shiro安全框架扩展教程--如何扩展实现集中式session管理

最新推荐文章于 2023-01-16 17:33:10 发布
最新推荐文章于 2023-01-16 17:33:10 发布
阅读量1.8w 收藏 9
点赞数 3
分类专栏: java java web shiro mybatis 文章标签: javaee Java shiro 框架 spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shadowsick/article/details/39023315
版权
java web 同时被 3 个专栏收录
48 篇文章 0 订阅
订阅专栏
java
46 篇文章 0 订阅
订阅专栏
shiro
16 篇文章 0 订阅
订阅专栏

        上一章节我和大家分享的是如何扩展异步请求分支处理,这一章节我准备分享如何实现集中式session管理,shiro一大特色就是有自己一套session机制,与原生的httpsession差不多风格的api,用起来比较顺手,我个人也比较喜欢;spring security是比较依赖与原生httpsession,所以比较难扩展这会话机制,但是我们shiro使用者就不用担心这个问题,请大家准备好鸡蛋壳,香蕉皮吧...


进入主题,我们先看看session管理器


<!-- 会话管理器 -->
	<bean id="sessionManager"
		class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
		<property name="sessionValidationSchedulerEnabled" value="false" />
		<property name="sessionDAO" ref="sessionDAO" />
		<property name="globalSessionTimeout" value="60000"/>
	</bean>

基本用到就三个参数sessionValidationSchedulerEnabled(扫描session线程,负责清理超时会话), sessionDao是进行会话读写的实现,globalSessionTimeout是会话存活时间(默认是30分钟)


其他参数可看源码配置,象session的cookie编号键之类的,有需要才去改


下面看看我们的读写会话实现类


public class MCSessionDAO extends AbstractSessionDAO {

	private final static Logger log = LoggerFactory.getLogger(MCSessionDAO.class);

	private MemcachedClient client;

	public MCSessionDAO(MemcachedClient client) {
		if (client == null) {
			throw new RuntimeException("必须存在memcached客户端实例");
		}
		this.client = client;
	}

	@Override
	protected Serializable doCreate(Session session) {
		Serializable sessionId = generateSessionId(session);
		assignSessionId(session, sessionId);
		try {
			client.set(sessionId.toString(), (int) session.getTimeout() / 1000, session);
		} catch (Exception e) {
			log.error(e.getMessage());
		}
		return sessionId;
	}

	@Override
	protected Session doReadSession(Serializable sessionId) {
		Session session = null;
		try {
			session = client.get(sessionId.toString());
		} catch (Exception e) {
			log.error(e.getMessage());
		}
		return session;
	}

	@Override
	public void delete(Session session) {
		try {
			client.delete(session.getId().toString());
		} catch (Exception e) {
			log.error(e.getMessage());
		}
	}

	@Override
	public Collection<Session> getActiveSessions() {
		return Collections.emptySet();
	}

	@Override
	public void update(Session session) throws UnknownSessionException {
		try {
			client.replace(session.getId().toString(), (int) session.getTimeout() / 1000, session);
		} catch (Exception e) {
			log.error(e.getMessage());
		}
	}

}


getActiveSessions这个方法是用来统计当前活动的session,但是memcached也没有特别好的方法能获取同一批键值对,暂时只能不支持方法,如果有朋友想到好的解决方案,望请告知下小弟



其实这个类跟普通的crud差不多,主要是通过设置memcached的过期时间来作为session的存活时间,如果返回为null则认为session是登录超时了,值得注意一个问题memcached应该需要评估足够多的初始化内存,不然可能用户量一上去,就可能有会话丢失的可能,毕竟内存不够了memcached会自动把旧的一些数据挤出去,这要看memcached的失效策略设置


很明显我们这里的sessionDao实现类已经完成,然后配置到文件里面


<!-- 会话读写实现类 -->
	<bean id="sessionDAO" class="com.silvery.security.shiro.session.MCSessionDAO">
		<constructor-arg ref="memcachedClient" />
	</bean>

如何配置memcached的客户端实例我就不啰嗦,百度一大堆,把这个sessionDAO的编号注入到我们的sessionManager管理器里面


然后我们的会话管理器又要配置到哪里呢


<!-- 安全管理器 -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="sessionManager" ref="sessionManager" />
		<property name="cacheManager" ref="shiroCacheManager" />
		<property name="realm" ref="simpleUserRealm" />
	</bean>


然后就完工了,最后就配置个nginx+2个tomcat集群下访问测试下即可


欢迎拍砖...


小丑哥_V5
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
shiro安全框架设置session超时
开发者导航
08-29 1572
系统默认超时时间是180000毫秒(30分钟)longtimeout=SecurityUtils.getSubject().getSession().getTimeout(); System.out.println(timeout+"毫秒");可以通过下面2中方式设置自定义的超时时间。1、配置文件<!--会话管理器--> <beani...
学习Spring Boot:(十三)配置 Shiro 权限认证
追光者的博客
05-06 2258
经过前面学习 Apache Shiro ,现在结合 Spring Boot 使用在项目里,进行相关配置。 正文 添加依赖 在 pom.xml 文件中添加 shiro-spring 的依赖: &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; ...
Spring Shiro基础组件 SessionValidationScheduler
我家有猫已长成的博客
02-03 1633
Spring Shiro基础组件 SessionValidationScheduler 简介。
shiro的会话验证调度器SessionValidationScheduler
热门推荐
zsg88的专栏
06-28 1万+
shiro提供了会话验证调度器,用于定期的验证会话是否已过期,如果过期将停止会话;出于性能考虑,一般情况下都是获取会话时来验证会话是否过期并停止会话的;但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro提供了会话验证调度器SessionValidationScheduler。             Sh
SessionValidationScheduler接口
iteye_10899的博客
11-02 6084
SessionValidationScheduler接口主要用来定义session的有效操作,先对其解析如下: 1.返回任务是否可用(如果任务可用,则返回true;如果任务不可用,则返回false) boolean isEnabled(); 2.使session有效 void enableSessionValidation(); 3.使session失效 void disableS...
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
shiro_attack-4.7.0-SNAPSHOT-all.zip 序列化验证工具
shiro-redisson基于Redis的ShiroCache和Session实现
08-06
shiro-redisson 是一个 Apache Shiro扩展组件,提供了基于 redis 实现的缓存和会话,以支持分布式环境下的应用。底层使用了 redisson 作为 redis 客户端。
基于ssm+shiro安全框架的后台管理框架
最新发布
11-06
基于ssm+shiro安全框架的后台管理框架,权限简单易用可控制到按钮。配置代码生成器,减少70%开发时间,专注业务逻辑。前端声明式组件封装、附带文档编写 ctrl+c ctrl+v 即可使用。封装数据源,可通过url、枚举、字典...
精品专题(2021-2022年收藏)shiro安全框架扩展教程如何动态控制页面节点元素的权限.doc
10-02
精品专题课件(2021-2022年收藏)
第十章 会话管理(五) 会话验证
yifanSJ的博客
09-16 3717
Shiro 提供了会话验证调度器,用于定期的验证会话是否已过期,如果过期将停止会话;出于性能考虑,一般情况下都是获取会话时来验证会话是否过期并停止会话的;但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro 提供了会话验证调度器SessionValidationScheduler来做这件事情。 可以通过如下ini配置开启会话验证:
shiroshiro配置session会话过期时间
m0_67393342的博客
04-11 1065
前言 转载自:[https://blog.csdn.net/qq_42944520/article/details/88027178] 代码 加上这块代码即可 // 配置org.apache.shiro.web.session.mgt.DefaultWebSessionManager(shiro session管理) @Bean public DefaultWebSessionManager getDefaultWebSessionManager() { DefaultWebSessionMan.
shiro session过期设置
qq_39508627的博客
02-25 931
sessionManager 中设置过期信息。time-server.globalSessionTimeout是从配置文件yml中设置的 @Bean(name = "sessionManager") public DefaultWebSessionManager sessionManager(@Value("${time-server.globalSessionTimeout:3600...
Shiro 拓展Session写入Http请求头
rocky的编程随记
01-16 408
Shiro是一个业界常用的java安全框,它默认的管理session的方式,是在客户端请求登录成功后,写入到cookie里面存储起来。笔者在维护一个前后端不分离的老系统,遇到这样的一个需求,在保留老系统原有的登录功能情况下,拓展PDA终端的登录方式,支持自定义请求头token来登录。那么着手拓展吧。shiro默认的Session管理,是通过DefaultWebSessionManager来实现的。
spring boot shiro 登录redis共享sesson配置
RZ_1107的专栏
08-28 757
由于多台集群服务端导致登录用户session切换问题,使用redis哨兵模式共享shiro登录session; 用到的pom依赖 <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro&lt...
Ruoyi管理系统的自定义任务会话验证调度器实现思路
Oldsong的博客
08-11 659
在Ruoyi中SpringSessionValidationScheduler类通过实现SessionValidationScheduler接口来实现会话验证 SessionValidationScheduler接口中有三个方法: boolean isEnabled();标志会话验证是否开启 void enableSessionValidation(); 启用会话验证 void disableSessionValidation();禁用会话验证 单纯的通过接口来看我们看不出来什么,我们可以找到Sessio
shiro设置session超时时间
10-24 4751
系统默认超时时间是180000毫秒(30分钟),可以通过下面2中方式设置自定义的超时时间 1.配置文件修改 &amp;lt;!-- 会话管理器 --&amp;gt; &amp;lt;bean id=&quot;sessionManager&quot; class=&quot;org.apache.shiro.web.session.mgt.DefaultWebSessionManager&quot;&amp;gt; &amp
SSM架构项目重构为Springboot架构
cuibruce的博客
07-10 1863
SSM架构项目重构为Springboot架构
Shiro 关于校验Session过期、有效性的设计概念
07-11 936
核心行为 开启Session校验调度任务、校验所有的session、具体的Session自我校验、关闭Session校验调度任务 核心类 ValidatingSessionManager、SessionValidationScheduler、ValidatingSession ValidatingSessionManager的行为 public interface Vali...
shiro-redis-spring-boot-starter
10-06
shiro-redis-spring-boot-starter提供了一种简化和快速集成Shiro和Redis的方式,使得在Spring Boot应用中实现安全功能变得更加容易。通过使用该Starter,我们可以方便地将Shiro的会话管理功能存储到Redis中,从而...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值