认1800s(30min)
#设置小于60秒,则会默认取1分钟
#实际过期时间为秒数对分钟取整,比如设置2000,则 2000s/60=33min,33min*60=1980s,实际过期时间为1980s
server.session.timeout=3600

说明:该种方式只有使用内部tomcat时有效(EmbeddedServletContainerCustomizer原理是一样的,也是只有使用内部tomcat时有效),将工程打war包使用外部tomcat等容器是无效的。

第二种方式:使用shiro配置:

在shiro config中配置:

@Bean(name = "sessionManager")
public DefaultWebSessionManager sessionManager() {
	DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
	// 设置session过期时间3600s
	sessionManager.setGlobalSessionTimeout(3600000L);
	return sessionManager;
}

@Bean
public SecurityManager securityManager() {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    //securityManager.setRealm(shiroRealm());
    securityManager.setSessionManager(sessionManager());
    return securityManager;
}

其他方式

HttpServletRequest request.getSession().setMaxInactiveInterval(interval)


 if(SecurityUtils.getSubject()!=null) { 
        	SecurityUtils.getSubject().getSession().setTimeout(1800000L);
        }

测试:

System.out.println("Session过期时间"+request.getSession().getMaxInactiveInterval());
System.out.println("shiro-Session过期时间"+SecurityUtils.getSubject().getSession().getTimeout());

说明:上述2个值是一样的。配置shiro-Session的优先级高于使用servlet的session。

SpringBoot整合Shiro全面指南:从入门到精通(亲测可用)
专注Java开发与国产数据库技术分享,涵盖达梦DM8/OceanBase/GaussDB核心原理与实战,兼及DeepSeek大模型部署、YOLOv11训练等AI技术,为开发者提供从基础到进阶的技术干货。
06-10 1101
Apache Shiro是一个强大的Java安全框架,提供认证、授权、加密和会话管理功能。其核心组件包括Subject(当前用户)、SecurityManager(安全管理器)、Realm(安全数据源)等。Shiro认证流程通过获取用户、创建令牌、执行登录实现。在SpringBoot中整合Shiro配置拦截规则、创建安全管理器和自定义Realm,并可通过注解和Thymeleaf标签扩展功能。自定义Realm需实现认证和授权逻辑,查询用户角色权限信息。整个架构类比小区门禁系统,简单易用且功能完善。
Spring Boot + Shiro 实现 Session 持久化实现思路及遗留问题
DN金猿的博客
07-23 494
从这个角度而言,我们可以通过 Session 监听器监听 Session 创建销毁,属性变更,并将所有创建的SessionId 存储起来,当要踢出某个用户时,用户的Request请求到来时判断Request中SessionId是否一致,一致的话令Session失效,从而实现这个功能!6、上图显示,我们可以拿到所有获得的session,并且内部用户信息无误,此时我们只需要将上述代码中的(1)、(2)打开在完全遵守Shiro的应用规则下理应可以删除对应用户!在用户基础服务中,需要实现删除用户功能。
springBoot 项目集成shiro安全框架并设置shiro过期时间以及存储当前登陆用户
qq_41822960的博客
08-24 1667
记录着玩。最近搭建了一套Spring boot的项目,所以想着搞一个安全框架,所以就搭建了一套shiro框架。 第一步:在pom文件中引入shiro的包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>
shiro判断session是否失效_java:shiro应用篇——1
weixin_33109551的博客
01-21 1489
第十章 Springboot+Shiro+Jwt前后端分离鉴权1、前后端分离会话问题【1】问题追踪 前面我们实现分布式的会话缓存,但是我们发现此功能的实现是基于浏览的cookie机制,也就是说用户禁用cookie后,我们的系统会就会产生会话不同的问题【2】解决方案​ 我们的前端可能是web、Android、ios等应用,同时我们每一个接口都提供了无状态的应答方式,这里我们提供了基于JWT的toke...
Springboot集成Shiro Session过期时间如何配置
柒嘴八舌的博客
06-14 4014
Springboot集成Shiro Session过期时间如何配置
shiro中的session 获取过期时间/设置过期时间
hit、run
11-14 3659
获取shirosession过期时间 long timeout = SecurityUtils.getSubject().getSession().getTimeout(); System.out.println(timeout+"毫秒"); 设置shirosession过期时间 SecurityUtils.getSubject().getSession().setTi...
springboot+shiro中自定义session过期时间
ldcaws的专栏
08-12 5561
springboot工程中,使用shiro作为权限框架,并采用redis来管理session时,如何自定义session过期时间
springboot整合shiro实现session过期后自动跳转登录页面
灰太狼
02-10 5797
springboot整合shiro实现session过期后自动跳转登录页面: 登录系统后在session失效后再进行点击系统页面时自动跳转到登录页面 1.后端代码实现: 在springboot整合shiro实现登录验证授权基础代码上进行修改。 添加验证session失效重新跳转登录页面过滤器: public class LoginFilter extends FormAuthenticationFilter { private static final String[] filter
springboot-shiro
08-01
5. session过期时间设置:在Shiro配置中,可以设置session超时时间,例如`sessionManager.setGlobalSessionTimeout(3600 * 1000);`表示会话超时时间为3600秒。 6. 缓存管理:Shiro支持Redis、Ehcache等多种缓存机制...
SpringMVC拦截器实现监听session是否过期详解
08-28
需要注意的是,通过拦截器监听session过期的方法主要依赖于将session对象存储到application中,这可能会带来额外的内存开销,特别是在大型应用中,可能需要更加细致的处理策略。此外,如果使用了集群部署,那么...
Shiro】2、Shiro实现Session会话过期时间控制
热门推荐
Asurplus
05-22 20万+
一般我们的 session 过期时间默认为 30 分钟,有的用户认为 30 分钟太短了,有时候临时有事出去了,回来已经过期了,工作还没完成就只能登出了,非常不方便,于是要求我们改变 session过期时间 1、指定本系统 sessionid /** * 指定本系统sessionid, 问题: 与servlet容器名冲突, 如jetty, tomcat 等默认jsessionid, * 当跳出shiro servlet时如error-page容器会为jsessionid重新分配值导致登录会话丢失!
shiro如何设置登陆过期时间
mischen520的博客
06-02 1813
永不过期,在登陆最开始加上 SecurityUtils.getSubject().getSession().setTimeout(-1000L); 其他时间 单位毫秒 SecurityUtils.getSubject().getSession().setTimeout(1800000); ———————————————— 版权声明:本文为优快云博主「yangzheng01」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.
shiro中的session 获取过期时间设置过期时间
m0_67402125的博客
04-07 533
shirosession设置的有效时间 long timeout = SecurityUtils.getSubject().getSession().getTimeout(); System.out.println(timeout+"毫秒"); 设置shirosession过期时间 SecurityUtils.getSubject().getSession().setTimeout(1800000);
shiro默认登录过期时间
一直在水些技术小文
04-07 2580
shiro默认登录过期时间是30分钟 可以设置 //永不过期,在登陆最开始加上 SecurityUtils.getSubject().getSession().setTimeout(-1000L); //其他时间?单位毫秒 SecurityUtils.getSubject().getSession().setTimeout(1800000);
shiro自定义session过期时间
m0_67394006的博客
04-07 2331
使用shiro权限框架,并使用redis来管理session时,自定义session有效时间,配置如下: 1:sessionManager.setGlobalSessionTimeout(90*60*1000); 2: redisSessionDAO.setExpire(90*60); 如上两个时间一个是session会话时间,一个是redis存储的session的有效时间。 其它处的session配置时效都不用管,以上面两个配置为最终决定session有效期。 ...
Java中设置Session过期时间Spring Boot)
weixin_33831673的博客
10-24 650
1、Spring Boot: server.session.cookie.comment = #注释会话cookie。 server.session.cookie.domain = #会话cookie的域。 server.session.cookie.http-only =#“HttpOnly”标志为会话cookie。 server.session.cookie.max-age = #...
SpringBoot+shiro解决前后端分离session过期问题
Shy的博客
11-26 1万+
1、自定义访问控制拦截器:AccessControlFilter,集成这个接口后要实现下面这三个方法。 abstract boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception; boolean onAccessDenied(S...
springboot设置shiro session过期
qq_44773028的博客
05-10 449
session过期自动跳转登录页面 在ShiroConfig中添加如下注解 @EnableRedisHttpSession(maxInactiveIntervalInSeconds = 3660) //设置61分钟 在pom.xml中添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis<
springBoot+shiro缓存session
最新发布
01-20
### 实现Spring Boot Shiro Session缓存 #### 使用Ehcache作为Session缓存机制 为了使Shiro能够利用Ehcache来存储会话数据,需先引入必要的依赖项到`pom.xml`文件中: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>${shiro.version}</version> </dependency> <!-- EhCache --> <dependency> <groupId>net.sf.ehcache</groupId> <artifactId>ehcache-core</artifactId> <version>${ehcache.version}</version> </dependency> ``` 接着定义一个名为`ShiroEhcacheManager.java`的Java类用于初始化Ehcache实例并将其注册给Shiro环境。 ```java import org.apache.shiro.cache.CacheManager; import org.apache.shiro.cache.ehcache.EhCacheManager; @Configuration public class ShiroEhcacheManager { @Bean(name="cacheManager") public CacheManager getCacheManager(){ EhCacheManager em = new EhCacheManager(); em.setCacheManagerConfigFile("classpath:ehcache-shiro.xml"); return em; } } ``` 上述代码片段展示了如何配置Ehcache成为默认的缓存提供者[^2]。注意这里指定了外部化的EHCache配置文件路径以便更灵活地调整缓存策略参数。 对于具体的Ehcache配置(`ehcache-shiro.xml`),可以根据实际需求定制化设置不同的缓存区域及其过期策略等特性。 --- #### 结合Redis实现分布式环境下的一致性Session管理 当应用程序部署于多节点集群架构下时,则推荐采用Redis替代本地内存或单机版Ehcache来进行跨服务器间共享同一份实时更新后的用户登录状态副本。此时除了继续保留原有的Shiro核心功能外还需要额外增加如下几处改动: 1. **添加Maven坐标** 同样编辑项目根目录下的`pom.xml`文档追加对lettuce驱动的支持以连接远程Redis服务端口监听地址; ```xml <!-- Redis Client Library --> <dependency> <groupId>io.lettuce.core</groupId> <artifactId>lettuce-core</artifactId> <version>${redis.version}</version> </dependency> <!-- Enable Spring Data Redis support --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> ``` 2. **编写自定义SessionDAO继承DefaultWebSessionDao** 创建一个新的子类重写其中部分方法从而允许我们将原本保存至JVM堆内的对象序列化后持久化入指定key-value store之中去。 ```java import java.io.Serializable; import javax.annotation.Resource; import org.apache.shiro.session.Session; import org.apache.shiro.session.mgt.ValidatingSession; import org.apache.shiro.session.mgt.eis.CachingSessionDAO; import org.springframework.data.redis.connection.RedisConnection; import org.springframework.data.redis.core.RedisCallback; import org.springframework.data.redis.serializer.StringRedisSerializer; ... /** * Customized implementation of {@link CachingSessionDAO} that stores sessions into a distributed cache. */ public final class RedisSessionDAO extends AbstractValidatingSessionDAO implements Serializable { private static final long serialVersionUID = 793480567L; private String keyPrefix = "shiro_redis_session:"; ... protected void doUpdate(Session session){ // Update the corresponding entry within external storage system... } protected void doDelete(Session session){ // Remove expired entries from persistent layer accordingly... } protected Serializable getSessionId(Serializable sessionId, boolean create){ if (create && null == sessionId) { return generateNewSessionId(); } else { return sessionId; } } ... } ``` 3. **激活@EnableRedisHttpSession注解开关** 修改之前提到过的全局配置类使其具备感知HTTP请求上下文中携带cookie信息的能力进而完成自动续签操作防止频繁触发全量同步动作造成不必要的网络开销浪费现象发生。 ```java package com.example.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.session.data.redis.config.ConfigureRedisAction; import org.springframework.session.web.http.CookieSerializer; import org.springframework.session.web.http.DefaultCookieSerializer; @Configuration @EnableRedisHttpSession(maxInactiveIntervalInSeconds=86400*30)//maxInactiveIntervalInSeconds: 设置Session失效时间 public class SessionConfig { @Bean ConfigureRedisAction configureRedisAction() { return ConfigureRedisAction.NO_OP; } @Bean CookieSerializer cookieSerializer() { DefaultCookieSerializer serializer = new DefaultCookieSerializer(); serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$"); return serializer; } } ``` 以上即是在Spring Boot应用里集成Apache Shiro框架并通过第三方中间件优化其内部工作流程的一些常见实践方案[^3]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值