Apache Shiro安全框架(5)-会话管理和缓存

最新推荐文章于 2024-04-21 20:34:36 发布
最新推荐文章于 2024-04-21 20:34:36 发布
阅读量841 收藏 3
点赞数 1
分类专栏: Java 文章标签: shiro 会话管理 缓存管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heyrian/article/details/81016221
版权
本文详细介绍了Apache Shiro的会话管理,包括会话的创建、删除、验证和失效,以及Session的CURD操作。Shiro通过SessionManager接口管理会话,支持自定义SessionDAO实现会话的持久化。此外,还探讨了Shiro的缓存管理,包括自定义CacheManager以集成Redis实现缓存。通过配置SecurityManager,可以实现会话管理和高效的缓存策略。
摘要由CSDN通过智能技术生成

会话

会话,即用户保持和服务端之间的联系,保证用户在下一次访问服务端时不必在提交用户身份信息。而服务端可以通过用户提交的sessionId判断用户身份。

Subject subject = SecurityUtils.getSubject();
Session session = subject.getSession()

可以通过以上方法获取当前登录用

/**
 *Subject.getSession(true),即如果当前没有创建session对象会创建一个;
 *Subject.getSession(false),如果当前没有创建session对象则返回null。
*/
Subject.getSession();//等价于Subject.getSession(true)

session.getId();//获取当前会话的唯一标识。

session.getHost();//获取当前会话的主机地址。

session.getTimeout() & session.setTimeout(毫秒);//设置/获取当前Session的过期时间。

/**获取会话的启动时间及最后访问时间;
 *如果是J2SE环境需要自己定期调用session.touch()去更新最后访问时间;
 *如果是Web环境,每次进入ShiroFilter都会自动调用session.touch()来更新最后访问时间。
*/
session.getStartTimestamp() & session.getLastAccessTime();

/**
 *更新会话最后访问时间以及销毁会话;
 *Subject.logout()会自动调用session.stop()。
 *在Web应用中,调用HttpSession.invalidate()也会自动调用session.stop()来销毁shiro的会话。
*/
session.touch() & session.stop();

session.setAttribute(key,val) & session.getAttribute(key) & session.removeAttribute(key);//设置/获取/删除 会话属性。


会话管理

shiro中的会话管理器管理所有Subject的会话的创建、删除、验证、失效等。shiro中会话管理的结构图如下:


发现SecurityManager继承了SessionManager接口,而SecurityManager结构图如下:


发现SessionSecurityManager实现了接口SecurityManager,实质SessionSecurityManager实现了把会话管理委托给对应的SessionManager。而DefaultSecurityManager和DefaultWebSecurityManager都继承了SessionSecurityManager

会话监听器

自定义类实现SessionListener接口,并实现其中的方法。SessionListener方法如下:

  • onStart(Session):创建会话时触发该事件
  • onStop(Session):销毁会话时触发该事件
  • onExpiration(Session):会话过期时触发该事件
最低0.47元/天 解锁文章
heyrian
关注
专栏目录
shiro会话管理
zhangchang0516的博客
04-13 523
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 基础组件 1.1 Se...
org.apache.shiro.cache.CacheException: org.crazycake.shiro.exception.SerializationException: deseria
最新发布
qq_33240556的博客
07-03 309
遇到异常,特别是当它伴随有时,这通常指示在 Shiro 缓存机制中发生了序列化或反序列化错误。Shiro 可能使用不同的缓存实现,如 Ehcache、Redis 等,而这些错误通常与对象的序列化处理有关。
Web会话管理安全问题
weixin_42081313的博客
06-11 1399
Web会话管理安全问题
shiro session管理和cache
qq_35567428的博客
01-06 1312
shiro提供3个默认sessionManager:DefaultSessionManager,ServelteContainerManager,DefaultWebSessionManager, ServeltContainerManager是使用servlet容器的回话,以及servlet容器管理,DefaultSessionManager是DefaultSecurityManger使用
应用安全系列之三十二:会话管理
jimmyleeee的专栏
04-13 658
Web应用基于HTTP协议实现的,但是,HTTP协议是无状态的【参考RFC2616section 5】,也就是说如果纯粹基于HTTP协议来实现一个应用,前后请求的消息就需要一个能够保持登录状态的东东,这个东东就是会话session】。由于HTTP是无状态,所以这个会话管理是通过Cookie来实现的,通常通过Cookie来管理的有标示会话的ID和用户登录之后获得的Token。 由于会话ID或者Token表示一个人已经登录而且可以根据自己的权限在网站内畅游,所以,他也就成了攻击者的目标。以前,出现过的会.
shiro 安全框架--最好的中文配置文档
04-20
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证、授权、加密和会话管理功能,简化了开发人员在构建安全应用程序时的复杂性。本篇文章将深入探讨 Shiro 的核心概念、配置步骤以及如何利用它来保护你的...
Apache Shiro权限框架实战+项目案例视频课程
06-09
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(Authentication)、授权(Authorization)以及会话管理Session Management)等功能。本课程旨在通过实战演练和项目案例,帮助学习者深入理解...
shiro安全框架初识--shiro简介、认证与授权
qq_44189274的博客
08-03 823
Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和session会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架spring securityShiro 要简单的多.Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等。...
shiro安全框架-详细介绍
04-21
**Apache Shiro** 是一款功能强大的Java安全框架,主要用于Web应用程序的身份验证、授权、加密以及会话管理等场景。Shiro的设计理念简单灵活,能够轻松地与任何Java Web应用集成,并提供一系列高级的安全功能。 ###...
Web 应用最安全会话实现和保持方式是什么?
路多辛的所思所想
04-21 1236
什么是会话管理会话管理是一种在无状态的 HTTP 协议上保持用户状态的技术, Web 服务器通过会话管理可以识别和跟踪用户的请求。为什么需要会话管理?由于 HTTP 协议本身不保存状态信息,所以服务器需要一种机制来区分不同用户的请求,以及在多个请求之间保持用户的状态信息。会话创建会话信息应该由服务器端创建,服务器端创建会话 ID 以及会话信息后存储起来,将会话 ID 返回给 Web 客户端存储。会话 ID应 该是随机的、不可预测的,并且有足够的熵。会话 ID 通常是通过安全的随机数生成算法生成。
shiro 自定义 用户 角色 权限 (认证与授权)按钮级控制
CaiXinXing的CSDN博客
06-02 1140
ShiroConfig.java(shiro配置) /** * @todo: 集成shiro * @author: cxx * @date: 2020-5-22 09:56:10 * @description: manage */ @Configuration public class ShiroConfig { @Value("${spring.jedis.port}") private int port; @Value("${spring.jedis.host}
Shiro配置类中的各个配置项浅谈
2301_78276982的博客
12-25 103
如果想学习提升找不到资料,没人答疑解惑时,
shiro的源码学习(二)( Session session = getSession())
weixin_34326558的博客
07-17 443
subject代表用户访问服务器的一些操作:比做登录、登出,查看角色/权限、 同时可获取session如:subject.getSession(),该接品,如果之前不存在session,则创建session。创建过程大致为: subject委托SecurityManager创建、SecurityManager委托SessionManager创建,SessionManager通过SessionF...
Shiro系列十三:会话管理
苍穹尘的博客
06-07 606
Shiro 提供了完整的企业级会话管理功能,不依赖于底层容 器(如web容器tomcat),不管 JavaSE 还是 JavaEE 环境都可以使用,提供了会话管理会话事件监听、会话存储和持久化、容器无关的集群、失效和过期支持、对Web 的透明支持、SSO 单点登录的支持等特性。 一、会话的API  Subject.getSession():即可获取会话;其等价于 Subject.getSess...
SpringBoot+Shiro学习之数据库动态权限管理和Redis缓存
热门推荐
qq_20954959的博客
02-16 1万+
发现问题,需找解决思路。之前我们整合Shiro,完成了登录认证和权限管理的实现,登录认证没什么说的,需要实现AuthorizingRealm中的doGetAuthenticationInfo方法进行认证,但是我们在实现doGetAuthorizationInfo权限控制这个方法的时候发现以下两个问题: 第一个问题:我们在ShiroConfig中配置链接权限的时候,每次只要有一个新的链接,或则权限需要
第十章 会话管理——《跟我学Shiro
jinnianshilongnian的专栏
03-10 956
  目录贴: 跟我学Shiro目录贴   Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。即直接使用Shiro会话管理可以直接替换如Web容器的会话管理。   会话 ...
Apache Shiro V1.2 Subject与Session的关系以及创建Session的过程分析
王洪伟的专栏
07-24 1万+
Apache Shiro V1.2中,SecurityManagerSecurityUtils和Subject是面向开发者的主要操作接口,通过这些统一的接口,可以实现对Apache Shiro 的使用。前面已经说过了 SecurityManager 和 SecurityUtils,这里讲述的是 Subject 和 Session 的关系以及如何Subject是通过哪些操作完成Session
Apache Shiro 安全框架入门教程
"Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实施。" Apache Shiro是Java开发中的一个安全管理框架,它旨在简化应用程序的安全实现,适用于各种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值