第七章:Shiro的Session管理——深入浅出学Shiro细粒度权限开发框架

概述和配置使用

n概述

  Shiro提供安全框架界独一无二的东西:一个完整的企业级Session 解决方案,可以为任意的应用提供session支持,包括web和非web应用,并且无需部署你的应用程序到Web 容器或使用EJB容器。

n基本使用

  可以通过与当前执行的Subject 交互来获取Session:

  Subject currentUser = SecurityUtils.getSubject();

  Session session = currentUser.getSession();

  session.setAttribute("someKey", someValue);

n关于SessionManager

  SessionManager是用来管理Session的组件,包括:创建,删除,inactivity(失效)及验证,等等。SessionManager 也是一个由SecurityManager 维护的顶级组件。

  shiro提供了默认的SessionManager实现,一般没有必要自定义这个。

n设置Sessioin的过期时间

  Shiro 的SessionManager 实现默认是30 分钟会话超时。

  你可以设置SessionManager 默认实现的globalSessionTimeout 属性来为所有的会话定义默认的超时时间。例如,

[main]
# 3,600,000 milliseconds = 1 hour
securityManager.sessionManager.globalSessionTimeout = 3600000

nSessioin的事件监听

  你可以实现SessionListener 接口(或扩展易用的SessionListenerAdapter)并与相应的会话操作作出反应。 配置示例:

[main]
aSessionListener = com.foo.my.SessionListener
anotherSessionListener = com.foo.my.OtherSessionListener
securityManager.sessionManager.sessionListeners = $aSessionListener, $anotherSessionListener
SessionDAO

n概述

  每当一个会话被创建或更新时,它的数据需要持久化到一个存储位置以便它能够被稍后的应用程序访问,实现这个功能的组件就是SessionDAO。

  你能够实现该接口来与你想要的任何数据存储进行通信。这意味着你的会话数据可以驻留在内存中,文件系统,关系数据库或NoSQL 的数据存储,或其他任何你需要的位置。

n基本配置    SessionDAO是作为一个属性配置在默认的SessionManager 实例上

[main]
sessionDAO = com.foo.my.SessionDAO
securityManager.sessionManager.sessionDAO = $sessionDAO

这种SessionDAO主要在本地应用中起作用。

n基于EHCache的SessionDAO,基本配置如下:

[main]
sessionDAO = org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
securityManager.sessionManager.sessionDAO = $sessionDAO
cacheManager = org.apache.shiro.cache.ehcache.EhCacheManager
securityManager.cacheManager = $cacheManager

nShiro提供了默认的EHCache的配置xml,如果你要配置自己的EHCache.xml,需要注意以下几点:

1:overflowToDisk=“true” - 这确保当你溢出进程内存时,会话不丢失且能够被序列化到磁盘上。

2: eternal=“true” - 确保缓存项(Session 实例)永不过期或被缓存自动清除。这是很有必要的,因为Shiro 基于计划过程完成自己的验证。如果我们关掉这项,缓存将会在Shiro 不知道的情况下清扫这些Sessions,这可能引起麻烦。

3:如果你想使用一个不同的名字而不是默认的,你可以在EnterpriseCacheSessionDAO 上配置名字,例如:sessionDAO.activeSessionsCacheName = myname

  只要确保在ehcahe.xml 中有一项与这个名字匹配

Web应用中的Session

n在web应用上,默认使用的是容器的会话,如果你想基于Web 应用程序启用SessionDAO 来自定义会话存储或会话群集,你将不得不首先配置一个本地的Web 会话管理器。例如:

[main]
sessionManager=org.apache.shiro.web.session.mgt.DefaultWebSessionManager
securityManager.sessionManager = $sessionManager
# Configure a SessionDAO and then set it:
securityManager.sessionManager.sessionDAO = $sessionDAO

n在web应用上,如果想要在每一个请求的基础上启用或禁用会话的创建,可以在配置中的[urls] 里面,为相应的url设置一个noSessionCreation过滤器,如下:

[urls]
/rest/** = noSessionCreation, authcBasic
自定义SessionDAO

n在某些场景中,我们需要管理用户的Session信息,比如把Session信息放到数据库中,这样就可以记录一个操作日志,或是统计在线人员等等。

n自定义SessionDAO也非常简单,通常是继承AbstractSessionDAO,实现对Session数据的CRUD即可,简单示例如下:

  public class MySessionDAO extends AbstractSessionDAO{
  private Map<Serializable,Session> map = new HashMap<Serializable,Session>();
  public void update(Session session) throws UnknownSessionException {
  System.out.println("now update session");
  map.put(session.getId(),session);
  }
  public void delete(Session session) {
  System.out.println("now delete session"); 
  map.remove(session.getId());
  }
  public Collection<Session> getActiveSessions() {
  System.out.println("now getActiveSessions session");
  return map.values();
  }
  protected Serializable doCreate(Session session) {
  System.out.println("now doCreate session");
  Serializable sessionId = generateSessionId(session);
      assignSessionId(session, sessionId);
      map.put(sessionId, session);
     return sessionId;
  }
  protected Session doReadSession(Serializable sessionId) {
  System.out.println("now doReadSession session");
  return map.get(sessionId);
  }
}

n基本的配置示例:

sessionDAO = cn.javass.hello.MySessionDAO

securityManager.sessionManager.sessionDAO = $sessionDAO

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏我是攻城师

spark sql on hive笔记一

35860
来自专栏前端小叙

Vue-router路由判断页面未登录跳转到登录页面

router.beforeEach((to, from, next) => { if (to.matched.some(record => record.m...

66070
来自专栏岑玉海

hbase 学习(十六)系统架构图

  HBase 系统架构图 ?   组成部件说明   Client:   使用HBase RPC机制与HMaster和HRegionServer进行通信 ...

47140
来自专栏Java进阶之路

从权限控制到shiro框架的应用

94800
来自专栏happyJared

Elasticsearch 6.3.2版本踩填坑指南

  前端时间利用ES开发一个"附近地理位置+其它信息"查询搜索的功能(据了解,Redis和PostgreSQL也能实现同样的功能),实践中遇到了不少的问题,所以...

1.1K20
来自专栏酷玩时刻

前端后台以及游戏中使用google-protobuf详解

protoBuf是一种灵活高效的独立于语言平台的结构化数据表示方法,与XML相比,protoBuf更小更快更简单。你可以用定义自己protoBuf的数据结构,用...

31120
来自专栏存储

建立本地的Blast数据库

Blast(basic local alignment search tool) 局部序列比对基本检索工具,是NCBI开发的一款基于序列相似性的数据库搜索程序。...

64490
来自专栏快乐八哥

Angular Service入门

1.Angular内置service Angular为了方便开发者开发,本身提供了非常多的内置服务。可以通过https://docs.angularjs.org...

242100
来自专栏协程

state thread协程小谈

为了打造高性能的服务器,通常思路有两种:1.多cpu利用,并发执行,如多进程和多线程 2、提高每个cpu的使用率,让每个cpu高效起来。

50210
来自专栏爱撒谎的男孩

Springmvc中的转发重定向和拦截器

64960

扫码关注云+社区

领取腾讯云代金券