shiro基于cookie多服务器共享session，坑记录

目的：基于cookie和rememberMe来实现多服务器共享登陆session方案。

问题描述：

cacheManager、sessionManager、rememberMeManager各种都配置好了，死活共享不了session
（我的检查方法：两台服务器，启动其中一台后登陆，然后关闭启动另一台，看登陆效果）
！！！罪魁祸首是【filterChainDefinitions】配置中**/** = authc改为/** = user** ，解决问题……（捣鼓半天XXOOO）

权限规则区别：

anno，任何人都可以访问；

authc：必须是登录之后才能进行访问，不包括remember me；（这种比较严格的，一般用于支付）

user：登录用户才可以访问，包含remember me；

spring-shiro.xml如下：

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd"
       default-lazy-init="true">

    <description>Shiro安全配置</description>

    <!--安全管理器-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <!--设置自定义Realm-->
        <property name="realm" ref="shiroDbRealm"/>
        <!--将缓存管理器，交给安全管理器-->
        <property name="cacheManager" ref="shiroCacheManager"/>
        <!--<property name="cacheManager" ref="shiroEhcacheManager"/>-->
        <!-- session 管理器 -->
        <property name="sessionManager" ref="sessionManager"/>
        <!-- cookie管理器 -->
        <property name="rememberMeManager" ref="rememberMeManager"/>
    </bean>

    <!-- manager -->
    <!-- Remembered vs Authenticated http://www.ituring.com.cn/article/287 -->
    <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
        <property name="cipherKey"
                  value="#{T(org.apache.shiro.codec.Base64).decode('0ooHuCiTA46LHOdJKHdLAg==')}"/>
        <property name="cookie" ref="sharesession"/>
    </bean>
    <bean id="sharesession" class="org.apache.shiro.web.servlet.SimpleCookie">
        <constructor-arg value="rememberMe"/>
        <property name="domain" value=""/>
        <property name="path" value="/"/>
        <property name="httpOnly" value="true"/>
        <property name="maxAge" value="36000"/>
    </bean>

    <!-- 会话管理器 -->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <!-- 设置超时时间1小时 -->
        <property name="globalSessionTimeout" value="3600000"/>

        <property name="sessionValidationSchedulerEnabled" value="true"/>
        <property name="sessionDAO" ref="shiroSessionDao"/>
        <property name="sessionIdCookie" ref="sessionIdCookie"/>
        <!-- 相隔多久检查一次session的有效性 -->
        <!--<property name="sessionValidationInterval" value="100000"/>-->

        <!--<property name="deleteInvalidSessions" value="true"/>-->
    </bean>


    <!-- sessionIdCookie的实现,用于重写覆盖容器默认的JSESSIONID -->
    <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <constructor-arg value="adminjsid"/>
        <property name="domain" value=""/>
        <property name="path" value="/"/>
        <property name="httpOnly" value="true"/>
        <!--默认uid cookie 浏览器关闭后销毁-->
        <property name="maxAge" value="-1"/>
    </bean>

    <!-- session存储的实现 -->
    <bean id="shiroSessionDao"
          class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO"/>

    <!-- 項目自定义的Realm -->
    <bean id="shiroDbRealm" class="com.betawoo.admin.commons.shiro.ShiroDbRealm"/>

    <!-- Shiro Filter -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- 安全管理器 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 默认的登陆访问url -->
        <property name="loginUrl" value="/login"/>
        <!-- 登陆成功后跳转的url -->
        <property name="successUrl" value="/index"/>
        <!-- 没有权限跳转的url -->
        <property name="unauthorizedUrl" value="/unauth"/>
        <property name="filterChainDefinitions">
            <value>
                /commons/** = anon <!-- 不需要认证 -->
                /static/** = anon
                /login = anon
                /** = user
                <!--/** = authc 需要认证 -->
            </value>
        </property>
    </bean>

    <!-- 单机session -->
    <bean id="shiroCacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"/>

    <!-- 用户授权信息Cache, 采用EhCache -->
    <!--<bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml"/>
    </bean>-->

    <!-- 在方法中 注入  securityManager ，进行代理控制 -->
    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
        <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
        <property name="arguments" ref="securityManager"/>
    </bean>

    <!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <!-- AOP式方法级权限检查  -->
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor"/>

    <!-- 启用shrio授权注解拦截方式 -->
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>
</beans>