Shiro-分布式下的解决方案及其实现

最新推荐文章于 2024-08-11 22:20:54 发布
最新推荐文章于 2024-08-11 22:20:54 发布
阅读量2.2k 收藏 15
点赞数 4
分类专栏: 服务端 文章标签: shiro-缓存 分布式系统 spring-mvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26026975/article/details/73919447
版权

1.当项目采用Shiro之后,对于分布式的多台服务器间session不会共享,这会造成去每台服务器都会重新登录,并且很有可能造成当用户权限更改后,多台服务器权限不一致的问题(不想这么麻烦的话,也可以采用一致性哈希解决问题)

2.为解决这个问题,我采用了Redis进行ShiroSession共享。本文将着重分析,怎样在分布式下,集成Shiro

3.读本文前,需要对Shiro进行深入了解.

需要重写的类有哪些,为什么要进行重写

1.重写SimpleSession,因为我需要对session进行自定义的更细处理,避免每次请求,都需更新或创建session,大家也可按照自己的逻辑进行更改.另外为了能让shiro创建的是我们自定义的session,我们需要对
SessionFactory进行实现和shiro内进行相应的配置.

/**
 * shiro session 工厂 创建全局化session
 * 
 * @author william_zhong
 * @version 1.5.0
 * @time 2017-6-19
 **/
@Component
public class CsxShiroSessionFactory implements SessionFactory {

    @Override
    public Session createSession(SessionContext paramSessionContext) {

        CsxSession session = new CsxSession();

        return session;
    }

}
//shiro内的xml如下
    <!-- 自定义全局session -->
    <bean id="shiroSessionFactory" class="com.csx.shiro.CsxShiroSessionFactory" />

2.重写AuthorizingRealm和AuthorizationFilter这个就不说了,懂得都懂

3.重写WebSessionManager,目的是为了每次请求时,都能进入到我自定义的session会话管理器中。由于移动端是采用登录凭证进行访问的,所以我需要对获取的登录凭证进行自己的解密处理

/****
 * 重写shiro session管理
 * 
 * @author william_zhong
 * @version 1.5.0
 * @time 2017-6-19
 * 
 ***/
public class CsxAppSessionMannager extends DefaultWebSessionManager {

    private final Log log = LogFactory.getLog("CsxAppSessionMannager.class");

    public CsxAppSessionMannager() {

        super();

    }

    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {

        log.info("会话管理开始:获取sessionId");
        try {
            // 获取token
            String token = request.getParameter(ShiroConstant.tokenContanst);

            if (StringUtils.isNotEmpty(token)) {

                // 解析加密的token,获取sessionid
                String jSESSIONID = null;

                String userId = RSAsecurity.DecryptStr(token.trim().replaceAll(" ", "+"));
                // 获取解密后的用户id
                jSESSIONID = ShiroRedisPool.getObject(String.class,ShiroRedisPool.shiroUserIdKey + userId);
                if (jSESSIONID != null) {
                    request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,

                            ShiroHttpServletRequest.URL_SESSION_ID_SOURCE); // session来源--url

                    request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, jSESSIONID);

                    request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
                }

                return jSESSIONID;
            }

        } catch (ShiroCustomizeException e) {
            // 跳转至登录页面进行登录
            log.error("会话管理失败原因为:" + e);
        }
        return super.getSessionId(request, response);
    }

}

4.重写会话持久层,只需继承CachingSessionDAO或EnterpriseCacheSessionDAO即可,值得注意的是,我是禁用了配置内的本地缓存,目的是为了分布式的多台服务器之间的session同步.

/***
 * shiro 自定义会话持久层 继承CachingSessionDAO即可
 * 
 * @author william_zhong
 * @version 1.5.0
 * @time 2017-6-14
 ***/
public class ShiroSessionCustomizeDao extends EnterpriseCacheSessionDAO {

    private final Log log = LogFactory.getLog("ShiroSessionCustomizeDao.class");

    /*****
     * 创建session,保存到数据库
     * 
     * @author william_zhong
     * @version 1.5.0
     * @time 2017-6-15
     *****/
    @Override
    protected Serializable doCreate(Session session) {

        log.info("第一次初始化session" + session);
        // 自定义获取sessionId
        Serializable sessionId = super.doCreate(session);
        // 第一次不存储至redis中
        return sessionId;
    }

    // 获取session
    @Override
    protected Session doReadSession(Serializable sessionId) {
        // 先从缓存中获取session,如果没有再去数据库中获取
        // Session session = super.doReadSession(sessionId);
        log.info("读取session内容");
        Session session = null;
        try {
            session = ShiroRedisPool.getSessionToRedis(ShiroRedisPool.shiroUserLoginKey + sessionId.toString());
        } catch (NullPointerException e) {
            log.info("shirosession 获取为空");
        }

        return session;
    }

    /**
     * 更新session的最后一次访问时间
     * 
     * @author william_zhong
     * @version 1.5.0
     * @time 2017-6-16
     * 
     ***/
    @Override
    protected void doUpdate(Session session) {
        // super.doUpdate(session);从本地读,但是分布式我禁用了cahce,统一从redis获取
        log.info("更新session");
        if (session instanceof CsxSession) {

            CsxSession csxSession = (CsxSession) session;

            if (csxSession.getIsEffectiveFlag()) {
                // 若是存储选项,则执行存储操作
                if (csxSession.getIsSaveFlag()&&csxSession.getAttribute("userId")!=null) {
                    log.info("对session重新赋值");
                    csxSession.setIsSaveFlag(false);
                    ShiroRedisPool.setObject(ShiroRedisPool.shiroUserIdKey + csxSession.getAttribute("userId"),
                            session.getId().toString(), ReadProperties.getSHIRO_SESSION_TIMEOUT());
                    ShiroRedisPool.setSessionToredis(ShiroRedisPool.shiroUserLoginKey + session.getId().toString(),
                            Base64Util.objectToString(csxSession), ReadProperties.getSHIRO_SESSION_TIMEOUT());
                } else {
                    ShiroRedisPool.setObject(ShiroRedisPool.shiroUserIdKey + csxSession.getUserId(),
                            session.getId().toString(), ReadProperties.getSHIRO_SESSION_TIMEOUT());
                    ShiroRedisPool.updateExtensionTime(ShiroRedisPool.shiroUserLoginKey + session.getId().toString(),
                            ReadProperties.getSHIRO_SESSION_TIMEOUT());
                    log.info("只更新时间");
                }
            }
        }
    }

    @Override
    public void update(Session session) {
        this.doUpdate(session);
    }

    // 删除session
    @Override
    protected void doDelete(Session session) {
        // super.doDelete(session);
        log.info("删除session");
        ShiroRedisPool.delObject(ShiroRedisPool.shiroUserLoginKey + session.getId().toString());
    }

}

配置如下

    <!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="csxAppAuthorizingRealm" />
        <property name="sessionManager" ref="sessionManager" />
        <property name="cacheManager" ref="shiroCacheManager" />
    </bean>
    <!-- 会话管理器 -->
    <bean id="sessionManager" class="com.csx.shiro.CsxAppSessionMannager">
        <property name="globalSessionTimeout" value="2592000000" />
        <property name="deleteInvalidSessions" value="true" />
        <property name="sessionFactory" ref="shiroSessionFactory" />
        <!-- 会话验证调度器 采用quartz检测会话是否过时,由于我们采用了redis,自带定时销毁所以不用 -->
        <property name="sessionValidationSchedulerEnabled" value="false" />
        <property name="sessionDAO" ref="shiroSessionCustomizeDao" />
        <!-- 是否启用/禁用Session Id Cookie,默认是启用的;如果禁用后将不会设置Session Id Cookie,即默认使用了Servlet容器的JSESSIONID,且通过URL重写(URL中的“;JSESSIONID=id”部分)保存Session 
            Id -->
        <property name="sessionIdCookieEnabled" value="false" />
        <property name="sessionListeners" ref="shiroSessionListener" />
    </bean>
    <!-- 项目自定义的Realm -->
    <bean id="csxAppAuthorizingRealm" class="com.csx.shiro.CsxAppAuthorizingRealm" />

5.重写报错的shiro异常,目的是为了更好的用户体验

自定义的异常

/***
 * shiro 自定义异常
 * 
 * 1.解析token 失败,请重新登录
 * 2.用户信息过期,请重新登录
 * 3.用户权限不够,请切换账户
 * 
 * @author william_zhong
 * @version 1.5.0
 * @time 2017-6-16
 * 
 ***/
public class ShiroCustomizeException extends Exception {

    private static final long serialVersionUID = -2777701677658086556L;

    public static final String tokenParseFailMSG = "解析用户信息失败,请重新登录";

    public static final String userInformationExpiredMSG="用户信息过期,请重新登录";

    public static final String userInsufficientRightsMSG="用户权限不够,请切换账号";

    private String description;

    public ShiroCustomizeException( String description) {
        super(description);
    }

    @Override
    public String toString() {
        StringBuilder sb = new StringBuilder();
        sb.append(getClass().getName());
        sb.append(getMessage());
        if (getDescription() != null) {
            sb.append(" - ");
            sb.append(getDescription());
        }
        return sb.toString();
    }

    public String getDescription() {
        return description;
    }

    public void setDescription(String description) {
        this.description = description;
    }

}

public class CsxAppShiroExceptionResolver implements HandlerExceptionResolver {

    private static final Log log = LogFactory.getLog("CsxAppShiroExceptionResolver.class");

    @Override
    public ModelAndView resolveException(HttpServletRequest request, HttpServletResponse response, Object handler,
            Exception ex) {

        log.info("shiro 抛出异常");
        // 如果是shiro无权操作,因为shiro 在操作auno等一部分不进行转发至无权限url
        if (ex instanceof ShiroCustomizeException) {
            ModelAndView mv = new ModelAndView("redirect:/shiroAjaxExceptionDealApp.do?msg="+ex.getMessage());
            return mv;
        }else{
            ModelAndView mv = new ModelAndView("redirect:/shiroAjaxExceptionDealApp.do?msg=远程服务器报错");
            return mv;
        }
    }

}

shiro内的配置如下

    <!-- 自定义异常处理 -->
    <bean id="exceptionResolver" class="com.csx.shiro.CsxAppShiroExceptionResolver" />

参考文章:
1.分布式系统唯一ID生成方案汇总 http://www.cnblogs.com/haoxinyue/p/5208136.html
2.使用redis进行基于shiro的session集群共享 http://www.cnblogs.com/sunshine-2015/p/5686750.html
3.Shiro源码分析之两种Session的方式 http://www.th7.cn/Program/java/201507/513741.shtml
4.Shiro多端登录控制 http://jinnianshilongnian.iteye.com/blog/2039760
5.切换角色的处理 http://jinnianshilongnian.iteye.com/blog/2044616
6.shiro 拦截器 http://jinnianshilongnian.iteye.com/blog/2025656

williams_zhong
关注
专栏目录
分布式项目之 Shiro 整合搭建
qq_41995896的博客
11-09 812
Shiro 搭建 导入Shiro 的maven依赖 在web.xml中配置过滤器 这个过滤器会创建一个过滤器工厂,用来创建多个不同用途的过滤器 通过filter-name 和spring中的bean 的id 的值来找到这个过滤器工厂 <!--shiro 过滤器配置--> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframe
分布式shiro,session共享
w200199的博客
11-23 897
编写 RedisSessionDao 类 继承EnterpriseCacheSessionDAO @Component public class RedisSessionDao extends EnterpriseCacheSessionDAO { private static final Logger logger = LoggerFactory.getLogger(Serializer.class); @Resource private RedisTemplate&lt.
Shiro整合Redis分布式Shiro项目SpringBoot项目
shyの个人笔记
06-05 929
Shiro整合Redis分布式Shiro项目SpringBoot项目
Shiro详解
最新发布
weixin_57356976的博客
08-11 759
在web.xml文件里配置shiro的过滤器shiroFilter,DelegatingFilterProxy实际上是Filter的一个代理对象,默认情况下,Spring会到IOC容器查找和对应的filter bean,也可以通过targetBeanName的初始化参数来配置filter bean的id:</</</</</</</</</</</</
Spring Boot整合分布式Shiro
David的博客
07-29 1194
Spring Boot整合分布式Shiro 1. shiro基础知识 Shiro是Apache下的一个开源项目,我们称之为Apache Shiro。它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。shiro属于轻量级框架,相对于security简单的多,也没有security那么复杂。 Subject:主体,代表了当
Apache-Shiro分布式环境配置(与redis集成)
w2222288的专栏
03-16 1532
前段时间项目要用到权限控制的相关模块,经过讨论决定采用Apache下面的Shiro开源框架进行身份校验与权限控制,因项目需部署在集群环境下,所以需要分布式的支持,故配置了Redis作为权限数据的存储,这里简单的记录下相关的配置   applicationContext-shiro.xml 1 2 3 4 5 6 7 8 9 10 11 12 13 1
shiro权限控制(二):分布式架构中shiro实现
dieweidong5625的博客
02-07 438
前言:前段时间在搭建公司游戏框架安全验证的时候,就想到之前web最火的shiro框架,虽然后面实践发现在netty中不太适用,最后自己模仿shiro写了一个缩减版的,但是中间花费两天时间弄出来的shiro可不能白费,这里给大家出个简单的教程说明吧。 shiro的基本介绍这里就不再说了,可以自行翻阅博主之前写的shiro教程,这篇文章主要说明分布式架构下shiro的session共享问题...
shiro-root-1.7.0_ROOT_shirocore1.7_shiro1.7源码_
10-01
Apache Shiro 是一个强大且...在研究源码的过程中,如果遇到问题,可以查阅官方文档、社区讨论或Stack Overflow上的相关问题,通常能找到解决方案。希望这份源码能成为你深入理解Shiro和提升安全编程技能的宝贵资源。
shiro-jwt-oauth权限认证
11-11
在IT行业中,权限认证是构建安全系统的关键环节。Shiro和JWT(JSON Web Tokens)以及OAuth都是这个领域...同时,这样的实践也展示了如何在分布式环境中有效地管理和验证用户身份,为现代Web应用提供了可靠的解决方案
shiro 新手鼓捣了一天终于搞好了。。还差个分布式session
03-20
- **解决方案**:使用第三方库如 Hazelcast 或 Redis 存储 session,确保多台服务器间 session 的一致性。 - **Shiro 集成**:配置 Shiro 的 `SessionManager` 和 `SessionDAO`,选择合适的分布式存储策略。 5. *...
基于Spring MVC+MyBatis+Shiro+Dubbo开发的分布式后台管理系统(含数据库文件).zip
01-08
这样的组合为大型、复杂的企业级应用提供了高效、可扩展的解决方案。 文件“dubbo-demo-server-master”很可能是一个包含Dubbo服务端示例代码的项目,可能包括服务提供者(Provider)的配置、接口定义、实现类以及...
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
前后端分离,前端系统只有html、js 权限管理为shiro缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
SpringShiro分布式缓存
10-29
这是一个shiro的入门Demo.. 使用了Spring MVC,mybaits等技术.. 数据库设计 : User : name--password Role : id--userid--roleName Function : id--userid--url tinys普通用户只能访问index.jsp admin用户通过添加了admin的permission,所以可以访问admin.jsp role用户通过添加了role角色,所以可以访问role.jsp 这是最基本的shiro的运用..目的是让你快速了解shiro的机制.. 这个Demo体现shiro的地方主要在两个类以及shiro.xml的配置文件 CustomRealm : 处理了登录验证以及授权.. ShiroAction : 用来传递登录时的用户数据..转换为token传递给realm...之后根据结果做相应的逻辑处理.. shiro.xml : shiro的主要配置... 规则定义在以下地方 : /login.jsp* = anon /index.jsp* = authc /index.do* = authc /admin.jsp*=authc,perms[/admin] /role.jsp*=authc,roles[role] ------------------------------------------------------------------------------------------------------------------------------------------------------------- 2015-10-28更新 --通过添加了以下内容来使用注解方式配置权限.... unauth login --修改了过滤链 //简单的讲就是把需要特别处理的路径写到前面,越特殊写到越前 /shiro/login.do*=anon /login.jsp* = anon /admin.jsp*=authc,perms[/admin] /role.jsp*=authc,roles[role] /** = authc --------------------------------------------------------------------------------------------------------------------------------------------------- 15-10-29 添加了使用ehcache的缓存机制 添加了redis缓存...
spring boot+shiro 权限认证管理案例
12-20
2. Redis:Redis 是一种高性能的键值数据库,可以用作 Shiro缓存后端,提供分布式环境下的缓存解决方案。 3. Guava Cache:Google 的 Guava 库提供了简单的本地内存缓存,适用于简单的单机部署。 五、实际案例 ...
shiro分布式控制登录状态_shiro权限控制(二):分布式架构中shiro实现
weixin_39610722的博客
12-21 202
前言:前段时间在搭建公司游戏框架安全验证的时候,就想到之前web最火的shiro框架,虽然后面实践发现在netty中不太适用,最后自己模仿shiro写了一个缩减版的,但是中间花费两天时间弄出来的shiro可不能白费,这里给大家出个简单的教程说明吧。shiro的基本介绍这里就不再说了,可以自行翻阅博主之前写的shiro教程,这篇文章主要说明分布式架构下shiro的session共享问题。一、原理描述...
shiro分布式的配置和怎么使用的方式
qq_41895699的博客
05-24 4580
之前老想写这一片关于分布式安全框架shiro记住一点,想用shiro需要导包不知道你们是用版本是多少所以这个得配置因为我用shiro只是在登录识别身份,缓存什么等没配置,如果想要其他的shiro的特性,那么给你们介绍去shiro的官网和这个   https://www.sojson.com/blog/199.html 但是不是整合分布式框架,所以你可以看他的其他配置获取特性/** *  *  *s...
分布式权限 shiro + jwt + redis(第三期)
qq_21561833的博客
10-30 1694
但是自己这个项目最开始使用的shiro,而且权限对应的角色,菜单都已经写好了,所以主体采用的shiro。使用jwt 标识每个用户的身份。使用redis 存储每个用户的权限。JWT由3部分组成:标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候,会将JWT的3部分分别进行Base64编码后用.进行连接形成最终传输的字符串。在这个realm里面有认证和授权的逻辑。然后可以从jwt字符串中解析出用户的id。生成token,将用户id和锁拥有的权限存储进入redis。
C#session共享+redis_Shiro权限管理框架(二):Shiro结合Redis实现分布式环境下的Session共享...
weixin_39909366的博客
11-21 196
精品推荐国内稀缺优秀Java全栈课程-Vue+SpringBoot通讯录系统全新发布!Docker快速手上视频教程(无废话版)【免费】作者:夜月归途转载自:https://www.cnblogs.com/guitu18/p/11262106.html本篇是Shiro系列第二篇,使用Shiro基于Redis实现分布式环境下的Session共享。在讲Session共享之前先说一下为什么要做S...
SpringCloud分布式环境下Shiro通过redis实现权限管理控制
老照片
05-12 468
SpringCloud分布式环境下Shiro通过redis实现权限管理控制
前后端权限控制实现:Spring Boot-Shiro-Vue方案
该方案的亮点在于实现了前后端分离下的权限控制,确保了系统中按钮和接口级别的权限安全。在描述中提到,最新的版本已经移除了对Shiro的依赖,并且对配置进行了简化,这意味着在保证安全的前提下,系统的管理变得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值