目录
1. 会话API
2. 会话监听
3. sessionDAO
一、简介
Shiro 提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管 JavaSE 还是 JavaEE 环境
都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web 的透明
支持、SSO 单点登录的支持等特性。
二、会话相关的API
1. Subject.getSession():即可获取会话;
- Subject.getSession(true),如果当前没有创建 Session 对象会创建一个
- Subject.getSession(false),如果当前没有创建 Session 则返回null
2. session.getId():获取当前会话的唯一标识
3. session.getHost():获取当前Subject的主机地址
4. session.getTimeout() & session.setTimeout(毫秒):获取/设置当前Session的过期时间
5. session.getStartTimestamp() & session.getLastAccessTime():获取会话的启动时间及最后访问时间
- 如果是 JavaSE 应用需要自己定期调用 session.touch() 去更新最后访问时间
- 如果是 javaEE 应用,每次进入 ShiroFilter 都会自动调用 session.touch() 来更新最后访问时间
6. session.touch() & session.stop():更新会话最后访问时间及销毁会话
- 当Subject.logout()时会自动调用 stop 方法来销毁会话
- 如果在web中,调用 HttpSession. invalidate() 也会自动调用Shiro Session.stop 方法进行销毁Shiro 的会话
7. Attribute
- session.setAttribute(key, val)
- session.getAttribute(key)
- session.removeAttribute(key)
三、会话监听器
会话监听器用于监听会话创建、过期及停止事件
import org.apache.log4j.Logger;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.SessionListener;
public class MyShiroSessionListener implements SessionListener {
private Logger log = Logger.getLogger(MyShiroSessionListener.class);
@Override
public void onStart(Session session) {
log.info("----会话创建:"+session.getId());
}
@Override
public void onStop(Session session) {
log.info("----会话停止:"+session.getId());
}
@Override
public void onExpiration(Session session) {
log.info("----会话过期:"+session.getId());
}
}
四、Session DAO
AbstractSessionDAO 提供了 SessionDAO 的基础实现,如生成会话ID等
CachingSessionDAO 提供了对开发者透明的会话缓存的功能,需要设置相应的 CacheManager
MemorySessionDAO 直接在内存中进行会话维护
EnterpriseCacheSessionDAO 提供了缓存功能的会话维护,默认情况下使用 MapCache 实现,内部使用ConcurrentHashMap 保存缓存的会话。
1. 在applicationContext.xml中配置
【提示】sessionID、sessionDAO、sessionManager
2. 在securityManager中配置sessionManager
3. 创建数据表
create table sessions (
id varchar(200),
session varchar(2000),
constraint pk_sessions primary key(id)
) charset=utf8 ENGINE=InnoDB;
【提示】session的持久化可以存储在任何类型的数据库,主要看自己的业务! 建议存储在redis
4. Session DAO具体实现
5. 工具类
四、会话验证
Shiro 提供了会话验证调度器,用于定期的验证会话是否已过期,如果过期将停止会话
出于性能考虑,一般情况下都是获取会话时来验证会话是否过期并停止会话的;但是如在 web 环境中,如果用户不
主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,
Shiro 提供了会话验证调度SessionValidationScheduler
Shiro 也提供了使用Quartz会话验证调度器:QuartzSessionValidationScheduler
会话的配置参考:https://blog.csdn.net/yifansj/article/details/78007231