Shiro学习之会话管理

最新推荐文章于 2023-10-14 22:58:08 发布
最新推荐文章于 2023-10-14 22:58:08 发布
阅读量247 收藏 1
点赞数
分类专栏: Shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Curtisjia/article/details/109303358
版权

目录

前言

通过Shiro里的会话管理对象,我们可以实现一些比较有趣的功能,比如查看当前系统的在线人数,查看这些在线用户的一些基本信息,强制让某个用户下线等。

配置

为了能够在Spring Boot中使用SessionDao,我们在ShiroConfig中配置该Bean:
基于内存

@Bean
public SessionDAO sessionDAO() {
    MemorySessionDAO sessionDAO = new MemorySessionDAO();
    return sessionDAO;
}

如果使用的是Redis作为缓存实现,那么SessionDAO则为RedisSessionDAO:

@Bean
public RedisSessionDAO sessionDAO() {
    RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
    redisSessionDAO.setRedisManager(redisManager());
    return redisSessionDAO;
}

继续在ShiroConfig中配置SessionManager:

@Bean
public SessionManager sessionManager() {
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    Collection<SessionListener> listeners = new ArrayList<SessionListener>();
    listeners.add(new ShiroSessionListener());
    sessionManager.setSessionListeners(listeners);
    sessionManager.setSessionDAO(sessionDAO());
    return sessionManager;
}

ShiroSessionListener为org.apache.shiro.session.SessionListener接口的手动实现,所以接下来定义一个该接口的实现:
其维护着一个原子类型的Integer对象,用于统计在线Session的数量。

public class ShiroSessionListener implements SessionListener{
    private final AtomicInteger sessionCount = new AtomicInteger(0);
    
    @Override
    public void onStart(Session session) {
        sessionCount.incrementAndGet();
    }
    
    @Override
    public void onStop(Session session) {
        sessionCount.decrementAndGet();
    }
    
    @Override
    public void onExpiration(Session session) {
        sessionCount.decrementAndGet();
    }
}

定义完SessionManager后,还需将其注入到SecurityManager中:

@Bean  
public SecurityManager securityManager(){  
    DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
    securityManager.setRealm(shiroRealm());
    ...
    securityManager.setSessionManager(sessionManager());
    return securityManager;  
}

整体需要的配置就在上面

使用Session

配置完ShiroConfig后,我们可以创建一个UserOnline实体类,用于描述每个在线用户的基本信息:

public class UserOnline implements Serializable{
	
    private static final long serialVersionUID = 3828664348416633856L;
    // session id
    private String id;
    // 用户id
    private String userId;
    // 用户名称
    private String username;
    // 用户主机地址
    private String host;
    // 用户登录时系统IP
    private String systemHost;
    // 状态
    private String status;
    // session创建时间
    private Date startTimestamp;
    // session最后访问时间
    private Date lastAccessTime;
    // 超时时间
    private Long timeout;
    // get set略
}

Service
创建一个Service接口,包含查看所有在线用户和根据SessionId踢出用户抽象方法:


public interface SessionService {
    List<UserOnline> list();
    boolean forceLogout(String sessionId);
}

其具体实现:

@Service("sessionService")
public class SessionServiceImpl implements SessionService {
    @Autowired
    private SessionDAO sessionDAO;

    @Override
    public List<UserOnline> list() {
        List<UserOnline> list = new ArrayList<>();
        Collection<Session> sessions = sessionDAO.getActiveSessions();
        for (Session session : sessions) {
            UserOnline userOnline = new UserOnline();
            User user = new User();
            SimplePrincipalCollection principalCollection = new SimplePrincipalCollection();
            if (session.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY) == null) {
                continue;
            } else {
                principalCollection = (SimplePrincipalCollection) session
                	.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY);
                user = (User) principalCollection.getPrimaryPrincipal();
                userOnline.setUsername(user.getUserName());
                userOnline.setUserId(user.getId().toString());
            }
            userOnline.setId((String) session.getId());
            userOnline.setHost(session.getHost());
            userOnline.setStartTimestamp(session.getStartTimestamp());
            userOnline.setLastAccessTime(session.getLastAccessTime());
            Long timeout = session.getTimeout();
            if (timeout == 0l) {
                userOnline.setStatus("离线");
            } else {
                userOnline.setStatus("在线");
            }
            userOnline.setTimeout(timeout);
            list.add(userOnline);
        }
        return list;
    }

    @Override
    public boolean forceLogout(String sessionId) {
        Session session = sessionDAO.readSession(sessionId);
        session.setTimeout(0);
        return true;
    }
}

通过SessionDao的getActiveSessions()方法,我们可以获取所有有效的Session,通过该Session,我们还可以获取到当前用户的Principal信息。

值得说明的是,当某个用户被踢出后(Session Time置为0),该Session并不会立刻从ActiveSessions中剔除,所以我们可以通过其timeout信息来判断该用户在线与否。

如果使用的Redis作为缓存实现,那么,forceLogout()方法需要稍作修改:

@Override
public boolean forceLogout(String sessionId) {
    Session session = sessionDAO.readSession(sessionId);
    sessionDAO.delete(session);
    return true;
}

Controller
定义一个SessionContoller,用于处理Session的相关操作:

@Controller
@RequestMapping("/online")
public class SessionController {
    @Autowired
    SessionService sessionService;
    
    @RequestMapping("index")
    public String online() {
        return "online";
    }

    @ResponseBody
    @RequestMapping("list")
    public List<UserOnline> list() {
        return sessionService.list();
    }

    @ResponseBody
    @RequestMapping("forceLogout")
    public ResponseBo forceLogout(String id) {
        try {
            sessionService.forceLogout(id);
            return ResponseBo.ok();
        } catch (Exception e) {
            e.printStackTrace();
            return ResponseBo.error("踢出用户失败");
        }
    }
}

页面

我们编写一个online.html页面,用于展示所有在线用户的信息:

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>在线用户管理</title>
    <script th:src="@{/js/jquery-1.11.1.min.js}"></script>
    <script th:src="@{/js/dateFormat.js}"></script>
</head>
<body>
    <h3>在线用户数:<span id="onlineCount"></span></h3>
    <table>
        <tr>
            <th>序号</th>
            <th>用户名称</th>
            <th>登录时间</th>
            <th>最后访问时间</th>
            <th>主机</th>
            <th>状态</th>
            <th>操作</th>
        </tr>
    </table>
    <a th:href="@{/index}">返回</a>
</body>
<script th:inline="javascript">
    var ctx = [[@{/}]];
    $.get(ctx + "online/list", {}, function(r){
        var length = r.length;
        $("#onlineCount").text(length);
        var html = "";
        for(var i = 0; i < length; i++){
            html += "<tr>"
                + "<td>" + (i+1) + "</td>"
                + "<td>" + r[i].username + "</td>"
                + "<td>" + new Date(r[i].startTimestamp).Format("yyyy-MM-dd hh:mm:ss") + "</td>"
                + "<td>" + new Date(r[i].lastAccessTime).Format("yyyy-MM-dd hh:mm:ss") + "</td>"
                + "<td>" + r[i].host + "</td>"
                + "<td>" + r[i].status + "</td>"
                + "<td><a href='#' οnclick='offline(\"" + r[i].id + "\",\"" + r[i].status +"\")'>下线</a></td>"
                + "</tr>";
        }
        $("table").append(html);
    },"json");
	
    function offline(id,status){
        if(status == "离线"){
            alert("该用户已是离线状态!!");
            return;
        }
        $.get(ctx + "online/forceLogout", {"id": id}, function(r){
            if (r.code == 0) {
                alert('该用户已强制下线!');
                location.href = ctx + 'online/index';
            } else {
                alert(r.msg);
            }
        },"json");
    }
</script>
</html>

在index.html中加入该页面的入口:

...
<body>
    <p>你好![[${user.userName}]]</p>
    <p shiro:hasRole="admin">你的角色为超级管理员</p>
    <p shiro:hasRole="test">你的角色为测试账户</p>
    <div>
        <a shiro:hasPermission="user:user" th:href="@{/user/list}">获取用户信息</a>
        <a shiro:hasPermission="user:add" th:href="@{/user/add}">新增用户</a>
        <a shiro:hasPermission="user:delete" th:href="@{/user/delete}">删除用户</a>
    </div>
    <a shiro:hasRole="admin" th:href="@{/online/index}">在线用户管理</a>
    <a th:href="@{/logout}">注销</a>
</body>
...

参考链接:https://mrbird.cc/Spring-Boot-Shiro%20session.html

朝花不迟暮
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最详细Shiro学习资料(源码)
11-16
Shiro(Apache Shiro)是一个强大且易于使用的Java安全框架,用于身份验证、授权、加密和会话管理等安全功能。它提供了简单的API和灵活的配置选项,可以方便地集成到现有的Java应用程序中。 Shiro的主要特点包括: 身份验证:Shiro支持多种身份验证方式,包括用户名/密码验证、基于角色的验证、基于证书的验证等。开发者可以根据具体需求选择适合的身份验证方式。 授权:Shiro提供了细粒度的授权机制,可以对用户进行角色和权限的控制。通过简单的注解或编程方式,开发者可以定义哪些用户可以访问哪些资源。 加密:Shiro支持常见的加密算法和哈希函数,可以确保用户密码等敏感信息的安全存储。 会话管理Shiro提供了会话管理功能,可以管理用户的会话状态,并支持分布式会话管理。 Web集成:Shiro可以无缝集成到Java Web应用程序中,提供了过滤器和标签库等工具,简化了权限控制和身份验证的实现。 容器友好:Shiro可以与常见的Java容器(如Spring、Guice)以及其他框架(如Apache Struts、Apache Wicket)进行集成,方便开发者
shiro入门学习.ppt
07-19
Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情:  验证用户  对用户执行访问控制,如:  判断用户是否拥有角色admin。 判断用户是否拥有访问的权限  在任何环境下使用 Session API。例如CS程序。  可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。  单点登录(SSO)功能。  “Remember Me”服务 ,类似购物车的功能,shiro官方建议开启。
简单的介绍,简单的配置,简单的扩展 shiro入门学习手册 共35页.pptx
01-08
简单的介绍,简单的配置,简单的扩展 Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: ? 验证用户 ? 对用户执行访问控制,如: ? 判断用户是否拥有角色admin。 判断用户是否拥有访问的权限 ? 在任何环境下使用 Session API。例如CS程序。 ? 可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库。 ? 单点登录(SSO)功能。 ? “Remember Me”服务 ,类似购物车的功能,shiro官方建议开启。
shiro安全框架的学习简单例子
05-19
Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 实际上,Shiro的主要功能是管理应用程序中与安全相关的全部,同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的,支持各种自定义行为。Shiro提供的默认实现,使其能完成与其他安全框架同样的功能,这不也是我们一直努力想要得到的吗!
shiro会话管理SessionManager
zsg88的专栏
06-28 4686
SessionManager会话管理管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。 public interface SessionManager { Session start(SessionContext context); //启动会话  Session getSession(SessionKey key) throws SessionExce
复习步骤10-会话管理 自定义sessionManager和redisSessionDAO
香帅的博客
03-28 934
复习步骤10-会话管理 自定义sessionManager和redisSessionDAO
使用shiro和redis结合,管理SessionDAO的对Session的CRUD,并源码分析
oppoppoppo的专栏
02-16 6685
SessionDAO的作用是为Session提供CRUD并进行持久化的一个shiro组件,将集成redis缓存进行开发 由配置文件可以知道sessionManager需要注入一个sessionDao --> 自定义的SessionManager的继承关系为 SessionManager extend
Shiro权限管理】20.Session持久化(SessionDAO)
程序猿之洞
01-02 1万+
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 上一篇说到了Shiro是如何控制Session会话的,而对于分布式系统,一般都牵扯到Session共享问题, 而想实现Session共享,就要实现Session的持久化操作,即是将内存中的Session持久化至缓存数据库。 本篇就讲解一下使用Shiro实现Session会话的持久化操作,即SessionDAO的相关知识。
shiro——session会话管理
dgh112233的博客
08-23 1万+
目录 1. 会话 1.1 Session 接口 1.2 SessionManager 会话管理 1.3 SessionListener 会话监听 2. 会话持久化 2.1 SessionDAO接口 2.2AbstractSessionDAO类 2.3 CachingSessionDAO 类 2.4 EnterpriseCacheSessionDAO 类 2.5 Memo...
Shiro - 会话管理SessionDao持久化Session
小小默:进无止境
11-04 1704
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web 的透明支持、SSO 单点登录的支持等特性。 【1】Shiro Session接口与实现类 这里的Session不再是我们通常使用的javax.servlet.http.Htt...
Java-Shiro学习思维导图.zip
08-20
Java Shiro 是一个强大且灵活的开源安全框架,用于身份认证、授权和会话管理等安全领域的应用开发。学习 Java Shiro 可以通过思维导图来梳理核心概念和学习路径,以下是一个简要的 Java Shiro 学习思维导图。 Java ...
第六章:ShiroSession管理
逸轩
04-09 2964
概述和配置使用 n概述   Shiro提供安全框架界独一无二的东西:一个完整的企业级Session 解决方案,可以为任意的应用提供session支持,包括web和非web应用,并且无需部署你的应用程序到Web 容器或使用EJB容器。 n基本使用   可以通过与当前执行的Subject 交互来获取Session:   Subject currentUser = Secu
Shiro笔记四(会话管理):SessionDao
Welcome
08-21 1万+
四、会话管理 23. Shiro_会话管理   API与HttpSession的API也特别像         在Handler层建议使用原生的HttpSession, 那ShiroSession有什么用呢? 注意我们在传统的Web应用里面在Sevice里面是没法访问HttpSession的,也不建议这样做,在Handler层的API我们在Service层应该是不...
springboot-shiro Session/SessionDao/SessionManager/Cache
最新发布
YinJuan791739156的博客
10-14 121
shiro本身提供了很多场景的sessionmanager,我们这里主要讨论web场景。web场景下的sessionmanager:DefaultWebSessionManager。这里介绍一下sessionmanager。如果对源码不感兴趣,可以跳过本小节。SessionManage 本身是一个接口,定义了start和getSeesion 两个方法。先看一下getSession ,确认一下session 是如何缓存的,又如何取获取session。再次强调一下,这里研究是的web场景。
SpringBoot整合shiro、自定义sessionManager
热门推荐
延陵缥缈的博客
07-23 1万+
       Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。相比较Spring Security,shiro有小巧、简单、易上手等的优点。所以很多框架都在使用shiro。而springboot作为一个开源框架,必然提供了和shiro整合的功能!接下来就用springboot整合shiro完成对于用户登录的判定和权限的验证. 1.基础数据 公司...
Shiro 中的 SessionDAO
易梦南蝶的博客
06-13 3528
SessionDAO是用于session持久化的,SessionManager只是负责session管理,持久化的工作是由SessionDAO完成的。 SessionDAO的继承结构 SessionDAO 接口 SessionDAO接口是Shiro中所有SessionDAO的顶级接口,给出了从持久层(一般而言是关系型数据库)操作session的标准。方法如下: Serializabl...
shiro-会话管理session管理
加油吧,少年!
03-22 2306
shiro-会话管理session管理shiro自己实现了一套session管理体系可以在不借助任何web容器或servlet的情况下使用session。 1.SessionManagersession管理器)、SessionDAO(实现session的增删改查) 2.Redis实现Session共享 3.Redis实现Session共享存在的问题 代码: pom.xml文件中添加依赖 ...
shiro会话管理
qq_65975514的博客
04-14 834
Session会话会话的默认时间是30分钟,在会话中我们可以无数次请求,直到会话结束。 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 Shiro会话不依赖于底层容器(如Tomcat),是自带的。注意区别对待! 并且不管是J2SE还是J2EE环境都可以使用,提供了会话管理会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对We
shirosessionManager配置
拒绝熬夜啊的博客
10-18 1810
shirosessionManager配置 1.使用session Subject currentUser = SecurityUtils.getSubject(); Session session = currentUser.getSession(); session.setAttribute("someKey", someValue); //subject.getSession()方法是调用 currentUser.getSubject(true)的快捷方式
shiro框架如何学习
07-15
学习Shiro框架可以按照以下步骤进行: 1. 了解基础概念:首先,你需要了解Shiro的基本概念和术语,例如主体(Subject)、认证(Authentication)、授权(Authorization)、Realm等。可以阅读Shiro的官方文档或者相关的教程来获得这些知识。 2. 安装和配置:安装Shiro框架并进行基本的配置。你可以在Shiro的官方网站上找到安装指南和配置示例。 3. 认证功能:学习如何使用Shiro进行用户认证,包括用户名密码认证、Remember Me功能、多Realm认证等。可以尝试编写简单的认证示例来理解这些功能。 4. 授权功能:学习如何使用Shiro进行用户授权,包括角色授权和权限授权。了解如何定义角色和权限,并且如何在代码中进行授权判断。 5. Session管理:了解Shiro如何管理用户的会话信息,包括会话超时、会话验证等。学习如何使用Shiro提供的Session API来管理会话。 6. 整合框架:如果你使用其他的Java框架,例如Spring或者Spring Boot,学习如何将Shiro与这些框架进行整合,以便更好地利用Shiro的功能。 7. 安全性优化:深入了解Shiro的安全性能优化技巧,例如密码加密、安全配置、防止常见安全漏洞等。 8. 实战练习:通过编写实际的应用程序来巩固所学的知识。可以尝试开发一个简单的Web应用程序,使用Shiro进行用户认证和授权。 除了官方文档和教程,还可以参考一些优秀的书籍或在线教程,例如《Apache Shiro官方指南》、《深入浅出Shiro安全框架》等。此外,加入Shiro的社区或者论坛,与其他开发者交流经验也是一个很好的学习方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值