shiro session 创建与存储(配有源码解析)

最新推荐文章于 2024-04-25 13:56:39 发布
最新推荐文章于 2024-04-25 13:56:39 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenghao_w/article/details/84892817
版权

SecurityManager,安全管理器;

 即所有与安全相关的操作都会与SecurityManager交互;它管理着所有Subject,所有Subject都绑定到SecurityManager,使用shiro的时候,首先都会先初始化SecurityManager,配置文件中配置的是DefaultWebSecurityManager,一直super到SessionsSecurityManager,可以看到session默认为this.sessionManager = new DefaultSessionManager(); 初始化的时候 setSessionManager(new ServletContainerSessionManager());由此可以看出默认情况下,DefaultSecurityManager会将session管理委托给DefaultSessionManager,而DefaultWebSecurityManager则将session管理委托给ServletContainerSessionManager。我们也可以指定sessionmanager.
参考https://www.cnblogs.com/youzhibing/p/9679134.html#_label2

SecurityManager 的类图如下

spring-shiro.xml配置为:

<!-- 定义Shiro安全管理配置 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="systemAuthorizingRealm" />
        <property name="sessionManager" ref="sessionManager" />
        <property name="cacheManager" ref="shiroCacheManager" />
    </bean>

DefaultWebSecurityManager初始化为:

 public DefaultWebSecurityManager() {
        super();
        ((DefaultSubjectDAO) this.subjectDAO).setSessionStorageEvaluator(new DefaultWebSessionStorageEvaluator());
        this.sessionMode = HTTP_SESSION_MODE;
        setSubjectFactory(new DefaultWebSubjectFactory());
        setRememberMeManager(new CookieRememberMeManager());
        setSessionManager(new ServletContainerSessionManager());
    }

如果在xml文件中没有配置sessionManager的话,用默认的ServletContainerSessionManager

通过super,可以看出sessionManager 默认为 DefaultSessionManager(),

public SessionsSecurityManager() {
        super();
        this.sessionManager = new DefaultSessionManager();
        applyCacheManagerToSessionManager();
    }
那么sessionManager的类图如下:

分析了DefaultWebSecurityManager和在其中委托session管理的sessionManager,那么session 创建是何时开始的呢?看下面代码:

红色边框出现的地方是session 创建的地方。

由上图开始。接下来是sessing 创建以及存储的时序图

由上图可知,session的最终创建在SimpleSessionFactory的createSession,返回SimpleSession(),sessionid的创建在EnterpriseCacheSessionDAO的generateSessionId方法中,并在assignSessionId方法里面存储在session中。

那什么时候将sessionid存放在cookie中呢,在AbstractNativeSessionManager的createsession,返回session后onStart()方法然后storeSessionId()将sessionID放在cookie中。

 

session 刷新

AbstractShiroFilter的doFilterInternal方法中updateSessionLastAccessTime(request, response);一直跟进,则会发现在SimpleSession中的touch()犯法

public void touch() {
        this.lastAccessTime = new Date();
    }

session 更新

登录的时候。获取object createSubject()方法中有save()方法中mergePrincipals(),session.setAttribute()中一种跟进,在DefaultSessionManager中的onchange()方法中有update方法,时刻更新sessionId;

session的过期

AbstractNativeSessionManager 的enableSessionValidationIfNecessary判断session的过期,session的过期时间在xml定义。以及轮询时间。

 

 

 

 

 

 

 

 

Hi,Johnson
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
后台管理系统Springboot+Shiro+JWT+Vue
libin372767477的专栏
10-24 1333
项目开发中,后台系统尤为重要,最近就想搞一套能拿来直接使用的后台管理系统。 框架: ShiroShiro作为安全框架,实现登录、登出、身份验证、授权、会话管理。 JWT,Json Web Token负责访问接口时的验证。 Vue,前端框架,因为本身不是前端开发,所以Clone了某位高人在github上的模版。写的非常好,简单易用。https://github.com/PanJiaChen/vue-admin-template 前端代码就是照葫芦画瓢,不过很多地方也googl
手把手教你玩转Shiro(2)
Cs_hnu_scw的博客
01-13 2143
如果没有看第一篇关于Shiro的,可以先看看这篇文章哦,因为是一个前导知识  Shiro前导知识 ,,对于深层次理解会有很好的效果呢!而且本篇也有利用到前面写的知识点哦。~ 一:Shiro的认识        Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 既然shiro将安
关于shiro session创建
09-15 84
http://blog.csdn.net/teamlet/article/details/7781684 转载于:https://my.oschina.net/u/2335171/blog...
shiro 手动创建session_Shiro——强大且易用的Java安全框架(四)
weixin_39885683的博客
11-26 261
Shiro】十五、Thymeleaf整合shiro1、添加依赖2、修改index.html访问页面后会发现“有角色”不显示,“有权限”显示。3、修改配置类在配置类中com.bjsxt.config.ShiroConfig中添加。负责解析thymeleaf中shiro:相关属性。4、修改Realm绑定用户具有的角色和权限,相关数据应该是从数据库中取出。十六、使用注解判断方法是否具有权限执行方法:可...
Shiro详细使用
残影的博客
10-10 1383
Shiro详细使用一、权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权二、什么是Shiro三、Shiro的核心架构3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography四、shiro中的认证4.1 认证4.2 shiro中认证的关键对象 一、权限的管理 1.1 什么是权限管
Shiro框架入门 认证和授权过程实现
iyzhao的博客
07-22 901
1.Shiro安全框架 1Shiro概述 Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。 用户在进行资源访问时,要求系统要对用户进行权限控制,其具体流程如图-1所示: 图-1 2 Shiro概要架构 在概念层面,Shiro 架构包含三个主要的理念,如图-2所示: 图-2 其中: Sub
全程配图超清晰的Springboot权限控制后台管理项目实战第二期(Springboot+shiro+mybatis+redis)
qq_47376720的博客
09-04 333
全程配图超清晰的Springboot权限控制后台管理项目实战第二期(Springboot+shiro+mybatis+redis) 众所周知,作为一个后端新手学习者,通过项目来学习,增长项目经验,是一个非常好的学习途径,所以我就找到了一个个人博客的项目,经过自己的调试和学习,现在已经比较完全的掌握了这个项目的创作过程,和一些细节方面的东西,在这里我把项目源码和项目实例都给出来,并且在后面进行一些细节和整体思路上的详解。 Springboot加Springsceurity实现权限管理系统全程配图超清晰的Spr
2024全新Java学习路线图一条龙(视频+课件+源码资料)
最新发布
码农王也的博客
04-25 1419
互联网浩瀚无际,你能来到这里,是机遇也是缘分,机遇,就像我的标题一样,你找到了一份Java 360度无死角的 Java 学习路线,而缘分让我们相遇,注定给你的学习之路搭上一把手,送你一程。整条线路除了拥有后端整个技术体系外,还涵盖了前端、大数据、云计算、运维等各大领域。在这十八般武艺汇聚全身的同时,这条学习路线也拥有着独有的特色和着重点,比如加入了极为重要且业内稀缺的基本功修炼——六套计算机基础类课程。还有多套Java基础类课程,多维度讲解帮助学习者入门。
2022版史上最牛Java学习路线图(视频教程+配套资料)
程序员日常
07-29 1713
0基础如何学习java?Java要学习哪些是核心内容?自学Java到什么程度可找工作?正在迷茫的你不必在东瞅西逛,自学Java看这一篇就够了!​PS。
Java 学习路线大全,再也不用迷路啦(持续更新)
腾讯全栈-ITCJF
10-14 2662
路线特点 最新,完整一条龙,从入门到入土(⭐ 表示推荐学习) 给出目标、学习建议、关键知识点、最优资源以及各类资源推荐(视频、书籍、文档、项目、工具等) 划分阶段、更有计划,且在最后给出持续学习的方向、探索 Java 程序员发展的无限可能 前言 首先呢,我们要了解 Java 的应用场景和就业方向,看看和自己的学习目的是否一致,目前,Java 的岗位需求多,是后台开发的主流编程语言,功能强大,还是很值得学习的。 阶段 1:Java 入门 目标 培养兴趣、快速上手 前期准备 准备好一款在线、随时随地
Shiro之保存Session到数据库中-yellowcong
12-21 7623
Session统一存放到Mysql数据库中进行管理操作,这样我们就可以通过向操作数据库一样,对session进行操作和处理了。实现的大致步骤是,1、创建Session表;2、创建操作Session表的Mapper,3、创建继承EnterpriseCacheSessionDAO 的Dao,4、配置管理session的Dao到securityManager中,5、配置ehcache.xml
shiro 和 spring boot 的集成
weixin_30564785的博客
07-30 124
1 添加依赖 使用 shiro-spring-boot-web-starter 在 spring boot 中集成 shiro 只需要再添加一个依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter&lt...
shiro源码篇 - shirosession创建,你值得拥有
weixin_30746117的博客
10-08 214
前言   开心一刻     开学了,表弟和同学因为打架,老师让他回去叫家长。表弟硬气的说:不用,我打得过他。老师板着脸对他说:和你打架的那位同学已经回去叫家长了。表弟犹豫了一会依然硬气的说:可以,两个我也打得过。老师:......   路漫漫其修远兮,吾将上下而求索!   github:https://github.com/youzhibing   码云(gitee):https:...
Shiro 框架之登录访问创建session 时的源码解析
nandao158的博客
08-12 515
web项目中业务代码入口创建session,自定义Filter 的实现类 1、业务代码入口: public class CheckSessionFilter implements Filter { Logger logger = LoggerFactory.getLogger(CheckSessionFilter.class); @Override public void init(FilterConfig filterConfig) { }
Spring Shiro基础组件 Session
我家有猫已长成的博客
02-01 336
Spring Shiro基础组件 Session 简介。
shiro 删除用户session_Shiro Session管理——操作session
weixin_28687251的博客
01-14 1145
整体框架介绍image.png我们可以看到这个框架图,我们的整个交互都是与security Manager做交互,而这里面就有一个Session Manager的管理器,Shiro当然内置了实现,我们也可以根据接口拓展其功能,那么下面,我们就来了解一下shiro中关于Session管理的部分内容DefaultWebSessionManager这是一个管理器实现类,是shiro提供的可用的结构。im...
[Blog]ShiroSessiosn创建
weixin_44417042的博客
06-20 182
SecurityManager 安全管理器,所有与安全相关的操作都会与SecurityManager交互(负责与shiro的其他组件进行交互,类似与SpringMVC中的DispatcherServlet) 管理着所有Subject,所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager Shiro使用时会先初始化SecurityManager再往里面注入shiro其他组件 spring-boot-shiro中初始化的是DefaultW
Shrio解析Session过程
RainSun
11-15 793
第一次使用SecurityUtils.getSubject()来获取Subject时 public static Subject getSubject() { Subject subject = ThreadContext.getSubject(); if (subject == null) { subject = (new Su...
shiro 手动创建session_Shiro学习笔记
weixin_39630440的博客
11-26 366
文章目的纯新手,记录一下从0开始学习使用shiro,并且结合手上的demo进行整个完整流程的知识点归纳总结。目前已经实现的功能:整合shiro,完成基本配置,login有什么不对希望多指教。这是一个springboot 2.0 前后端分离项目shiro 是干啥的?Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以...
Shiro源码解析:Subject与Session深度探究
"Shiro源码分析,涉及Subject和Session创建与管理" Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。在深入学习Shiro的过程中,了解其核心组件Subject和Session的工作原理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值