shiro缓存与session持久化

今天给大家分享session缓存配置与session持久化示例

1. shiro中的缓存

在权限验证时每次从数据库中获取登陆权限数据显然是不合适的,更合适方式是将数据缓存到内存,以提高系统性能。

1.1 引入jar包

   <!-- 缓存需要的包 -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>${shiro-version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-context-support</artifactId>
            <version>${spring-version}</version>
        </dependency>

1.2 ehcache配置文件

<?xml version="1.0" encoding="UTF-8"?>
<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:noNamespaceSchemaLocation="http://ehcache.org/ehcache.xsd"
         updateCheck="false">
​
    <diskStore path="java.io.tmpdir"/>
    
    <defaultCache eternal="false" maxElementsInMemory="1000" overflowToDisk="false" diskPersistent="false"
                  timeToIdleSeconds="0" timeToLiveSeconds="600" memoryStoreEvictionPolicy="LRU"/>
​
​
    <!--name: Cache的名称,必须是唯一的(ehcache会把这个cache放到HashMap里)-->
   <!--  <cache name="stuCache" eternal="false" maxElementsInMemory="100"
           overflowToDisk="false" diskPersistent="false" timeToIdleSeconds="0"
           timeToLiveSeconds="300" memoryStoreEvictionPolicy="LRU"/> -->
</ehcache>

1.2 配置spring-base的配置文件

<!-- shiro 缓存-->
<bean id="cacheManagerFactory" class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean">
    <property name="configLocation" value="classpath:ehcache.xml"/>
    <property name="shared" value="true"></property>
</bean>
<bean id="shrioEhcache" class="org.apache.shiro.cache.ehcache.EhCacheManager">
    <property name="cacheManager" ref="cacheManagerFactory"></property>
</bean>
​
<!-- 将自定义的realm注入到安全管理器中 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="shiroRealm" />
    <!-- 为安全管理器配置缓存 -->
    <property name="cacheManager" ref="shrioEhcache"></property>
</bean>

2.shiro中的session

2.1简单的小案例

session中保存的数据,只要session未结束,在任何地方都可以访问session值

必须要先登陆用户,使session里面有用户登陆的值,然后再访问session的值。

mapper不用编写,因为咱们目的只是测试session获取值

service层

 

@Service
public class SessionService implements ISession{
    
    @Override
    public void Sessiontest() {
        Session session = SecurityUtils.getSubject().getSession();
        System.out.println("sesion is"+session.getAttribute("user"));
    }
}

 

首先,登陆的Controller保存session的值,然后通过编写SessionController获取session的值

 

@RequestMapping("user/login")
public String login(User user, Model model, HttpSession session) {
    Subject subject = SecurityUtils.getSubject();
​
    UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(),user.getPassword());
​
    try {
        subject.login(token);
        session.setAttribute("user",user);
    } catch (UnknownAccountException | LockedAccountException e) {
        model.addAttribute("message", e.getMessage());
        return "login";
    } catch (AuthenticationException e) {
        e.printStackTrace();
        model.addAttribute("message", "密码错误");
        return "login";
    }
​
    return "index";
}

编写一个简单SessionController得到session的值

@Controller
public class SessionController {
​
    @Autowired
    private ISession iSession;
​
    @RequestMapping("Sessiontest")
    public Object Sessiontest(){
        iSession.Sessiontest();
        return "";
    }
}

效果展示

3.Session监听

效果展示 

用于监听session的创建,过期等事件,如果在需要时可以再session创建时做些初始化操作,或在过期时做些清理操作。

1) 创建一个自定义监听器

@Slf4j//做为日志输出
public class SessionListener extends SessionListenerAdapter {
​
    @Override
    public void onStart(Session session) {
        log.info("Shiro session onStart .... ");
    }
​
    @Override
    public void onStop(Session session) {
        log.info("Shiro session onStop .... ");
    }
​
    @Override
    public void onExpiration(Session session) {
        log.info("Shiro session onExpiration ....");
    }
​
}

2)配置文件,在spring配置文件中做如下配置

 <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="shiroRealm" />
        <!-- 注入缓存管理器 -->
        <property name="cacheManager" ref="shrioEhcache"/>
        <!-- session管理器 -->
        <property name="sessionManager" ref="sessionManager"/>
    </bean>
​
    <!-- session管理器 ,配置自定义监听器,同时需要将该sessionManager配置到securityManager中-->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <property name="sessionListeners">
            <list>
                <bean class="com.zking.shirodemo.listener.SessionListener"/>
            </list>
        </property>
    </bean>

4.session持久化

登陆后

 

由此可见,我们日志只打印了一个sql语句,说明只在数据库执行一次

 

1)session持久化在applicationContext-base.xml配置文件

   <!-- session管理器 ,配置自定义监听器,同时需要将该sessionManager配置到securityManager中-->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <property name="sessionListeners">
            <list>
                <bean class="com.zking.spring.listener.SessionListener"/>
            </list>
        </property>
        <!-- 配置管理session的 dao -->
        <property name="sessionDAO" ref="sessionDao"/>
    </bean>


    <!-- 自定义SessionDao,将session持久化到数据库, 需要将该Bean注入到sessionManager -->
    <bean id="sessionDao" class="com.zking.spring.listener.DbSessionDao">
    </bean>

2)将session持久化加入安全管理器

<!--注册安全管理器-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!--自定义Reaml(登陆认证,登陆授权)-->
    <property name="realm" ref="shiroRealm" />
    <!--shiro 缓存-->
    <property name="cacheManager" ref="shrioEhcache"></property>
    <!--session持久监听器-->
    <property name="sessionManager" ref="sessionManager"/>
</bean>

3)实现序列化接口,文章最后会附上序列化类

 

4)因为session要写CRUD操作,mapper层service层就不显示了

5)编写自定义的session,实现持久化必须要实现EnterpriseCacheSessionDAO接口,重写父类CRUD方法。

/**
 * 自定义Session持久化,将Shiro的Session数据保存到数据库中。
 * 完成该类的编写后,需要在spring配置文件中进行配置
 */
@Slf4j
public class DbSessionDao extends EnterpriseCacheSessionDAO {
​
    @Autowired
    private ISessionModel sessionService;
​
    @Override
    protected Serializable doCreate(Session session) {
        Serializable sid = super.doCreate(session);
        SessionModel model = new SessionModel();
        model.setSessionId(sid.toString());
        model.setSession(SerializableUtil.serialize(session));
        log.debug("将session保存到数据库, sessionId = {}", sid);
        sessionService.addSession(model);
        return sid;
    }
​
​
    @Override
    protected Session doReadSession(Serializable sessionId) {
​
        Session session = super.doReadSession(sessionId);
​
        //如果从内存中获取了session,则直接返回
        if (!Objects.isNull(session)) {
            log.debug("从内存中获取session,sessionId = " + sessionId + ", 直接返回");
            return session;
        }
​
        log.debug("从内存中没有获取到session,id={}, 将从数据库获取session", sessionId);
        SessionModel model = new SessionModel();
        model.setSessionId(sessionId.toString());
        session  = (Session) sessionService.getSession(model);
​
        if(Objects.isNull(session)) {
            log.debug("数据库中也没有找到id={}的session,将返回null");
        }
​
        return session;
    }
​
​
    //删除session时,需要将数据表中的记录一并删除
    @Override
    protected void doDelete(Session session) {
        SessionModel model = new SessionModel();
        model.setSessionId(session.getId().toString());
        log.debug("删除session,sessionId: " + session.getId().toString());
        sessionService.delSession(model);
        super.doDelete(session);
    }
​
​
    //更新session
    @Override
    protected void doUpdate(Session session) {
​
        String sessionId = session.getId().toString();
        SessionModel tmpModel = new SessionModel();
        tmpModel.setSessionId(sessionId);
​
        SessionModel model = sessionService.getSession(tmpModel);
​
        if(Objects.isNull(model)) {
​
            Object obj = session.getAttribute(DefaultSubjectContext.AUTHENTICATED_SESSION_KEY);
​
            //数据库中是否有session,如果没有检查session无效,则直接返回,否则保存到数据库中
            if(Objects.isNull(obj) || !Boolean.parseBoolean(obj.toString())) {
                return ;
            }
​
            SessionModel saveModel = new SessionModel();
            saveModel.setSessionId(session.getId().toString());
            saveModel.setSession(SerializableUtil.serialize(session));
            log.debug("session已经过验证,且在数据库中不存在,将session保存到数据库 ..... ");
            sessionService.addSession(saveModel);
        } else {
            //如果session在数据库中已存在,则更新session
            model.setSession(SerializableUtil.serialize(session));
            log.debug("session在数据库中已存在,将session更新到数据库 ..... ");
            sessionService.updateSession(model);
        }
​
        //调用父类方法,更新session
        super.doUpdate(session);
    }
}

附1:序列化实现类

public final class SerializableUtil {
​
    private SerializableUtil() {}
​
​
    /**
     * Session序列化
     * @param session 待序列化的session
     * @return String
     */
    public static String serialize(Session session) {
​
        try {
            //ByteArrayOutputStream 用于存储序列化的Session对象
            ByteArrayOutputStream bos = new ByteArrayOutputStream();
​
            //将Object对象输出成byte数据
            ObjectOutputStream out = new ObjectOutputStream(bos);
            out.writeObject(session);
​
            //将字节码,编码成String类型数据
            return Base64.getEncoder().encodeToString(bos.toByteArray());
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("序列化失败");
        }
​
    }
​
​
    /**
     * session的反向序列化
     * @param sessionString 需要被反向序列化的对象
     * @return
     */
    public static Session deserialize(String sessionString) {
        try {
            //读取字节码表
            ByteArrayInputStream bis  = new ByteArrayInputStream(Base64.getDecoder().decode(sessionString));
​
            //将字节码反序列化成 对象
            ObjectInputStream in = new ObjectInputStream(bis);
            Session session = (Session) in.readObject();
            return session;
        } catch (Exception e) {
            throw new RuntimeException("反序列化失败");
        }
    }
​
}

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值