将 Shiro 作为应用的权限基础 七:缓存Shiro本地会话

最新推荐文章于 2022-10-11 21:52:38 发布
最新推荐文章于 2022-10-11 21:52:38 发布
阅读量4.3k 收藏 1
点赞数 5
分类专栏: Java开发 文章标签: shiro EhCache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tch918/article/details/17658049
版权

 

系统通过AOP切入权限认证后,既想保证安全,也想保证访问页面的速度,那就得用到缓存了,或者说是缓冲区。

用户第一次登陆后,将该用户所具有的所有权限缓存到本地。这样,频繁的验证用户是否具有操作权限时,不再每次都到数据库拿数据。

OA项目中的权限,是每次用户操作前,先到数据库中取得该用户拥有的权限,然后判断其操作是否合法。这样的频繁的读取数据,必然降低了页面的访问速度。

 

缓存配置

虽然Shrio缺省提供了基于ehCache来缓存用户认证信息和授权信息的实现,还记得EhCache是Hibernate的二级缓存技术之一。但还是提倡显示配置缓存,因为一眼就能看出使用了缓存,并且可以设置参数。

 

shiro配置中加入ehCache配置

<!--用户授权/认证信息Cache, 采用EhCache  缓存 -->
<beanid="shiroEhcacheManager"class="org.apache.shiro.cache.ehcache.EhCacheManager">
<propertyname="cacheManagerConfigFile"value="classpath:ehcache-shiro.xml"/>
</bean>
 
<beanid="securityManager"class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!--Single realm app.  If you have multiplerealms, use the 'realms' property instead. -->
<propertyname="realm" ref="shiroDbRealm" />
<propertyname="cacheManager" ref="shiroEhcacheManager" />
</bean>

 

ehCache 配置

<ehcacheupdateCheck="false" name="shiroCache">
    <defaultCache
           maxElementsInMemory="10000"
            eternal="false"
            timeToIdleSeconds="120"
            timeToLiveSeconds="120"
            overflowToDisk="false"
            diskPersistent="false"
diskSpoolBufferSizeMB="50"
           diskExpiryThreadIntervalSeconds="120"
            />
</ehcache>

maxElementsInMemory:内存允许的最大存储缓存数,如果超过,在开启磁盘存储的情况下,会存入磁盘

eternal:对象是否永久有效

timeToIdleSeconds:对象允许空闲时间(秒),当且仅当eternal=fasle时起效,如果值为0,表示可闲置时间无穷大

timeToLiveSeconds:对象允许存活时间(秒),当且仅当eternal=fasle时起效,如果值为0,表示可闲置时间无穷大,配置值应该大于空闲时间值,否则没有意义

overflowToDisk:内存中缓存数超过最大值之后是否允许存入磁盘

diskSpoolBufferSizeMB:磁盘缓存的缓存区大小

diskPersistent:是否在磁盘上持久化。指重启jvm后,数据是否有效。默认为false

 

下面通过这个例子来讲解(源码下载

这是登录页面,可以使用admintest登录,但他们具有不同权限


 

通过admin登陆后,控制台显示:

====================doGetAuthenticationInfobegin ==========================

username:admin

password:admin

principal:admin

======================doGetAuthenticationInfoend ========================

 由于加入了缓存,此处只会load一次:doGetAuthorizationInfo.................

 

显示的信息说明,是使用admin登录的,而无论admin再做什么操作,doGetAuthorizationInfo(验证权限的方法)只执行一次。

 

admin登录后看到的页面(test无权限访问)


 

admin如果没有logout,又通过test登陆,此时控制台并没有打印认证信息,test看到的界面就是刚才admin看到的界面,也就是具有相同的权限(本来是不同的)。

因为没有logoutEhCache缓存shiro会话(包括登陆和权限等信息),sessionId是一样的,也就不会执行登陆认证(doGetAuthenticationInfo)和授权认证(doGetAuthorizationInfo)

 

所以,缓存及时清理工作很重要。用户在安全退出和没有安全退出情况下,都得保证缓存的清理工作。

缓存是把双刃剑,给带来高效的同时,也留下了隐患。

 

当用户没有安全退出就直接关闭浏览器,会话可能在缓存里孤立,如何解决?敬请期待!

时光在路上
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 20
    评论
专栏目录
Shiro安全框架(Shiro与SpringBoot整合开发)CacheManager(四)Shiro缓存实现(ehCache自带缓存
JavaJieRui的博客
12-31 434
在之前的文章中,介绍shiro一直从shiro的.ini文件的权限认证,到在自定义Realm中的权限认证的实现,到后期我们链接数据库的权限实现,然后是自定义Realm中授权信息实现,到链接数据库的授权实现。粗粒度的授权实现角色,以及细粒度的权限字符串的授权实现。我们都一一做了解释和Demo。那么我们现在要考虑到一个系统的雏形搭建起来之后,就要考虑到一些优化的小问题,逼如说我们的权限数据一般来说不会有太大的变动,然而我们这时做的权限,授权等等的操作一直都会访问数据库,如果我们的系统访问量很大,相应的访问首页的
SpringMVC-Mybatis-Shiro-redis-master 权限集成缓存中实例
11-17
* 原因:如果你把这个项目叫 ShiroDemo,那么路径就是 /ShiroDemo/xxxx.shtml ,那另外一个人使用,又叫Shiro_Demo,那么就要这么控制/Shiro_Demo/xxxx.shtml * 理解了吗? * 所以这里替换了一下,使用根目录开始...
Shiro进阶(三)Shiro缓存会话管理
jwang的博客
05-13 1494
前言 本章讲解shiro缓存会话的管理 方法 1.概念 在之前的例子中我们发现,我们每一次访问需要一定权限的url是,程序将自动的去数据库中查询所需要的角色权限信息,一旦我们的菜单和按钮上写入的控制太多,那么将对应查询很多次数据库。 上面显示,我们每次访问需要权限的页面都需要去数据库查询相应的角色和权限。 为了避免上面的问题,我们可以配置shiro缓存。 2.s...
shiro用redis实现缓存机制
buling_bulink的博客
06-08 474
shiro用redis实现缓存机制 shiro使用redis实现缓存机制,对redisTemplate的key可以设置StringRedisSerializer序列化,value的序列化默认,为JdkSerializationRedisSerializer,不要设置为Jackson2JsonRedisSerializer,会报错,具体什么错忘记了,没有截图,反正也是序列化的问题。如果有个redisTemplate的全局序列化设置value为Jackson2JsonRedisSerializer,可在shir
细说shiro缓存
weixin_30251587的博客
12-15 202
官网:https://shiro.apache.org/ 一. 概述 Shiro作为一个开源的权限框架,其组件化的设计思想使得开发者可以根据具体业务场景灵活地实现权限管理方案,权限粒度的控制非常方便。 首先,我们来看看Shiro框架的架构图: 从上图我们可以很清晰地看到,CacheManager也是Shiro架构中的主要组件之一,Shiro正是通过CacheManager组件实现权限数据缓存。...
Shiro会话管理&缓存管理
weixin_67450855的博客
09-01 450
shiro会话管理、shiro缓存管理、ehcache使用、shiroehcache整合
由浅入深掌握Shiro权限框架资料.zip
最新发布
07-31
介绍:对于一个高级工程师来说,权限系统的设计是必不可少需要掌握技能 内容: 每个Shiro的知识点详细的讲义;详细的资料(统一鉴权模块、shiro的创建机制、Shiro相关数据库脚本、shiro知识体系图谱)、每个知识点的源...
由浅入深掌握Shiro权限框架视频教程
08-12
​ 2、shiro权限框架的核心组件 ​ 3、springboot下shiro的使用 ​ 4、shiro认证鉴权的缓存机制 ​ 5、分布式下使用shrio处理统一会话 ​ 6、密码重试次数,并发登录控制 ​ 7、前后端分离的鉴权方式 ​ 8、...
shiro-biz:Shiro 扩展实现
04-10
shiro-biz说明基于Shiro基础扩展,以便方便业务开发###Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”;###SecurityManager:相当于SpringMVC中的DispatcherServlet或者Struts2中的...
shiro-zookeeper:Apache Zookeeper 的 shiro 缓存管理器
05-30
白动物园管理员Apache Zookeeper 的 Apache Shiro 会话缓存,它将允许您的应用程序在 Zookeeper FS 中保存您的用户会话。在您的应用程序中构建和使用建造简单运行./gradlew build ,完成后,将 jar 从lib复制到您的 ...
Shiro缓存
sharesb的博客
09-26 1020
原因是每一个shiro标签都会执行一次权限查询,这对数据库的压力太大了,可以设置一个缓存,在用户登录之后,第一次查询出权限和 角色后,放入到缓存中,后面再需要,就从缓存中获取,不读取数据库。1.在自定义realm的doGetAuthorizationInfo方法,添加一个输出语句。在resouce目录下,创建一个xml文件,名字随便起,一般叫ehcache.xml。3.在securityManager添加自定义的缓存。发现 查询角色和权限信息执行了多次。
shiro缓存及session.html
weixin_67696142的博客
06-29 255
shiro缓存及session.html
基于springboot2.x+layui+shiro+redis整合前后端分离的权限管理系统
04-07
本系统基于springboot+mybatisplus+shiro+layui+redis整合开发的前后端分离权限管理系统,主要功能有:权限管理、日志管理、角色管理、用户管理,是一个非常不错的后台管理脚手架。项目在线预览地址:http://money.goodym.cn/layuidemo/page/login.html运行环境 jdk8+tomcat8+mysql5.7+IntelliJ IDEA+maven项目技术 核心框架:SpringBoot2.x安全框架:Apache Shiro 1.3.2缓存框架:Redis 4.0持久层框架:MyBatis 3 mybatisplus 2.1.4数据库连接池:Alibaba Druid 1.0.2日志管理:SLF4J 1.7、Log4j前端框架:layui后台模板:layuimini
shiro整合SpringBoot之缓存的实现
年少不知曲中意,再听已是曲终人
10-11 1096
shiro整合SpringBoot之缓存的实现
SpringBoot使用shiro-ehcache缓存
、思考致富的博客
05-09 4652
由于网上教程很多,对于shiro的概念和用法已经讲解非常详细,这里直接给出介绍shiro概念的博主连接Shiro笔记(一)----Shiro安全框架简介 以及写的不错的博客:springboot(十四):springboot整合shiro-登录认证和权限管理 这里是本项目源码,已经上传github,感兴趣的小伙伴可以下载 : 去下载 话不多说,先上pom文件: <?xml version="...
springboot②最正确的集成shiro并使用ehcache缓存
热门推荐
tanleijin的博客
07-19 2万+
  springboot集成shiroehcache的时候,要先集成ehcache然后再集成shiro,这样当shiro配置cacheManager的时候就可以直接使用了。下面是正确的集成步骤: 第一步集成ehcache: 1.在pom.xml文件中引入以下依赖 &lt;!--开启 cache 缓存--&gt; &lt;dependency&gt; ...
Shiro 中的缓存管理
Geffin的博客
09-09 679
我们为什么需要缓存管理? 一般来说,我们的权限信息都是放在数据库中的。对于每一次前端的访问请求,我们都必须执行一次数据库查询,若对于权限信息变化不是很频繁的场景,每次前端页面访问都进行大量的权限数据库查询是非常不经济的。因此,非常有必要对权限数据使用缓存方案。 注意:用户认证是没有提供缓存的,因为登录一次只用查询一次数据库,给数据库带来的压力不大。 Shiro缓存方式 关于 Shiro 权限数...
Shiro缓存管理
amoscxy的博客
09-20 2070
文章目录Shiro缓存管理 Shiro缓存管理 用于缓存角色数据和权限数据,每次不用都从数据库中获取数据,直接从缓存中获取 redis缓存操作 package com.shiro.cache; import com.shiro.util.JedisUtil; import org.apache.shiro.cache.Cache; import org.apache.shiro.cache.C...
shiro中的缓存的配置与使用
Ydoing的专栏
10-12 2万+
缓存是提供性能的重要手段。缓存适合那些经常不变动的数据,比如系统中用户的信息和权限不会经常改变,特别适合缓存起来供下次使用。这样减少了系统查询数据库的次数,提升了性能。shiro自身不实现缓存,而是提供缓存接口,让其他第三方实现,经常EHcache缓存
shiro分布式权限管理
05-24
具体实现可以通过将 Shiro会话管理器和缓存管理器替换成 Redis 或 Zookeeper 实现,从而实现分布式环境下的共享。 同时,Shiro 还提供了基于角色和权限的授权机制,可以通过编写自定义的 Realm 实现用户信息、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 20
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值