目的:基于cookie和rememberMe来实现多服务器共享登陆session方案。
问题描述:
cacheManager、sessionManager、rememberMeManager各种都配置好了,死活共享不了session
(我的检查方法:两台服务器,启动其中一台后登陆,然后关闭启动另一台,看登陆效果)
!!!罪魁祸首是【filterChainDefinitions】配置中**/** = authc改为/** = user** ,解决问题……(捣鼓半天XXOOO)
权限规则区别:
anno,任何人都可以访问;
authc:必须是登录之后才能进行访问,不包括remember me;(这种比较严格的,一般用于支付)
user:登录用户才可以访问,包含remember me;
spring-shiro.xml如下:
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd"
default-lazy-init="true">
<description>Shiro安全配置</description>
<!--安全管理器-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!--设置自定义Realm-->
<property name="realm" ref="shiroDbRealm"/>
<!--将缓存管理器,交给安全管理器-->
<property name="cacheManager" ref="shiroCacheManager"/>
<!--<property name="cacheManager" ref="shiroEhcacheManager"/>-->
<!-- session 管理器 -->
<property name="sessionManager" ref="sessionManager"/>
<!-- cookie管理器 -->
<property name="rememberMeManager" ref="rememberMeManager"/>
</bean>
<!-- manager -->
<!-- Remembered vs Authenticated http://www.ituring.com.cn/article/287 -->
<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
<property name="cipherKey"
value="#{T(org.apache.shiro.codec.Base64).decode('0ooHuCiTA46LHOdJKHdLAg==')}"/>
<property name="cookie" ref="sharesession"/>
</bean>
<bean id="sharesession" class="org.apache.shiro.web.servlet.SimpleCookie">
<constructor-arg value="rememberMe"/>
<property name="domain" value=""/>
<property name="path" value="/"/>
<property name="httpOnly" value="true"/>
<property name="maxAge" value="36000"/>
</bean>
<!-- 会话管理器 -->
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
<!-- 设置超时时间1小时 -->
<property name="globalSessionTimeout" value="3600000"/>
<property name="sessionValidationSchedulerEnabled" value="true"/>
<property name="sessionDAO" ref="shiroSessionDao"/>
<property name="sessionIdCookie" ref="sessionIdCookie"/>
<!-- 相隔多久检查一次session的有效性 -->
<!--<property name="sessionValidationInterval" value="100000"/>-->
<!--<property name="deleteInvalidSessions" value="true"/>-->
</bean>
<!-- sessionIdCookie的实现,用于重写覆盖容器默认的JSESSIONID -->
<bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
<constructor-arg value="adminjsid"/>
<property name="domain" value=""/>
<property name="path" value="/"/>
<property name="httpOnly" value="true"/>
<!--默认uid cookie 浏览器关闭后销毁-->
<property name="maxAge" value="-1"/>
</bean>
<!-- session存储的实现 -->
<bean id="shiroSessionDao"
class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO"/>
<!-- 項目自定义的Realm -->
<bean id="shiroDbRealm" class="com.betawoo.admin.commons.shiro.ShiroDbRealm"/>
<!-- Shiro Filter -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<!-- 安全管理器 -->
<property name="securityManager" ref="securityManager"/>
<!-- 默认的登陆访问url -->
<property name="loginUrl" value="/login"/>
<!-- 登陆成功后跳转的url -->
<property name="successUrl" value="/index"/>
<!-- 没有权限跳转的url -->
<property name="unauthorizedUrl" value="/unauth"/>
<property name="filterChainDefinitions">
<value>
/commons/** = anon <!-- 不需要认证 -->
/static/** = anon
/login = anon
/** = user
<!--/** = authc 需要认证 -->
</value>
</property>
</bean>
<!-- 单机session -->
<bean id="shiroCacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"/>
<!-- 用户授权信息Cache, 采用EhCache -->
<!--<bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml"/>
</bean>-->
<!-- 在方法中 注入 securityManager ,进行代理控制 -->
<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
<property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
<property name="arguments" ref="securityManager"/>
</bean>
<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<!-- AOP式方法级权限检查 -->
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor"/>
<!-- 启用shrio授权注解拦截方式 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>
</beans>