记录shiro的配置

最新推荐文章于 2023-02-08 10:32:21 发布
最新推荐文章于 2023-02-08 10:32:21 发布
阅读量1.8k 收藏 1
点赞数 1
文章标签: springmvc mybaties shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010138825/article/details/52515723
版权 
<span style="background-color: rgb(192, 192, 192);"><span style="color:#33FFFF;">//springShiro.xml</span></span>

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
	http://www.springframework.org/schema/beans/spring-beans-4.2.xsd"
       default-lazy-init="true">
    <!-- 1-1缓存管理器用户授权信息Cache -->
    <bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" />
    <!-- 1-2会话管理器 -->
    <!--<bean id="sessionManager" class="com.ssm.gold.common.shirosession.DemoSessionManager">
        <!– 相隔多久检查一次session的有效性,单位毫秒  –>
        <property name="sessionValidationInterval" value="10000"/>
        <!– session的失效时长,单位毫秒 –>
        <property name="globalSessionTimeout" value="1800000" />
        <!– 删除失效的session –>
        <property name="deleteInvalidSessions" value="true" />
        <property name="sessionValidationSchedulerEnabled" value="false" />
        <property name="sessionDAO" ref="sessionDao" />
    </bean>-->

    <!-- 1-2-1会话ID生成器 -->
    <!--<bean id="sessionIdGenerator" class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator" />
    <bean id="demoCache" class="com.ssm.gold.common.shirosession.DemoCache" />
    <bean id="sessionDao" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO">
        <property name="sessionIdGenerator" ref="sessionIdGenerator" />
        <property name="activeSessionsCache" ref="demoCache"/>
    </bean>-->
    <!-- 1-3记住我管理器 -->
    <!--<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
        <!– rememberMe cookie加密的密钥 建议每个项目都不一样 默认AES算法 密钥长度(128 256 512 位)–>
        <property name="cipherKey"
                  value="#{T(org.apache.shiro.codec.Base64).decode('4AvVhmFLUs0KTA3Kprsdag==')}" />
        <property name="cookie" ref="rememberMeCookie" />
    </bean>-->
    <!-- 1-3-1记住我cookie -->
    <!--<bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <constructor-arg value="rememberMe" />
        <!– 记住我cookie生效时间30天 –>
        <property name="maxAge" value="2592000" />
    </bean>-->
    <!-- 2項目自定义的Realm -->
    <bean id="shiroDbRealm" class="com.ssm.gold.common.realm.ShiroDbRealm">
        <property name="cacheManager" ref="cacheManager" />
    </bean>
    <!-- 3安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="shiroDbRealm" />
        <property name="cacheManager" ref="cacheManager" />
        <!--<property name="sessionManager" ref="sessionManager"/>-->
       <!-- <property name="rememberMeManager" ref="rememberMeManager"/>-->
    </bean>
    <!--4-1 基于Form表单的身份验证过滤器,不配置将也会注册此过虑器,表单中的用户账号、密码及loginurl将采用默认值,建议配置 -->
   <!-- <bean id="formAuthenticationFilter" class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
        <!– 表单中账号的input名称 –>
        <!–<property name="usernameParam" value="usercode" />–>
        <!– 表单中密码的input名称 –>
        <!–<property name="passwordParam" value="password" />–>
        <!– <property name="rememberMeParam" value="rememberMe"/> –>
        <!– loginurl:用户登陆地址,此地址是可以http访问的url地址 –>
        <!– <property name="loginUrl" value="/loginuser" />–>
    </bean>-->
    <!-- 4Web安全过滤器  -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro安全管理器 -->
        <property name="securityManager" ref="securityManager" />
        <!-- 要求登录时的链接(登录页面地址),非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 -->
        <property name="loginUrl" value="/login" />
        <!-- 登录成功后要跳转的连接-->
      <property name="successUrl" value="/homepage" />       <span style="background-color: rgb(255, 0, 0);"><span style="color:#33FFFF;">//这里的url在自定义的realm中写死了,自己按需求修改</span></span>
      <!-- 用户访问未对其授权的资源时,所显示的连接 -->
        <property name="unauthorizedUrl" value="/unauthorizedUrl" />
        <property name="filters">
            <map>
                   <!-- <entry key="authc" value-ref="formAuthenticationFilter" />-->
            </map>
        </property>
        <property name="filterChainDefinitions">
            <value>
                /logout = logout  <!--登出-->
                /loginuser = anon  <!--登录方法-->
                /assets/** = anon  <!--静态文件-->
                /admin/** =authc,perms[admin:manage]
                /** = authc
            </value>
        </property>
    </bean>
    <!-- 5保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
    <!--6AOP式方法级权限检查开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证-->
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true" />
    </bean>
    <!--7开启shiro注解支持-->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager" />
    </bean>
</beans>

//web.xml配置过滤器

<!-- spring 应用上下文监听器 主要初始化注入 -->
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
            /WEB-INF/config/applicationContext.xml
            /WEB-INF/config/springShiro.xml
        </param-value>
    </context-param>

    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>

    <!-- Shiro 安全过滤器 -->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
//自定义shiro权限管理器 
package com.ssm.gold.common.realm;

import com.ssm.gold.common.modle.Userlogin;
import com.ssm.gold.common.service.UserloginService;
import com.ssm.gold.common.utils.CipherUtil;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.cache.Cache;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.SimplePrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import java.util.HashSet;
import java.util.Set;


public class ShiroDbRealm extends AuthorizingRealm {
    private static Logger logger = LoggerFactory.getLogger(ShiroDbRealm.class);
    private static final String ALGORITHM = "MD5";//MD5加密

    @Autowired
    private UserloginService userloginservice;

    public ShiroDbRealm() {
        super();
    }

    /**
     * 验证登录
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken authcToken) throws AuthenticationException {
            UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
            Userlogin user = userloginservice.queryUsersName(token.getUsername());
            System.out.println("---------验证登录------------");
            if (user != null) {
                System.out.println("---------登录通过------------");
                CipherUtil cipher = new CipherUtil();//MD5加密
                SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user.getUsername(), cipher.generatePassword(user.getPassword()), getName());
                this.setSession("currentUser", user.getUsername());
                return info;
            } else {
                //没有返回登录用户名对应的SimpleAuthenticationInfo对象时,就会在LoginController中抛出UnknownAccountException异常
                return null;
                //throw new AuthenticationException();
            }
    }


    /**
     * 为当前登录的Subject授予角色和权限
     *   经测试:本例中该方法的调用时机为需授权资源被访问时
     *   经测试:并且每次访问需授权资源时都会执行该方法中的逻辑,这表明本例中默认并未启用AuthorizationCache
     *   个人感觉若使用了Spring3.1开始提供的ConcurrentMapCache支持,则可灵活决定是否启用AuthorizationCache
     *   比如说这里从数据库获取权限信息时,先去访问Spring3.1提供的缓存,而不使用Shior提供的AuthorizationCache
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        /*这里应该根据userName使用role和permission 的serive层来做判断,并将对应 的权限加进来,下面简化了这一步*/
        Set<String> roleNames = new HashSet<String>();
        Set<String> permissions = new HashSet<String>();
        //获取当前登录的用户名,等价于(String)principals.fromRealm(this.getName()).iterator().next()
        String primaryPrincipal = (String) principals.getPrimaryPrincipal();
        //从数据库中获取当前登录用户的详细信息
        Userlogin user = userloginservice.queryUsersName(primaryPrincipal);
        System.out.println("--------------权限验证-----------------------"+user.toString());
        if(user != null){
            System.out.println("---------权限验证通过------------");
            roleNames.add(user.getUsername());//登录用户
            <span style="background-color: rgb(255, 0, 0);">permissions.add("/homepage");//用户获得权限的页面URL</span>
            //实体类User中包含有用户角色的实体类信息
//          if(null!=user.getRoles() && user.getRoles().size()>0){
//              //获取当前登录用户的角色
//              for(Role role : user.getRoles()){
//                  roleList.add(role.getName());
//                  //实体类Role中包含有角色权限的实体类信息
//                  if(null!=role.getPermissions() && role.getPermissions().size()>0){
//                      //获取权限
//                      for(Permission pmss : role.getPermissions()){
//                          if(!StringUtils.isEmpty(pmss.getPermission())){
//                              permissionList.add(pmss.getPermission());
//                          }
//                      }
//                  }
//              }
//          }
        }else{
            //throw new AuthorizationException();
            //若该方法什么都不做直接返回null的话,就会导致任何用户访问/admin/listUser.jsp时都会自动跳转到unauthorizedUrl指定的地址
            //详见applicationContext.xml中的<bean id="shiroFilter">的配置
            return null;
        }
        //为当前用户设置角色和权限
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setRoles(roleNames);
        info.setStringPermissions(permissions);
        return info;
        //实际中可能会像上面注释的那样从数据库取得
       /* if(null!=currentUsername && "mike".equals(currentUsername)){
            //添加一个角色,不是配置意义上的添加,而是证明该用户拥有admin角色
            info.addRole("admin");
            //添加权限
            info.addStringPermission("admin:manage");
            System.out.println("已为用户[mike]赋予了[admin]角色和[admin:manage]权限");
            return info;
        }else{
            //若该方法什么都不做直接返回null的话,就会导致任何用户访问/admin/listUser.jsp时都会自动跳转到unauthorizedUrl指定的地址
            //详见applicationContext.xml中的<bean id="shiroFilter">的配置
            return null;
        }*/


    }


    /**
     * 清除所有用户授权信息缓存.
     * @param principal
     */
    public void clearCachedAuthorizationInfo(String principal) {
        SimplePrincipalCollection principals = new SimplePrincipalCollection(principal, getName());
        clearCachedAuthorizationInfo(principals);
    }

    /**
     * 将一些数据放到ShiroSession中,以便于其它地方使用
     *  比如Controller,使用时直接用HttpSession.getAttribute(key)就可以取到
     */
    private void setSession(Object key, Object value){
        Subject currentUser = SecurityUtils.getSubject();
        if(null != currentUser){
            Session session = currentUser.getSession();
            System.out.println("Session默认超时时间为[" + session.getTimeout() + "]毫秒");
            System.out.println("Session是[" + session.getId() + "]");
            if(null != session){
                session.setAttribute(key, value);
            }
        }
    }


    /**
     * 清除所有用户授权信息缓存
     */
    public void clearAllCachedAuthorizationInfo() {
        Cache<Object, AuthorizationInfo> cache = getAuthorizationCache();
        if (cache != null) {
            for (Object key : cache.keys()) {
                cache.remove(key);
            }
        }
    }

//	@PostConstruct
//	public void initCredentialsMatcher() {//MD5加密
//		HashedCredentialsMatcher matcher = new HashedCredentialsMatcher(ALGORITHM);
//		setCredentialsMatcher(matcher);
//	}
}
//登录 

/**
     * 用户验证
     * @param userlogin
     * @param model
     * @return
     */
    @RequestMapping(value = "/loginuser", method = RequestMethod.POST)
    public String loginuserinfo(Userlogin userlogin, Model model) {
        System.out.println("-----开始执行验证前------");
        String msg = "";//返回信息
        String Modleview = "/login";//跳转到登录页面
        String username = userlogin.getUsername();// 取得用户名
        String password = CipherUtil.generatePassword(userlogin.getPassword());//取得 密码,并用MD5加密
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        token.setRememberMe(true);
        try {
            System.out.println("-----------验证角色和权限-----------------");
            Subject currentUser = SecurityUtils.getSubject();
            currentUser.login(token);//验证角色和权限
            if (currentUser.isAuthenticated()) {
                Modleview = "redirect:/homepage";//验证成功
            } else {
                Modleview = "/index";//验证失败
            }

        }catch (IncorrectCredentialsException e) {
            msg = "登录密码错误. Password for account " + token.getPrincipal() + " was incorrect.";
            model.addAttribute("message", msg);
            System.out.println(msg);
        } catch (ExcessiveAttemptsException e) {
            msg = "登录失败次数过多";
            model.addAttribute("message", msg);
            System.out.println(msg);
        } catch (LockedAccountException e) {
            msg = "帐号已被锁定. The account for username " + token.getPrincipal() + " was locked.";
            model.addAttribute("message", msg);
            System.out.println(msg);
        } catch (DisabledAccountException e) {
            msg = "帐号已被禁用. The account for username " + token.getPrincipal() + " was disabled.";
            model.addAttribute("message", msg);
            System.out.println(msg);
        } catch (ExpiredCredentialsException e) {
            msg = "帐号已过期. the account for username " + token.getPrincipal() + "  was expired.";
            model.addAttribute("message", msg);
            System.out.println(msg);
        } catch (UnknownAccountException e) {
            msg = "帐号不存在. There is no user with username of " + token.getPrincipal();
            model.addAttribute("message", msg);
            System.out.println(msg);
        } catch (UnauthorizedException e) {
            msg = "您没有得到相应的授权!" + e.getMessage();
            model.addAttribute("message", msg);
            System.out.println(msg);
        }
        return Modleview;
    }

参考文章:

去掉shiro登录时url里的JSESSIONID

我有个maven构建的   springboot+spring+mybatis+shiro+mysql     config注解配置的DEMO,如果需要请加群。217114443 进群验证下载,可留可走

书香代码
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro defaultkey无利用_深入利用Shiro反序列化漏洞
weixin_35734296的博客
01-06 2984
0x00:背景shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。0x01:shiro反序列化的原理先来看看shiro在1.2.4版本反序列化的原理这里是shiro拿到cookie后的关键代码,先dec...
Spring_shiro介绍
weixin_67695384的博客
06-23 3522
shiroapache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。应用场景:shiro 解决应用安全的四要素:Shiro的体系结构具有3个主要概念:Subject(主题)
shiro放行_浅谈Apache 安全框架Shiro(十三)——RememberMe
weixin_39808953的博客
12-08 129
RememberMeShiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下:首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的 Cookie 写到客户端并保存下来;关闭浏览器再重新打开;会发现浏览器还是记住你的;访问一般的网页服...
shiro反序列化漏洞解决方案总结
huawangxin
10-15 2300
shiro反序列化漏洞解决方案总结 1.确定自己使用的shiro版本要高于1.2.4; 2.在代码中全局搜索 "setCipherKey(Base64.decode(" 关键字,或者"setCipherKey"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。 示例2中:xxxx是网上公开的秘钥,可以修改为自己项目专属的秘钥。 <!-- rememberMe管理器 --> <bean id="rememberMeM..
源码分析Shiro框架的密码加密及校验
王绍桦
11-28 1300
前言 我们知道Shiro框架有提供凭证匹配器类HashedCredentialsMatcher来实现密码校验的,在该类中可以自定义加密方式、加密次数、编码规则等 //权限管理 @Bean public SecurityManager securityManager() { DefaultWebSecurityManager securityManager = new...
org.apache.shiro.crypto.CryptoException: Unable to execute 'doFinal' with cipher instance
热门推荐
闪电人
06-03 2万+
从两个红箭头 可以猜测出应该是rememberMe管理器的配置问题 ,而且异常部分也是rememberMe管理器里面配置的  配置如下:   红箭头处的值有格式要求的 官文如下:      你要么用base64生成字符串然后在decode,要么直接以0x开头的16进制窜.  网上找到另个方法是在realm配置一下属性值 如下:   为啥好用呢 作用如下说明:   Sets th
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)
yuguang的博客
11-17 1万+
目录 一.情况描述 1.漏洞描述 2.漏洞造成的影响 3.安全建议 4.技术参考 5.建设方案 6.漏洞证明 测试结果 二.springmvc修改 1.修改pom.xml配置 2.增加一个自定义秘钥代码 3.修改shiro配置 4.修改完之后测试 一.情况描述 1.漏洞描述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。 2.漏洞造成的影响 在配置了默认密钥的情况下,攻击者可以通过精心构造的 Payload 实现远.
spring+springMVC+shiro 完美demo
12-01
非常完美的spring+springMVC+shiro 完美例子实现权限认证,相信你一定会喜欢,里面有文档说明 简介: Shiro 是一个 Apache Incubator 项目,...下面记录一下shiro和Spring整合的过程的一个小示例: Web.xml配置 ......
spring-boot mybaits shiro redis整合
05-14
shiro权限管理。 aop日志记录。 4、调度 ====== Spring task, 可以查询已经注册的任务。立即执行一次任务。 5、缓存和Session =========== 注解redis缓存数据,Spring-session和redis实现分布式session同步...
IDEA+SSM+Shiro(demo,包含数据库)
10-27
刚开始用IDEA,配置还是好麻烦的,记录一下IDEA下搭建的SSM框架+Shiro的demo,附带数据库,配置好直接运行
IDEA+SSM+Shiro(demo)
10-27
刚开始用IDEA,配置还是好麻烦的,记录一下IDEA下搭建的SSM框架+Shiro的demo,配置好直接运行
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路.前后端都加以控制,做到按钮接口级别的权限
05-11
使用自定义注解+aop 替代shiro的功能,简化了配置,增强了可拓展性 设计思路 核心 每个登录用户拥有各自的N条权限,比如 文章:查看/编辑/发布/删除 后端 基于 . 通常我们的权限设计都是 用户--角色--权限 ,其中角色是...
Apache Shiro反序列化识别那些事
合天网安学院
06-12 1193
1.1 关于Apache ShiroApache shiro是一个Java安全框架,提供了认证、授权、加密和会话管理功能,为解决应⽤安全提供了相应的API:认证-⽤用户身份识别,常被称为...
shiro反序列化漏洞修复(使用随机密钥)
m0_67400973的博客
03-28 2270
说明:shiro低版本使用固定默认密钥,有被攻击的风险,可以升级shiro版本,Apache官方已在1.2.5及以上版本中修复此漏洞,但是此方式有依赖冲突的风险。这里说说不升级版本的解决方案,这方案和官方的方案一样,都是使用生成的随机密钥 1、创建随机生成密钥工具 public class GenerateCipherKey { /** * 随机生成秘钥,参考org.apache.shiro.crypto.AbstractSymmetricCipherService#generateNe
Shiro使用官方方法生成密钥
m0_67391521的博客
03-28 1618
原文链接:这里,这里! 0.前言 平台漏洞扫描,扫描到一堆安全问题,其中有个关于Shiro的。主要是说如果项目中shiro key为默认密钥或者网络公开密钥,就可以轻易的导致远程代码执行。 本文框架SSM+shiro。 1.解决思路 (1)升级Shiro版本,为1.7.0以上 (2)自定义一个base 64 AES密钥 (3)使用官方生成的方法提供密钥 本文选择的是第三种办法: 我们在shrio新建一个类。参照下面的代码进行添加: import javax.crypto.KeyGenerator; impo
spring集成shiro详解
u010752885的博客
06-24 6463
shiro说明 springboot集成shiro 前后端分离项目集成shiro shiro集成其他认证方式
shiro漏洞原理以及检测key值原理
Thunderclap的博客
02-08 3731
Shiro 1.2.4及之前的版本中,AES加密的密钥默认硬编码在代码里(SHIRO-550),Shiro 1.2.4以上版本官方移除了代码中的默认密钥,要求开发者自己设置,如果开发者没有设置,则默认动态生成,降低了固定密钥泄漏的风险。升级shiro版本并不能根本解决反序列化漏洞,代码复用会直接导致项目密钥泄漏,从而造成反序列化漏洞。针对公开的密钥集合,我们可以在github上搜索到并加以利用。
shiro使用(简单记住我/下次自动登录流程)附:cookie内容为deleteme的最终解决方法
特别享受思考问题的过程
03-26 1万+
既然要做,就做的细致一点,对得起自己! 写在前面:学过JSP的都知道,这种实现的方式就是cookie,就够了。 配置shiro.xml,配置cookie. 1.配置cookie的名字,存活时间以及其他 <bean id="cookieRememberMe" class="org.apache.shiro.web.servlet.simpleCookie"> <con...
shiro踢出配置详情
最新发布
06-09
Shiro中实现踢出用户的方式有多种,其中一种比较常见的方式是使用Session Manager的`SessionListener`接口来监听会话的创建和注销事件,并在事件触发时进行处理。 具体实现可以参考以下步骤: 1. 创建一个类实现`SessionListener`接口,并实现`onStart`和`onStop`方法,分别用于处理会话创建和注销事件,例如: ``` public class KickoutSessionListener implements SessionListener { @Override public void onStart(Session session) { // 会话创建时调用 } @Override public void onStop(Session session) { // 会话注销时调用 } } ``` 2. 在Shiro配置文件中配置Session Manager,并将上一步创建的Session Listener添加到其中,例如: ``` <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <property name="globalSessionTimeout" value="1800000"/> <property name="deleteInvalidSessions" value="true"/> <property name="sessionValidationSchedulerEnabled" value="true"/> <property name="sessionListeners"> <list> <bean class="com.example.KickoutSessionListener"/> </list> </property> </bean> ``` 3. 在`onStart`方法中将用户的会话添加到一个Set中,用于记录当前在线的用户会话,例如: ``` @Override public void onStart(Session session) { // 获取当前登录的用户信息 Object principal = SecurityUtils.getSubject().getPrincipal(); if (principal != null) { // 将用户会话添加到在线用户列表中 String username = ((User) principal).getUsername(); Set<Session> sessions = kickoutSessionService.getSessionsByUsername(username); if (sessions == null) { sessions = new HashSet<>(); kickoutSessionService.setSessionsByUsername(username, sessions); } sessions.add(session); } } ``` 4. 在`onStop`方法中将用户的会话从在线用户列表中移除,并判断是否需要踢出用户,例如: ``` @Override public void onStop(Session session) { // 获取当前登录的用户信息 Object principal = SecurityUtils.getSubject().getPrincipal(); if (principal != null) { String username = ((User) principal).getUsername(); Set<Session> sessions = kickoutSessionService.getSessionsByUsername(username); if (sessions != null) { // 移除用户会话 sessions.remove(session); // 如果当前用户的会话数超过了最大会话数,则踢出用户 if (sessions.size() > maxSessionCount) { kickoutSessionService.kickout(username); } } } } ``` 其中,`kickoutSessionService`是一个自定义的服务类,用于管理在线用户列表和踢出用户。`maxSessionCount`是一个配置的最大会话数,用于控制用户的登录终端数量。在`kickout`方法中可以实现踢出用户的逻辑,例如: ``` public void kickout(String username) { // 获取当前用户的所有会话 Set<Session> sessions = sessionsByUsername.get(username); if (sessions != null) { // 遍历所有会话,将其踢出 for (Session session : sessions) { try { session.stop(); } catch (Exception e) { // 异常处理 } } // 从在线用户列表中移除该用户的所有会话 sessionsByUsername.remove(username); } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值