007-shiro的会话管理

最新推荐文章于 2024-07-19 15:22:53 发布
最新推荐文章于 2024-07-19 15:22:53 发布
阅读量507 收藏
点赞数
分类专栏: 人在江湖之shiro详解 文章标签: shiro session cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forlinkext/article/details/115867594
版权

注意:阅读本篇需要上一篇的相关代码与设置

会话过期时间设置

默认会话管理器设置

我们的Demo1中的DefaultSecurityManager默认使用的是DefaultSessionManager,我们可以使用如下方式来设置会话过期时间

DefaultSessionManager sessionManager = new DefaultSessionManager();
sessionManager.setGlobalSessionTimeout(1000);// 单位毫秒

web应用设置

web应用中(参考上一篇springboot的整合代码)我们使用的是DefaultWebSecurityManager,其使用的默认SessionManager是ServletContainerSessionManager,此将session的管理委派给运行时Servlet容器(如:tomcat、jetty、jboss等,我们上一篇是springboot自带的tomcat)。其会话过期的设置跟Servlet容器一致。我们可以如下设置我们的上一篇示例的会话过期时间:

# application.properties文件设置会话过期时间(单位s秒、m分)
server.servlet.session.timeout=30s

其他情况(直接部署到容器,请自行查阅对应容器的配置)

使用DefaultWebSessionManager替代web默认的会话管理器

在ShiroConfig配置代码中修改代码如下:

	@Bean
    public SecurityManager securityManager(Realm realm) {
        // 注意:这里的DefaultWebSecurityManager和我们之前的Demo使用的DefaultSecurityManager有区别
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 修改web环境下的默认sessionManager
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setGlobalSessionTimeout(5*60*1000);// 5分钟
        securityManager.setSessionManager(sessionManager);

        log.error("shiro SessionManager:{}",securityManager.getSessionManager());
        securityManager.setRealm(realm);
        return securityManager;
    }

这里我们设置的过期时间为5分钟,我们上面设置的容器session过期时间为30s。你尝试一下就会发现,30s到时候session并没有过期,5分钟后才会过期。
这意味着我们通过DefaultWebSessionManager来实现sessionManager可以避免依赖容器的session管理,来提高我们代码的可移植性。

会话监听

sessionManager默认会话监听器列表为空,我们可以实现SessionListener来监听会话。SessionListener接口的定义如下:

package org.apache.shiro.session;

public interface SessionListener {
    void onStart(Session var1);

    void onStop(Session var1);

    void onExpiration(Session var1);
}

什么简单不是吗,我想不用多做解释。
我们自定义监听器后,通过sessionManager对象即可设置加入我们自定义的监听器。

会话的存储

  1. 每当创建或更新会话时,其数据都需要保存到存储位置,以便应用程序稍后可以访问它。
  2. 当会话无效或长时间不使用时,需要将其从存储中删除
  3. 创建/读取/更新/删除(CRUD)操作会话的shiro组件为SessionDAO,通过实现SessionDAO我们可以将会话存储到任意我们想要的地方(数据库、本地缓存、EHCache(shiro有现成的实现,引入shiro-ehcache-.jar即可,本教程不做讲解)、redis缓存等)

SessionDAO接口定义如下:

package org.apache.shiro.session.mgt.eis;

import java.io.Serializable;
import java.util.Collection;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.UnknownSessionException;

public interface SessionDAO {
	// 创建session
    Serializable create(Session var1);

	// 读取session
    Session readSession(Serializable var1) throws UnknownSessionException;
	// 更新session
    void update(Session var1) throws UnknownSessionException;
	// 删除session
    void delete(Session var1);
	// 当前活跃的session列表
    Collection<Session> getActiveSessions();
}

SessionDAO的继承结构图如下

在这里插入图片描述

DefaultSessionManager默认使用的是MemorySessionDAO(SessionDAO是SessionManager的一个属性),内部通过ConcurrentHashMap实现内存存储。也就是说,我们的代码目前为止,尚不支持集群下的session认证,因为每个session是存在单机内存中的。此问题以及自定义SessionDAO我们后面再提。

自定义会话ID

每当创建新会话时,Shiro的SessionDAO实现都使用内部SessionIdGenerator组件来生成新的Session ID。生成ID后,将其分配给新创建的Session实例。
默认SessionIdGenerator值为a JavaUuidSessionIdGenerator,它String基于Java生成ID UUIDs。
我们也可以自定义SessionIdGenerator,只需实现SessionIdGenerator接口即可。

SessionIdGenerator继承关系

在这里插入图片描述

SessionIdGenerator接口定义如下

package org.apache.shiro.session.mgt.eis;

import java.io.Serializable;
import org.apache.shiro.session.Session;

public interface SessionIdGenerator {
    Serializable generateId(Session var1);
}

JavaUuidSessionIdGenerator实现如下

package org.apache.shiro.session.mgt.eis;

import java.io.Serializable;
import java.util.UUID;
import org.apache.shiro.session.Session;

public class JavaUuidSessionIdGenerator implements SessionIdGenerator {
    public JavaUuidSessionIdGenerator() {
    }

    public Serializable generateId(Session session) {
        return UUID.randomUUID().toString();
    }
}

SessionIdGenerator是对应的SessionDAO的一个属性,如果UUID无法满足你的需求,你可以自定义SessionIdGenerator。

会话过期验证

正常情况下,如果用户操作了logout,会话将会清除,每次会话操作将会更新会话。但特殊情况下,如:用户登录操作之后,没有logout而长时间处于会话中,期间没有任何的主动操作,到了会话过期时间之后,由于没有主动的操作,会话将不会删除。但如果不定期删除无效的、长时间不操作的会话,我们的会话存储空间将会占满。在shiro中SessionValidationScheduler负责定期验证会话,以确保在必要时进行清理。

SessionValidationScheduler默认实现是ExecutorServiceSessionValidationScheduler

默认情况下,此实现将每小时执行一次验证。您可以通过指定的新实例ExecutorServiceSessionValidationScheduler并指定其他间隔(以毫秒为单位)来更改验证发生的速率

[main]
...
sessionValidationScheduler = org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler
# Default is 3,600,000 millis = 1 hour:
sessionValidationScheduler.interval = 3600000

securityManager.sessionManager.sessionValidationScheduler = $sessionValidationScheduler

禁用会话验证

在某些情况下,您可能希望完全禁用会话验证,因​​为您已经在Shiro的控制范围之外设置了一个过程来为您执行验证。例如,也许您正在使用企业缓存,并依靠缓存的“生存时间”设置来自动清除旧会话。或者,也许您已经设置了cron作业来自动清除自定义数据存储。在这些情况下,您可以关闭会话验证计划:

[main]
...
securityManager.sessionManager.sessionValidationSchedulerEnabled = false

禁用无效的会话删除

某些应用程序可能不希望Shiro自动删除会话。例如,如果某个应用程序提供了一个SessionDAO支持可查询数据存储的,则应用程序团队可能希望在某个时间段内可以使用旧的或无效的会话。这将允许团队对数据存储区运行查询,以查看例如用户在上周创建了多少会话,或者用户会话的平均持续时间,或类似的报告类型查询。

[main]
...
securityManager.sessionManager.deleteInvalidSessions = false

注意:如果禁用无效的会话删除,可能造成存储session的空间占满的问题。请谨慎使用改功能。

上一篇:006-springboot整合shrio
下一篇:008-shiro使用token认证

没事儿写两篇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springboot-shiro权限管理系统.zip
07-05
Shiro则是Apache组织提供的一个强大且易用的安全管理框架,它能很好地处理用户的身份认证、授权和会话管理。当SpringBoot与Shiro相结合时,可以构建出高效、灵活的权限管理系统。本篇文章将深入探讨"springboot-...
session管理(15毫秒没有操作就退出)
sharesb的博客
09-26 531
可以粗略的理解为认证信息,是放在session中的,可以手动新建session,设置session过期时间,这样就实现了用户登录后,多长没有进行操作,就自动退出登录。1.需要自定义session管理器(15毫秒没有操作就退出)2.在securitymanger中绑定这个session
springboot+shiro中自定义session过期时间
ldcaws的专栏
08-12 5222
在springboot工程中,使用shiro作为权限框架,并采用redis来管理session时,如何自定义session过期时间
Shiro 入门教程 - Shiro 会话管理
最新发布
smart_an的专栏
07-19 735
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
shiro自定义session过期时间
m0_67394006的博客
04-07 2250
使用shiro权限框架,并使用redis来管理session时,自定义session有效时间,配置如下: 1:sessionManager.setGlobalSessionTimeout(90*60*1000); 2: redisSessionDAO.setExpire(90*60); 如上两个时间一个是session会话时间,一个是redis存储的session的有效时间。 其它处的session配置时效都不用管,以上面两个配置为最终决定session有效期。 ...
shiro默认session设置永不超时
nly19900820的博客
11-14 646
Shiro默认情况下session是有超时时间的,而不是永不超时。默认的超时时间是30分钟,可以通过修改Shiro的配置文件来更改超时时间。如果想要让session永不超时,可以将超时时间设置为一个很大的值,例如Integer.MAX_VALUE。
shiroshiro配置session会话过期时间
Meditation_Crazy
03-24 1111
前言 转载自:[https://blog.csdn.net/qq_42944520/article/details/88027178] 代码 加上这块代码即可 // 配置org.apache.shiro.web.session.mgt.DefaultWebSessionManager(shiro session管理) @Bean public DefaultWebSessionManager getDefaultWebSessionManager() { DefaultWebSessionMan.
springboot-shiro
10-18
此外,Shiro还提供了Session管理功能,可以方便地实现会话共享和会话超时等功能。在SpringBoot中,可以配置ShiroSessionManager和CacheManager,将Session数据存入Redis等缓存系统,实现分布式环境下的会话持久化...
shiro会话管理示例代码
09-15
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),直接使用Shiro会话管理可以直接替换如Web容器的会话管理
springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_
10-02
Apache Shiro是一个强大且易用的Java安全框架,处理认证、授权、会话管理和加密等问题。在本项目中,Shiro被用于实现权限管理功能。它允许我们定义角色(Role)、权限(Permission)以及用户与角色、权限之间的关系...
thymeleaf-extras-shiro-2.0.1
03-09
Apache Shiro是一个强大且易用的Java安全框架,它负责处理认证、授权、加密和会话管理等任务。而Thymeleaf-extras-shiro的出现,使得这些功能可以无缝地融入到Thymeleaf模板中,让视图层与安全控制紧密结合。 在...
Springboot集成Shiro Session过期时间如何配置
柒嘴八舌的博客
06-14 3402
Springboot集成Shiro Session过期时间如何配置
Springboot整合Shiro后对登录session超时自动跳转登录页、异地登录提醒、权限控制的使用
weixin_44825912的博客
03-30 4121
Springboot整合shiro、thymeleaf后对登录超时、异地提醒、权限控制的使用。
SpringBoot整合shiro、自定义sessionManager
延陵缥缈的博客
07-23 1万+
       Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。相比较Spring Security,shiro有小巧、简单、易上手等的优点。所以很多框架都在使用shiro。而springboot作为一个开源框架,必然提供了和shiro整合的功能!接下来就用springboot整合shiro完成对于用户登录的判定和权限的验证. 1.基础数据 公司...
springboot集成shiro使用ehcache的会话管理的完美实现方案
qq_36635569的博客
07-18 793
ehcache配置文件: <defaultCache maxEntriesLocalHeap="0" eternal="true" timeToIdleSeconds="0" timeToLiveSeconds="0" overflowToDisk="false" diskPersistent="false" /> 要想让Shiro的Ses
shiro权限管理的配置
weixin_47056195的博客
04-12 638
建立一个权限管理配置类,在类上添加注解@Configuration,如下: 1、设置安全管理 @Bean public DefaultWebSecurityManager securityManager(CookieRememberMeManager rememberMeManager, CacheManager cacheShiroManager, SessionManager sessionManager) { DefaultWebSecurityManager securityManager =
Shiro】2、Shiro实现Session会话过期时间控制
热门推荐
Asurplus
05-22 20万+
一般我们的 session 过期时间默认为 30 分钟,有的用户认为 30 分钟太短了,有时候临时有事出去了,回来已经过期了,工作还没完成就只能登出了,非常不方便,于是要求我们改变 session过期时间 1、指定本系统 sessionid /** * 指定本系统sessionid, 问题: 与servlet容器名冲突, 如jetty, tomcat 等默认jsessionid, * 当跳出shiro servlet时如error-page容器会为jsessionid重新分配值导致登录会话丢失!
shiro session设置了过期时间不起作用、无效;
wangjun5159的专栏
05-07 1万+
背景知识 shiro的sesssion由sessionmanager管理,所以这里有必要介绍一下sessionmanager,shiro常用的sessionmanager有ServletContainerSessionManager、DefaultWebSessionManager。 servlet容器管理session 设置为ServletContainerSessionManager时,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值