Spring Boot + Shiro 使用 DefaultWebSessionManager 导致 Druid Monitor 监听不到 Session 问题解决方案

最新推荐文章于 2023-11-25 01:25:51 发布
最新推荐文章于 2023-11-25 01:25:51 发布
阅读量3k 收藏 3
点赞数 1
文章标签: spring boot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dreamcatcher_yxc/article/details/106156988
版权

一、问题配置

项目中使用了 shiro-spring 快速集成 Shiro 到当前 Spring 环境中,配置如下:

  1. pom.xml
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>  
   // ...
	<properties>
		<!-- shiro -->
		<shiro-spring.version>1.4.0</shiro-spring.version>
		<shiro-ehcache.version>1.5.1</shiro-ehcache.version>
	</properties>

	<dependencies>
		// ...
		<!-- apache-shiro -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>${shiro-spring.version}</version>
		</dependency>

		<!-- apache-shiro-ehcache 支持 -->
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-ehcache</artifactId>
			<version>${shiro-ehcache.version}</version>
		</dependency>
	</dependencies>
    // ...
</project>

2. ShiroConfig.java

ShiroConfig 中的 ShiroFilter 配置方式在此处是必须的,网上部分教程使用的是如下的配置方式:

/**
 * 权限校验配置
 */
@Configuration
public class ShiroConfig {

    /**
     * 配置 Shiro 拦截器工厂
     *
     * @param securityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 由于系统中所有的权限拦截已经通过 SpringMVC interceptor 拦截实现了, 这里将所有的请求交给 anno 处理,
        // 具体拦截由 SpringMVC interceptor 处理, 后续看情况迁移至 shiro 实现
        Map<String, String> filterChainDefinitionMap = new HashMap<>();
        filterChainDefinitionMap.put("/**", "anon");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }
    
    // ...

   /**
     * 采用 DefaultWebSessionManager 替代掉容器内置的 Session 实现。
     */
    @Bean("sessionManager")
    public SessionManager sessionManager() {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        //配置监听
        sessionManager.setSessionIdCookie(sessionIdCookie());
        // 设置 sessionDAO
        sessionManager.setSessionDAO(sessionDAO());
        // 配置 session
        sessionManager.setDeleteInvalidSessions(true);
        sessionManager.setSessionValidationSchedulerEnabled(true);
        // 10 分钟检查一遍失效 session
        sessionManager.setSessionValidationInterval(10 * 60 * 1000);

        return sessionManager;
    }

}

这种配置本身并没有问题,但是在集成 Druid Monitor 监听 Session 的场景会存在问题。通常我们在 Spring-Boot 项目中继承 Druid 引入如下依赖:

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>druid-spring-boot-starter</artifactId>
    <version>1.1.10</version>
</dependency>

然后 happy 的在 application.yml 中添加如下配置:

spring.datasource.druid:
  web-stat-filter:
    enabled: true
    url-pattern: /*
    exclusions: "/druid/*,/static/*,/webjars/*,/web-admin/*"
    # 开启 session 监控
    session-stat-enable: true
    session-stat-max-count: 1000
    # 监听 session 中的 login-user 属性
    principal-session-name: login-user
    profile-enable: true
  stat-view-servlet:
    enabled: true
    url-pattern: /druid/*
    reset-enable: true
    login-username: admin
    login-password: 123456
    allow:
    deny:
  filter:
    slf4j:
      enabled: true
      statement-create-after-log-enabled: false
      statement-log-enabled: false
      statement-executable-sql-log-enable: true
      statement-log-error-enabled: true
      result-set-log-enabled: false

但是当我们打开 druid monitor 会发现 session 监控并没有生效。

二、原因分析

 druid-spring-boot-starter 自动配置 com.alibaba.druid.support.http.WebStatFilter 的时候使用的是 FilterRegistrationBean,源代码如下:

/*
 * Copyright 1999-2018 Alibaba Group Holding Ltd.
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *      http://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */
package com.alibaba.druid.spring.boot.autoconfigure.stat;

import com.alibaba.druid.spring.boot.autoconfigure.properties.DruidStatProperties;
import com.alibaba.druid.support.http.WebStatFilter;
import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.boot.autoconfigure.condition.ConditionalOnWebApplication;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;

/**
 * @author lihengming [89921218@qq.com]
 */
@ConditionalOnWebApplication
@ConditionalOnProperty(name = "spring.datasource.druid.web-stat-filter.enabled", havingValue = "true", matchIfMissing = true)
public class DruidWebStatFilterConfiguration {
    @Bean
    public FilterRegistrationBean webStatFilterRegistrationBean(DruidStatProperties properties) {
        DruidStatProperties.WebStatFilter config = properties.getWebStatFilter();
        FilterRegistrationBean registrationBean = new FilterRegistrationBean();
        WebStatFilter filter = new WebStatFilter();
        registrationBean.setFilter(filter);
        registrationBean.addUrlPatterns(config.getUrlPattern() != null ? config.getUrlPattern() : "/*");
        registrationBean.addInitParameter("exclusions", config.getExclusions() != null ? config.getExclusions() : "*.js,*.gif,*.jpg,*.png,*.css,*.ico,/druid/*");
        if (config.getSessionStatEnable() != null) {
            registrationBean.addInitParameter("sessionStatEnable", config.getSessionStatEnable());
        }
        if (config.getSessionStatMaxCount() != null) {
            registrationBean.addInitParameter("sessionStatMaxCount", config.getSessionStatMaxCount());
        }
        if (config.getPrincipalSessionName() != null) {
            registrationBean.addInitParameter("principalSessionName", config.getPrincipalSessionName());
        }
        if (config.getPrincipalCookieName() != null) {
            registrationBean.addInitParameter("principalCookieName", config.getPrincipalCookieName());
        }
        if (config.getProfileEnable() != null) {
            registrationBean.addInitParameter("profileEnable", config.getProfileEnable());
        }
        return registrationBean;
    }
}

DruidWebStatFilterConfiguration 在配置 WebStatFilter 的时候并没有指定顺序(其实 Servlet 标准中也没有通过指定 order 指定 Filter 拦截器顺序的机制,Filter 顺序按照其配置的先后,先配置的在前,后配置的在后),所以其默认的顺序为 FilterRegistrationBean.REQUEST_WRAPPER_FILTER_MAX_ORDER(越小优先级越高),而通过 ShiroFilterFactoryBean 配置的 Filter 是不会参加这个排序过程的,永远都是最后一个,因为 ShiroFilterFactoryBean 向容器注册 Filter 的时机在 FilterRegistrationBean 之后。

 Druid 的 WebStatFilter 在获取 Session 信息的时候,此时的 Session 是原容器的 Session 信息,故不能获取 Shiro 管理的 Session 信息(Shiro  管理的 Session 信息需要再经过 org.apache.shiro.web.servlet.OncePerRequestFilter#doFilter)之后才会生效,所以就会出现上述的问题。

三、解决方案

从 Shiro Filter 配置入手,直接通过 ShiroFactoryBean 传进 Filter, 然后创建 FilterRegistrationBean,配置 order 小于 FilterRegistrationBean.REQUEST_WRAPPER_FILTER_MAX_ORDER 即可。具体配置代码如下:

/**
 * 权限校验配置
 */
@Configuration
public class ShiroConfig {

    /**
     * 配置 Shiro 拦截器配置
     *
     * @param securityManager
     * @return
     */
    @SneakyThrows
    @Bean
    public FilterRegistrationBean shiroFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 由于系统中所有的权限拦截已经通过 SpringMVC interceptor 拦截实现了, 这里将所有的请求交给 anno 处理,
        // 具体拦截由 SpringMVC interceptor 处理, 后续看情况迁移至 shiro 实现
        Map<String, String> filterChainDefinitionMap = new HashMap<>();
        filterChainDefinitionMap.put("/**", "anon");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        Object filter = shiroFilterFactoryBean.getObject();
        FilterRegistrationBean<Filter> register = new FilterRegistrationBean<>();
        register.setFilter((Filter) filter);
        register.setOrder(FilterRegistrationBean.REQUEST_WRAPPER_FILTER_MAX_ORDER - 10);
        register.addUrlPatterns("/*");
        return register;
    }

    // ...
    
    /**
     * 采用 DefaultWebSessionManager 替代掉容器内置的 Session 实现。
     */
    @Bean("sessionManager")
    public SessionManager sessionManager() {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        //配置监听
        sessionManager.setSessionIdCookie(sessionIdCookie());
        // 设置 sessionDAO
        sessionManager.setSessionDAO(sessionDAO());
        // 配置 session
        sessionManager.setDeleteInvalidSessions(true);
        sessionManager.setSessionValidationSchedulerEnabled(true);
        // 10 分钟检查一遍失效 session
        sessionManager.setSessionValidationInterval(10 * 60 * 1000);

        return sessionManager;
    }
}

四、验证

项目启动,打开 Druid Monitor,打开 Session 监控界面(注意:系统中需要有登录用户),结果如下:

具体代码可以参看笔者个开源项目 QW-ADMIN 中 com.qiwen.base.config.shiro.ShiroConfig 相关配置。

Dreamcatcher_yxc
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Boot+Apache Shiro+Spring MVC+MyBatis+Quartz+Druid DEMO
03-30
这是一个基于Spring Boot、Apache ShiroSpring MVC、MyBatis、Quartz和Druid的数据源管理框架的示例项目,名为"renren-security"。这个DEMO提供了完整的权限管理和任务调度解决方案,下面是这些技术栈的核心知识点...
shiro的会话管理器SessionManager
m0_52789121的博客
08-24 547
在Servlet容器中,默认使用JSESSIONID Cookie维护会话,且会话默认是跟容器绑定的;DefaultWebSessionManager:用于Web环境的实现,可以替代ServletContainerSessionManager,自己维护着会话,直接废弃了Servlet容器的会话管理。ServletContainerSessionManagerDefaultWebSecurityManager使用的默认实现,用于Web环境,其直接使用Servlet容器的会话;
11springboot 整合shiro 中(session中的会话管理)
Insist___的博客
02-06 2457
文章目录1 什么是shiro的会话管理2应用场景分析3 Shiro结合redis的统一会话管理4 步骤:4.1引入依赖4.2在springboot配置文件中添加redis配置4.3 自定义shiro会话管理器4.4配置Shiro基于redis的会话管理4.5user对象实现AuthCachePrincipal5 上传代码: 在shiro里所有的用户的会话信息都会由Shiro来进行控制,shiro提...
shirosession的常见的问题
m0_58259152的博客
07-11 798
DefaultWebSessionManager 获取请求头中JSESSION ID的值通过RedisSessionDao 从Redis中查询该值对应的key 如果存在则认为当前用户登录。
Spring Boot : 整合 Shiro 重写 DefaultWebSessionManager
帅气Dee海绵宝宝
12-13 5489
SpringBoot整合shiro 重写 DefaultWebSessionManager 正常来讲 Shiro 是从 Cookie 中获取 SessionId 的,然后找到相对应的 Session 来保证用户登陆的正确性和权限的正确性,但是在前后端分离的项目中,由于每次的 SessionId 都是不一样的,所以我这里选择的是重写 DefaultWebSessionManager 的部分方法,然...
spring boot+shiro 权限认证管理案例
12-20
2. Redis:Redis 是一种高性能的键值数据库,可以用作 Shiro 的缓存后端,提供分布式环境下的缓存解决方案。 3. Guava Cache:Google 的 Guava 库提供了简单的本地内存缓存,适用于简单的单机部署。 五、实际案例 ...
springboot +shiro+redis实现session共享(方案二)1
08-08
本文档旨在介绍如何使用 Spring BootShiro 和 Redis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 在实现 session 共享之前,需要在项目中引入相关依赖项,包括: * ...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 在 Spring Boot 中集成 Shiro使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
spring-boot+shiro+jpa
07-12
在IT领域,Spring Boot、JPA(Java Persistence API)和Shiro都是常见的技术框架,用于构建高效、便捷的Web应用程序。下面将详细解释这三个技术及其在"spring-boot+shiro+jpa"项目中的应用。 首先,Spring Boot是...
在线监控Session(超简单)
09-28
Session 监空--------就是个过滤器原理
Apache Shiro Web应用会话管理
王浩的技术博客
01-25 1万+
Servlet容器会话管理 在Web环境中,Shiro默认的会话管理器SessionManager 的实现是ServletContainerSessionManager。这个实现只是简单的封装了Servlet容器,包括会话集群功能。它的本质是Shiro Session API与Servlet容器之间的一个桥梁。 使用这个默认实现的好处是,应用程序将使用现有的servlet容器的会话配置,例如超
Shiro自定义session会话管理
NullOK的博客
01-29 1638
原文博客地址 此图非常重要!!!镇楼 0x001 重写SessionManager shiro提供了三种默认实现: DefaultSessionManager: 用于java se 环境 ServletContainerSessionManager:默认使用的实现,Servlet容器管理 DefaultWebSessionManager:自己维护 重写SessionManager需要继承Def...
Springboot 集成Druid
m0_69057918的博客
06-12 1794
Springboot 集成Druid
shiro会话监听_配置shiro会话监听
weixin_29476595的博客
01-17 216
配置监听类import org.apache.shiro.session.Session;import org.apache.shiro.session.SessionListener;public class SessionListener1 implements SessionListener {@Overridepublic void onStart(Session session) {//...
SpringBoot整合shiro、自定义sessionManager
热门推荐
延陵缥缈的博客
07-23 1万+
       Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。相比较Spring Security,shiro有小巧、简单、易上手等的优点。所以很多框架都在使用shiro。而springboot作为一个开源框架,必然提供了和shiro整合的功能!接下来就用springboot整合shiro完成对于用户登录的判定和权限的验证. 1.基础数据 公司...
shirosessionmanager
b609355187的博客
06-12 1891
一般shiro的securityManage会配置一个sessionMange。对这个配置有点疑问,特意学习了下。&lt;bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"&gt; &lt;property name="authenticator" ref="authenti...
shiro的前后端分离模式
最新发布
weixin_42510217的博客
11-25 1008
在上一篇《shiro的简单认证和授权》中介绍了shiro的搭建,默认情况下,shiro是通过设置cookie,使前端请求带有“JSESSION”cookie,后端通过获取该cookie判断用户是否登录以及授权。但是在前后端分离模式中,前后端不在同一个域内,后端无法自动给请求添加cookie,因而默认的模式不能实现正常的认证授权逻辑。
DefaultWebSessionManager
iteye_10899的博客
11-10 7870
DefaultWebSessionManager类主要定义了session的创建,启动,暂停与cookie的关联的定义,它继承了DefaultWebSessionManager类,实现了WebSessionManager接口,现对其解析如下: 1.WebSessionManager接口 可以参考WebSessionManager接口源码解析,里面只有一个方法,定义了session是由ser...
spring boot + shiro便利店系统
05-16
Spring Boot是一个开源的Java框架,可以在极短的时间内创建一个独立的、基于Spring的应用程序。Shiro是一个强大的、易用的Java安全框架,提供身份验证、授权、Session管理等功能。便利店系统是一个类似超市的零售店,提供快捷购买各种日常用品、食品等商品的服务。将这三者结合起来,可以快速创建极具安全性和高度可定制性的便利店系统。 在Spring Boot中,可以使用各种开发和扩展组件,如开发Web服务(RESTful服务)、使用Spring Data来访问数据库等。借助Shiro,可以实现用户身份验证和授权、密码加密、单点登录等功能。整合ShiroSpring Boot,可以轻松整合安全框架到应用,从而为便利店系统提供可靠的安全控制。 对于便利店系统,需要实现全面管理功能,如商品销售管理、库存管理、用户信息管理、供应商管理等。在这里,可以使用Spring BootShiro来创建一个基于Web的应用程序,实现所有的管理和操作。使用Spring Boot自带的Thymeleaf视图模版和Shiro的安全控制机制,可以创建适用于多用户、多角色的便利店系统。 综上所述,使用Spring BootShiro创建便利店系统是一个非常可行的选择。这种结合可以为应用程序提供高效、易于扩展的架构,同时保障系统的安全性和可靠性,提高开发效率,为用户提供优质的购物体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值