shiro使用(简单sesiion使用)

最新推荐文章于 2022-04-07 16:40:06 发布
最新推荐文章于 2022-04-07 16:40:06 发布
阅读量489 收藏 1
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dghkgjlh/article/details/88901350
版权

既然要做,就做的细致一点,对得起自己!

在shiro中配置session,普通思想:配置session的过期时间,session到期之后,要求用户再次发起登录请求。进阶思想:如果用户一直不关闭浏览器,或者过早的关闭了浏览器,那么就要相应的更新session时间和定期清理这些过期session。高级思想:在分布式系统中,如何在多个系统之间做到session的同步。目前最后一步还没有配置。

1.综上所述,应该有这么几个东西需要配置。定期检查session是否过期的验证器;要对所有session进行管理,需要给session排序,那么需要一个sessionID生成器;同时将sessionID存储在cookie中,以便下次访问服务端根据进行session的比对。

2.sessionID生成器

<!--sessionID生成器-->
    <bean id="sessionIdGenerator" class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator"/>

并且配置sessionDao,sessoinDao是直接对session进行操作的地方。

<!--sessionDAO是创建,更新session,删除过期session的地方-->
    <bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO">
        <!--sessionID生成器-->
        <property name="sessionIdGenerator" ref="sessionIdGenerator"/>
        <!--session缓存的名字,随便设置-->
        <property name="activeSessionsCacheName" value="shiroSessionCache"/>
    </bean>

3.将sessionID保存在cookie中

<!--将sessionID保存在cookie中-->
    <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <constructor-arg value="sid"/>
        <property name="httpOnly" value="true"/>
        <property name="maxAge" value="60000"/>
    </bean>

4.把session交给sessionManager管理,因为shiro是直接管理sessionManager的

 <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <!--1.加这个配置因为,如果不加这个设置,那么登录之后,存在一个session,关闭当前页签,再重新打开一个页签,-->
        <!--就会发现url后面跟着一个jsesessionid,这样第一对于url不美观,第二直接把jsesessionid暴露出来,也不太安全。-->
        <!--所以将下面这个参数设置为false即可-->
        <!--出现这个问题是因为在打开页面的时候,代码中直接进行过redirect重定向,就会出现上述问题,如果不是重定向不清楚是否会出现这个问题-->
       <property name="sessionIdUrlRewritingEnabled" value="false"/>
        <!--过期时间,默认为30分钟-->
        <property name="globalSessionTimeout" value="60000"/>
        <!--删除过期的session-->
        <property name="deleteInvalidSessions" value="true"/>
        <!--设置管理session的各个组件-->
        <property name="sessionValidationSchedulerEnabled" value="true"/>
        <property name="sessionValidationScheduler" ref="sessionValidationScheduler"/>
        <property name="sessionIdCookieEnabled" value="true"/>
        <property name="sessionIdCookie" ref="sessionIdCookie"/>
        <property name="sessionDAO" ref="sessionDAO"/>
    </bean>

5.补上session会话管理的验证器,这里使用的shiro和quartz集成的,不要忘记在pom文件中引入。

<!--配置会话验证调度器,用来扫描失效的session-->
    <bean id="sessionValidationScheduler" class="org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler">
        <property name="sessionManager" ref="sessionManager"/>
        <!--设置扫描失效session的时间间隔,设置为和session的时间一样,当session失效时候,直接被扫描到-->
        <property name="sessionValidationInterval" value="60000"/>
    </bean>

6.将sessionManager添加在security中

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!--1.在进入securityManager之后,执行权限验证和授权操作都是在realm中进行,所以这里要引入我们自定义的realm-->
        <property name="realm" ref="customRealm"/>
        <!--2.配置登录时的记住我/下次自动登录选项-->
        <property name="rememberMeManager" ref="cookieRememberMe"/>
        <!--3.配置session管理的相关配置-->
        <property name="sessionManager" ref="sessionManager"/>
    </bean>

这样即可实现管理session。

注意:我本人的代码中登录的时候有redirect重定向,所以会出现在地址栏url后面会出现jsesessionid,如下图:

图片中这样

这样是及其危险的,所以在第4步,第一个配置了sessionIdUrlRewritingEnabled设置为false,就不会出现这种情况。

JackSparrow414
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro 使用手册(二) Shiro 认证
01-09
一、Shiro认证过程 1、收集实体/凭据信息 代码如下://Example using most common scenario of username/password pair:UsernamePasswordToken token = new UsernamePasswordToken(username, password);//”...
shiro使用简单Demo
11-01
基于url和注解的权限管理shiro简单易用的例子,好用易上手,适合初次接触shiro的人员,使用中如有疑问,可以留言,我修改了积分,只需要1积分便可下载,目的分享资源,不为其他。
升级shiro对quartz 2的支持
魏晋风范
11-17 6856
缘由:在使用shiro时,如果Quartz 为Quartz 2的版本,则抛出异常java.lang.InstantiationError: org.quartz.SimpleTrigger。原因是默认的shiro-quartz1.2.3中的实现是针对quartz1.6版本的实现(详细源码请查看org.apache.shiro.session.mgt.quartz.QuartzSessionVali
shiro使用(使用token)
特别享受思考问题的过程
05-12 2万+
既然要做,就做的细致一点,对得起自己! 为什么使用token,请看这里 解决思路: 1.增加一个过滤器,对每一个请求都进行token的校验。如果为登录请求,则可以放过。 2.将过滤器设置进shiro中。 第一步:实现自定义ShiroFilter.这里选择继承FormAuthenticationFilter,至于为什么不继承AuthenticatingFilter,后面会解释。 从当前s...
shiro——session会话管理
dgh112233的博客
08-23 1万+
目录 1. 会话 1.1 Session 接口 1.2 SessionManager 会话管理 1.3 SessionListener 会话监听 2. 会话持久化 2.1 SessionDAO接口 2.2AbstractSessionDAO类 2.3 CachingSessionDAO 类 2.4 EnterpriseCacheSessionDAO 类 2.5 Memo...
关于session的失效时间和过期
热门推荐
robin-fan的博客
10-23 14万+
Session基本是在我们做项目的时候,使用频率非常高的。 1、session类似于map是键值对的形式存在的。通过session.getAttribute("name");获取对应的name参数信息。 2、2.session的过期时间是从session不活动的时候开始计算,如果session一直活动,session就总不会过期,从该Session未被访问,开始计时; 一旦Session被访问...
springmvc+shiro认证框架配置
bjwfm2011的专栏
03-05 457
springmvc+shiro认证框架配置1,在web.xml中配置fiter,如下所示 &lt;!-- Apache Shiro --&gt; &lt;filter&gt; &lt;filter-name&gt;shiroFilter&lt;/filter-name&gt; &lt;filter-class&gt;org.springframework.web.filter.De...
springboot使用shiro配置多个过滤器和session同步案例
qq_41358574的博客
10-24 4384
案例代码来自ruoyi管理系统的shiro部分 知识点介绍 AccessControlFilter AccessControlFilter提供了访问控制的基础功能;比如是否允许访问/当访问拒绝时如何处理等: isAccessAllowed:表示是否允许访问;mappedValue就是[urls]配置中拦截器参数部分,如果允许访问返回true,否则false; onAccessDenied:表示当访问拒绝时是否已经处理了;如果返回true表示需要继续处理;如果返回false表示该拦截器实例已经处理了,将直接返
shiro中如何检测session失效、退出等事件
m0_67401746的博客
04-07 2344
shiro中如何检测session失效、退出等事件 前言 我们知道shiro是一个优秀的web权限管理的优秀框架,shiro中实现了对用户登录、资源访问控制等功能,使用shiro能够让我们的应用web系统更加安全,同时降低了自己开发一套权限管理系统的代价;本篇文章想向读者介绍的是我们如何在使用shiro框架时,实现对用户session登录、登出等事件的监听,以便应用系统更好的实现对用户事件的管理。 一、shiro中的session是什么? 首先我们要明确shiro中的session和传统的httpSessi
Hibernate 二级缓存
chenbowenleave的博客
09-08 190
Hibernate 二级缓存 提高程序的性能 关系型数据库:数据与数据之间存在关系(联系)的数据库 mysql/Oracle、sqlserver 非关系型数据库:数据与数据之间是不存在关系的,key-value 1、基于文件存储的数据库:ehcache 2、基于内存存储的数据库:redis、memcache 3、基于文档存储的数据库:mongodb 什么样的数据需要缓存 很少被修改或根本不改的数据...
【笔记】shiro中的session设置:
lans_sl的博客
05-19 1481
1. 导入依赖包 org.apache.shiro shiro-guartz 版本 commons-collections commons-collections 版本 2. 修改spring-shiro.xml文件 追加securityManager的
shiro 删除用户session_Shiro Session管理——操作session
weixin_28687251的博客
01-14 1099
整体框架介绍image.png我们可以看到这个框架图,我们的整个交互都是与security Manager做交互,而这里面就有一个Session Manager的管理器,Shiro当然内置了实现,我们也可以根据接口拓展其功能,那么下面,我们就来了解一下shiro中关于Session管理的部分内容DefaultWebSessionManager这是一个管理器实现类,是shiro提供的可用的结构。im...
Apache Shiro 使用手册(一) Shiro架构介绍
09-15
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能
shiro使用方法.ppt
07-19
SecurityManager:它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务 Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说...
shiro使用(增强版token,JWT和shiro结合使用)
特别享受思考问题的过程
05-25 3万+
既然要做,就要做的细致一点,对得起自己! 上一篇文章已经使用自己的最最最简单的token来完成token的校验,因为当时了解到有JWT这个token,而且现在用的也是比较多,所以就讲shiro和JWT做了结合。 上一篇文章最后提到的各种目前未能解决问题,JWT都提供了解决方案。 解决思路: 将上一篇文章普通我自己写的token使用JWT替换一下即可,整体思路还是没变。 第一步:编写一个J...
shiro使用(简单记住我/下次自动登录流程)附:cookie内容为deleteme的最终解决方法
特别享受思考问题的过程
03-26 1万+
既然要做,就做的细致一点,对得起自己! 写在前面:学过JSP的都知道,这种实现的方式就是cookie,就够了。 配置shiro.xml,配置cookie. 1.配置cookie的名字,存活时间以及其他 <bean id="cookieRememberMe" class="org.apache.shiro.web.servlet.simpleCookie"> <con...
shiro使用(使用token预热,为什么要使用token)
特别享受思考问题的过程
05-05 8011
既然要做,就做的细致一点,对得起自己! 常见问题:1.是否思考过传统web项目是如何进行请求合法性的验证?请看第一部分 2.是否认真思考过token和Session相比真正的优势在哪里?请看简单总结 3.使用token的正确姿势是什么?请看问题思考 第一部分:传统web(前后端没有分离的时代)项目是如何保证服务器接收的请...
自定义实现OAuth2.0 授权码模式
特别享受思考问题的过程
12-15 4174
文章目录OAuth2.0 授权码模式 实践依赖知识术语授权码流程认证服务器拉起请求用户授权页面用户手动授权提交授权、生成code下发Token第三方应用收到code并请求Token访问受保护的资源项目结构项目部署项目完整代码相关文章 OAuth2.0 授权码模式 实践 本篇文章不适合作为授权码模式的入门文章来阅读,适合想要自己实现授权码模式或体验授权码模式的开发者阅读 依赖知识 RestEasy nimbus-jose-jwt JPA CDI javax.security 术语 Resource Ow
shiro使用(密码加密以及加盐,附:加盐或者加密之后认证不通过的靠谱解决方案)
特别享受思考问题的过程
04-20 4044
既然要做,就做的细致一点,对得起自己! 一个应用最基本的职责就应该保护用户信息的安全,至于为什么登录密码或者相关的密码要加密,不再赘述。 前台新增用户时,用户设置登录名和密码,shiro对用户输入的密码进行加密处理,由于最近在搞Springboot,所以以后shiro相关的配置都会以在springboot中的形式展示。 常见问题:1.如果在加密时,发现数据库里的密码还是没有加密成功,还是明文...
shiro使用token
最新发布
10-14
Shiro可以使用token进行身份验证和授权。具体来说,可以使用JWT(JSON Web Token)作为token进行身份验证和授权。JWT是一种基于JSON的开放标准,用于在各方之间安全地传输信息。它可以包含用户的身份信息和权限信息,并使用签名进行验证,以确保信息的完整性和真实性。 在使用Shiro进行token身份验证和授权时,需要进行以下步骤: 1. 创建一个JWT token,并将用户的身份信息和权限信息加入到token中。 2. 将token发送给客户端。 3. 客户端在每次请求时将token发送给服务器。 4. 服务器使用Shiro进行token验证,并根据token中的身份信息和权限信息进行授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值