在spring应用中使用shiro框架关于session解析

最新推荐文章于 2022-12-26 14:18:42 发布
最新推荐文章于 2022-12-26 14:18:42 发布
阅读量490 收藏 2
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bsegebr/article/details/124114662
版权

先看shiro过滤器的UML
在这里插入图片描述

已经有cookie保存sessionId的请求场景:
1.请求第一次通过shiro的过滤器 OncePerRequestFilter 时,会把request,response包装成ShiroHttpServletRequest和ShiroHttpServletResponse,并且在请求中设置一个属性标识,作用就是当这个请求再次经过过滤器 OncePerRequestFilter 时,不会再包装请求和响应了.

2.请求第一次通过 OncePerRequestFilter 时,会把请求分到 AbstractShiroFilter 过滤器中,看上面的UML图,然后在AbstractShiroFilter中,有下面代码:

final ServletRequest request = this.prepareServletRequest(servletRequest, servletResponse, chain);
final ServletResponse response = this.prepareServletResponse(request, servletResponse, chain);
Subject subject = this.createSubject(request, response);
subject.execute(new Callable() {
    public Object call() throws Exception {
        AbstractShiroFilter.this.updateSessionLastAccessTime(request, response);
        AbstractShiroFilter.this.executeChain(request, response, chain);
        return null;
    }
});

上面的代码分析:
第一行是包装servlet规范的request变成ShiroHttpServletRequest
第二行是包装servlet规范的response变成ShiroHttpServletResponse

第三行是创建当前请求的subject(即当前shiro的subject),有sessionId就创建包含sessionId的subject,没有就创建没有包含sessionId的subject
剩下的就是当前的subject执行shiro配置的过滤器链,这些shiro链中的过滤器,都是继承OncePerRequestFilter 的,所以当前的请求会再次通过OncePerRequestFilter ,当这个请求再次通过OncePerRequestFilter 时,已经在请求中设置了一个属性标识,通过判断这个属性标识,不会再次包装请求和响应,即不会再次包装ShiroHttpServletRequest和ShiroHttpServletResponse

3.回归主题,当执行

Subject subject = this.createSubject(request, response);

这句代码跟踪发现,请求会到 DefaultWebSessionManager 类中,就是session的管理器
在这个类中方法

private Serializable getReferencedSessionId(ServletRequest request, ServletResponse response) {
	String id = this.getSessionIdCookieValue(request, response);
	if (id != null) {
	    request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, "cookie");
	}

上面代码就是从请求过来的cookie中获取sessionId
shiro可以配置自己的cookie模版,把这个模版返回给浏览器,然后当请求过来时,根据这cookie模版的名字获取值sessionId
获取sessionId后,就在请求中设置属性,说请求中的sessionId,是从cookie中获取的,不是新创建的
请求再次设置如下两个属性,说是shiro请求的sessionId,和这个sessionId是有效的

if (id != null) {
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
}

4.从cookie中获取了sessionId后,shiro是怎么获取保存的session的
注意:和session相关的操作,要找shiro中session管理器,因为session管理器是管理session创建,获取,删除的,所以一定要有这样的意识
在DefaultWebSessionManager 的父类中extends DefaultSessionManager
发现如下代码

Session s = this.retrieveSessionFromDataSource(sessionId);


protected Session retrieveSessionFromDataSource(Serializable sessionId) throws UnknownSessionException {
	return this.sessionDAO.readSession(sessionId);
}

可知是找sessionDAO,根据sessionId获取session对象的
sessionDAO是session访问对象,将session保存在缓存中,而session所在的缓存可以是redis或其他

5.shiro框架会先使用sessionDAO根据sessionId获取session,后再调用sessionDAO的create(session)方法,再次保存到缓存中,即相当于更新了session的有效期,访问一次就更新一次

public interface SessionDAO {
    Serializable create(Session var1);

    Session readSession(Serializable var1) throws UnknownSessionException;

    void update(Session var1) throws UnknownSessionException;

    void delete(Session var1);

    Collection<Session> getActiveSessions();
}

一开始访问应用,还没有创建session场景
1.一开始访问shiro框架时,没有cookie,没有sessionId
shiro框架也会看有没有cookie,有没有sessionId

注意:补充重要知识
在请求第一次通过 OncePerRequestFilter 时,会把请求分到 AbstractShiroFilter 过滤器中,
进入

final ServletRequest request = this.prepareServletRequest(servletRequest, servletResponse, chain);
final ServletResponse response = this.prepareServletResponse(request, servletResponse, chain);
Subject subject = this.createSubject(request, response);
subject.execute(new Callable() {
    public Object call() throws Exception {
        AbstractShiroFilter.this.updateSessionLastAccessTime(request, response);
        AbstractShiroFilter.this.executeChain(request, response, chain);
        return null;
    }
});

上面代码除包装request,response和创建subject外,还更新session最新访问时间(如果有)
开始执行shiro中的过滤器链

AbstractShiroFilter.this.executeChain(request, response, chain);

上面这句代码是shiro过滤器链执行的开始,具体怎么做看代码

protected void executeChain(ServletRequest request, ServletResponse response, FilterChain origChain) throws IOException, ServletException {
   FilterChain chain = this.getExecutionChain(request, response, origChain);
   chain.doFilter(request, response);
}

看this.getExecutionChain

protected FilterChain getExecutionChain(ServletRequest request, ServletResponse response, FilterChain origChain) {
    FilterChain chain = origChain;
    FilterChainResolver resolver = this.getFilterChainResolver();
    if (resolver == null) {
        log.debug("No FilterChainResolver configured.  Returning original FilterChain.");
        return origChain;
    } else {
        FilterChain resolved = resolver.getChain(request, response, origChain);
        if (resolved != null) {
            log.trace("Resolved a configured FilterChain for the current request.");
            chain = resolved;
        } else {
            log.trace("No FilterChain configured for the current request.  Using the default.");
        }

        return chain;
    }
}

上面代码就是获取FilterChainResolver ,这个类在shiro框架启动时就把shiro配置的所有属于shiro的每个路径对应的过滤器链集中存放起来,再把tomcat的过滤器链保存shiro过滤器链resolved中,等执行完shiro的过滤器链后,再执行tomcat过滤器链

shiro的过滤器链是 ProxiedFilterChain

ProxiedFilterChain implements FilterChain

2.回归正题,当前请求通过当前请求路径对应的shiro过滤器链集中的一个链后
就到了servlet,即springmvc的dispatcherServlet
在接下来执行中
最终是javax.servlet.http.HttpServletRequestWrapper包装类中,调用ShiroHttpServletRequest中的
在通过shiro过滤器时,就包装了request为ShiroHttpServletRequest

public HttpSession getSession() {
        return this.getSession(true);
}
Session shiroSession = this.getSubject().getSession(create);//由shiro的subject创建
this.session = new ShiroHttpSession(shiroSession, this, this.servletContext);

ShiroHttpSession 是继承 servlet规范的 HttpSession 的,这里将shiro的Session包装,
shiro最后调用SessionDAO保存session
这样传到controller层的时候,使用的就是shiro的Session

bsegebr
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot整合shiro安全框架过程解析
08-25
主要介绍了spring boot整合shiro安全框架过程解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Shirosession和cookie
m0_67265464的博客
08-24 1850
注意:在使用SessionListenerAdapter来监听session生命周期时,onStart()方法不能作为用户登陆日志的开始时间节点,因为session的创建是在第一次请求服务器创建的,而不是用户登陆时创建的,所以不要搞混;cookie都是key-value类型的,key的值是可以改变的,这点看下源码就可以知道,存储sessionid的cookie的key的值默认为JSESSIONID.4.此时我们在浏览器看下保存的cookie值,和服务端sessionsessionid时一样的。
SpringBoot 整合 Shiro 实现动态权限加载更新+ Session 共享 + 单点登录
z_ssyy的博客
12-26 1090
一.说明二.项目环境二.编写项目基础类三.编写Shiro核心类四.实现权限控制五.POSTMAN测试六.项目源码。
Shiro自定义session会话管理
NullOK的博客
01-29 1607
原文博客地址 此图非常重要!!!镇楼 0x001 重写SessionManager shiro提供了三种默认实现: DefaultSessionManager: 用于java se 环境 ServletContainerSessionManager:默认使用的实现,Servlet容器管理 DefaultWebSessionManager:自己维护 重写SessionManager需要继承Def...
springboot + shiro 配置session管理
快乐的小三菊的博客
05-27 5070
提供了完整的企业级会话管理功能,不用依赖于底层容器(如等),不管是还是环境都可以使用,还提供了。即直接使用的会话管理可以直接替换如容器的会话管理。
springmvc集成shiro后,session、request姓汪还是姓蒋?
weixin_34150830的博客
06-18 370
2019独角兽企业重金招聘Python工程师标准>>> ...
高级程序员必看之shiro框架应用
02-24
使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。简单介绍完毕shiro的作用后,接下来我们就直接进入shiro授权的入门,由于我们学习shiro重点是在...
spring boot整合redis实现shiro的分布式session共享的方法
08-28
本篇文章主要介绍了spring boot整合redis实现shiro的分布式session共享的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
shiro框架在项目应用
11-09
shiro框架在项目应用,适用于shiro框架的入门学习以及在项目的基本应用
spring cloud + shiro集成方案
01-15
手把手教你集成spring cloud + shiro微服务框架;用最少的工作量,改造基于shiro安全框架的微服务项目,实现spring cloud + shiro 框架集成。博客地址:...
Spring 应用集成 Apache Shiro的方法
08-27
主要介绍了Spring 应用集成 Apache Shiro的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring框架整合Shiro
08-31
Spring框架整合Shiro,实现auth身份识别,鉴权管理功能。
Spring Boot 整合 Shiro+Thymeleaf过程解析
08-25
主要介绍了Spring Boot 整合 Shiro+Thymeleaf过程解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
基于spring redis的shiro session共享
05-27
shiro 框架没有用tomcat的session,而是重新实现了一套。所以系统一旦引入shiro后,采用传统的tomcat session共享机制是无效的,必须采用面向shirosession共享。 网上针对“shiro session共享”的文章比较多,...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
最新发布
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Shiro重构:整合token和cookie实现登陆及验证
July_whj
10-16 3854
Shiro重构:整合token和cookie实现登陆及验证 认证服务开始只支持PC端的cookie认证方式,因业务需要,要对小程序、H5、App等移动端设备进行认证,这里复用认证服务。由于小程序不支持cookie认证方式,采用token认证方式,这里对认证服务进行重构。认证服务主要是有Shiro框架研发,我们简单熟悉下Cookie的认证流程。 Shiro的cookie认证流程我们简单说明下, shiro是在其默认的会话管理器DefaultWebSessionManager获取请求携带过来的cooki
shiro后端分离的思路和部分实践
qq_38254467的博客
09-06 5166
后端分离的优点:1:最大的好处就是前端JS可以做很大部分的数据处理工作,对服务器的压力减小到最小2:后台错误不会直接反映到前台,错误接秒较为友好3:由于后台是很难去探知前台页面的分布情况,而这又是JS的强项,而JS又是无法独立和服务器进行通讯的。所以单单用后台去控制整体页面,又或者只靠JS完成效果,都会难度加大,前后台各尽其职可以最大程度的减少开发难度。 思考:前后端分离我们会遇到哪些问题? ...
解决shiro分布式session读取redis次数过多的问题
穷水叮咚的博客
09-12 2362
重写 DefaultWebSessionManager 的 retrieveSession()方法。在 Web 下使用 shiro 时这个 sessionKey 是 WebSessionKey 类型的,这个类有个我们很熟悉的属性:servletRequest。直接把 session 对象怼进 request 里去!那么在单次请求周期内我们都可以从 request session 了,而且请求...
Java sessionID 一直变化的解决方案
热门推荐
qq_33733799的博客
05-14 1万+
最近在开发一个项目,测试的人员给我说IOS的登录不上去,由于我和他不是一起的,不能面对面的调试,我就自己找问题喽。 没成想正让我找到了。 问题一: 使用IE浏览器访问的时候sessionID一直变化,其他的浏览器没问题。 找了半天原因,发现IE登录的时候路径一样的会自动缓存数据,压根就不进你的后台,直接就是没登录,sessionID一直变化也是正常的,这个问题在参数后面加个时间戳就解决了。...
torch.save(model.state_dict(), r'./saved_model/' + str(args.arch) + '_' + str(args.batch_size) + '_' + str(args.dataset) + '_' + str(args.epoch) + '.pth') # 计算GFLOPs flops = 0 for name, module in model.named_modules(): if isinstance(module, torch.nn.Conv2d): flops += module.weight.numel() * 2 * module.in_channels * module.out_channels * module.kernel_size[ 0] * module.kernel_size[1] / module.stride[0] / module.stride[1] elif isinstance(module, torch.nn.Linear): flops += module.weight.numel() * 2 * module.in_features start_event = torch.cuda.Event(enable_timing=True) end_event = torch.cuda.Event(enable_timing=True) start_event.record() with torch.no_grad(): output = UNet(args,3,1).to(device) end_event.record() torch.cuda.synchronize() elapsed_time_ms = start_event.elapsed_time(end_event) gflops = flops / (elapsed_time_ms * 10 ** 6) print("GFLOPs: {:.2f}".format(gflops)) return best_iou, aver_iou, aver_dice, aver_hd, aver_accuracy, aver_recall, aver_precision, aver_f1score, aver_memory, fps, parameters, gflops出现错误 best_iou,aver_iou,aver_dice,aver_hd, aver_accuracy, aver_recall, aver_precision, aver_f1score, aver_memory, FPS, parameters, gflops = val(model,best_iou,val_dataloader) File "D:/BaiduNetdiskDownload/0605_ghostv2unet _tunnelcrack/ghostunet++/UNET++/main.py", line 143, in val return best_iou, aver_iou, aver_dice, aver_hd, aver_accuracy, aver_recall, aver_precision, aver_f1score, aver_memory, fps, parameters, gflops UnboundLocalError: local variable 'gflops' referenced before assignment怎么修改
06-08
这个错误是因为在函数定义了 `gflops` 变量,但是在函数返回时并没有为它赋值,导致出现了未赋值的情况。可以将 `gflops` 变量在函数一开始就赋一个初始值,比如设为0。代码修改如下: ``` def val(model, best_iou, val_dataloader, device): model.eval() aver_iou = 0 aver_dice = 0 aver_hd = 0 aver_accuracy = 0 aver_recall = 0 aver_precision = 0 aver_f1score = 0 aver_memory = 0 fps = 0 parameters = sum(param.numel() for param in model.parameters()) gflops = 0 # 在这里为 gflops 赋一个初始值 with torch.no_grad(): for step, (images, labels) in enumerate(val_dataloader): images = images.to(device) labels = labels.to(device) outputs = model(images) iou, dice, hd, accuracy, recall, precision, f1score = eval_metrics(outputs, labels) memory = torch.cuda.max_memory_allocated() / 1024.0 / 1024.0 aver_iou += iou aver_dice += dice aver_hd += hd aver_accuracy += accuracy aver_recall += recall aver_precision += precision aver_f1score += f1score aver_memory += memory aver_iou /= len(val_dataloader) aver_dice /= len(val_dataloader) aver_hd /= len(val_dataloader) aver_accuracy /= len(val_dataloader) aver_recall /= len(val_dataloader) aver_precision /= len(val_dataloader) aver_f1score /= len(val_dataloader) aver_memory /= len(val_dataloader) fps = len(val_dataloader.dataset) / (time.time() - start_time) # 统计模型的GFLOPs flops = 0 for name, module in model.named_modules(): if isinstance(module, torch.nn.Conv2d): flops += module.weight.numel() * 2 * module.in_channels * module.out_channels * module.kernel_size[0] * module.kernel_size[1] / module.stride[0] / module.stride[1] elif isinstance(module, torch.nn.Linear): flops += module.weight.numel() * 2 * module.in_features start_event = torch.cuda.Event(enable_timing=True) end_event = torch.cuda.Event(enable_timing=True) start_event.record() with torch.no_grad(): output = UNet(args, 3, 1).to(device) end_event.record() torch.cuda.synchronize() elapsed_time_ms = start_event.elapsed_time(end_event) gflops = flops / (elapsed_time_ms * 10 ** 6) print("GFLOPs: {:.2f}".format(gflops)) return best_iou, aver_iou, aver_dice, aver_hd, aver_accuracy, aver_recall, aver_precision, aver_f1score, aver_memory, fps, parameters, gflops ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值