《跟我学shiro》随笔(3)

shiro的会话管理

什么叫会话?

会话即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁.

shiro怎么实现的会话?

再java中执行如下代码:

login("classpath:shiro.ini", "zhang", "123");
Subject subject = SecurityUtils.getSubject();
Session session = subject.getSession();

之后,关于session有如下操作:

session.getId();//获取当前会话的唯一标识
session.getHost();//获取当前Subject的主机地址

//获取/设置当前session的过期时间
session.getTimeout();
session.setTimeout(毫秒);
//获取会话的启动/最后访问时间
session.getStartTimestamp();
session.getLastAccessTime();
//更新会话最后访问时间及销毁会话
session.touch();
session.stop();

shiro的会话管理器

SecurityManager提供的会话接口:

Session start(SessionContext context); //启动会话
Session getSession(SessionKey key) throws SessionException; //根据会话 Key 获取会话

WebSessionManager提供的会话接口:

boolean isServletContainerSessions();//是否使用 Servlet 容器的会话

ValidatingSessionManager提供的会话接口:

void validateSessions();//验证所有会话是否过期
现成的会话管理类

Shiro 提供了三个默认实现:

DefaultSessionManager:DefaultSecurityManager 使用的默认实现,用于 JavaSE 环境;
ServletContainerSessionManager:DefaultWebSecurityManager 使用的默认实现,用于 Web
环境,其直接使用 Servlet 容器的会话;
DefaultWebSessionManager : 用 于 Web 环 境 的 实 现 , 可 以 替 代
ServletContainerSessionManager,自己维护着会话,直接废弃了 Servlet 容器的会话管理。

关于JSESSIONID Cookie维护会话(写在ini文件中)的属性讲解:

sessionIdCookie=org.apache.shiro.web.servlet.SimpleCookie
sessionManager=org.apache.shiro.web.session.mgt.DefaultWebSessionManager
sessionIdCookie.name=sid
#sessionIdCookie.domain=sishuok.com
#sessionIdCookie.path=
sessionIdCookie.maxAge=1800
sessionIdCookie.httpOnly=true
sessionManager.sessionIdCookie=$sessionIdCookie
sessionManager.sessionIdCookieEnabled=true
securityManager.sessionManager=$sessionManager

sessionIdCookie 是 sessionManager 创建会话 Cookie 的模板:
sessionIdCookie.name:设置 Cookie 名字,默认为 JSESSIONID;
sessionIdCookie.domain:设置 Cookie 的域名,默认空,即当前访问的域名;
sessionIdCookie.path:设置 Cookie 的路径,默认空,即存储在域名根下;
sessionIdCookie.maxAge:设置 Cookie 的过期时间,秒为单位,默认-1 表示关闭浏览器时
过期 Cookie;
sessionIdCookie.httpOnly:如果设置为 true,则客户端不会暴露给客户端脚本代码,使用
HttpOnly cookie有助于减少某些类型的跨站点脚本攻击;此特性需要实现了Servlet 2.5 MR6
及以上版本的规范的 Servlet 容器支持;
sessionManager.sessionIdCookieEnabled:是否启用/禁用 Session Id Cookie,默认是启用的;
如果禁用后将不会设置 Session Id Cookie,即默认使用了 Servlet 容器的 JSESSIONID,且通
过 URL 重写(URL 中的“;JSESSIONID=id”部分)保存 Session Id。

shiro的会话监听器

会话监听器用于监听会话创建,过期及停止事件.
一个典型的实现了SessionListener接口的类:

public class MySessionListener1 implements SessionListener {
@Override
public void onStart(Session session) {//会话创建时触发
System.out.println("会话创建:" + session.getId());
}
@Override
public void onExpiration(Session session) {//会话过期时触发
System.out.println("会话过期:" + session.getId());
}
@Override
public void onStop(Session session) {//退出/会话过期时触发
System.out.println("会话停止:" + session.getId());
}
}

如果不想重写所有方法,可以继承现成的适配类(这个类的这些方法代码是空的)SessionListenerAdapter.

public class MySessionListener2 extends SessionListenerAdapter {
@Override
public void onStart(Session session) {
System.out.println("会话创建:" + session.getId());
}
}

在ini中配置一下监听器:

sessionListener1=com.github.zhangkaitao.shiro.chapter10.web.listener.MySessionListener1
sessionListener2=com.github.zhangkaitao.shiro.chapter10.web.listener.MySessionListener2
sessionManager.sessionListeners=$sessionListener1,$sessionListener2

shiro的DAO实现

不是很懂,我先跳过了

会话验证

这个也先跳了

如何使用会话工厂(sessionFactory)创建session

首先自定义一个session:

public class OnlineSession extends SimpleSession {
public static enum OnlineStatus {
on_line("在线"), hidden("隐身"), force_logout("强制退出");
private final String info;
private OnlineStatus(String info) {
this.info = info;
}
public String getInfo() {
return info;
}
}
private String userAgent; //用户浏览器类型
private OnlineStatus status = OnlineStatus.on_line; //在线状态
private String systemHost; //用户登录时系统 IP
//省略其他
}

接着自定义SessionFactory:

public class OnlineSessionFactory implements SessionFactory {
@Override
public Session createSession(SessionContext initData) {
OnlineSession session = new OnlineSession();
if (initData != null && initData instanceof WebSessionContext) {
WebSessionContext sessionContext = (WebSessionContext) initData;
HttpServletRequest  request  =  (HttpServletRequest)
sessionContext.getServletRequest();
if (request != null) {
session.setHost(IpUtils.getIpAddr(request));
session.setUserAgent(request.getHeader("User-Agent"));
session.setSystemHost(request.getLocalAddr()  +  ":"  +
request.getLocalPort());
}
}
return session;
}
}

shiro的缓存机制

shiro提供的Cache接口 :

public interface Cache<K, V> {
//根据 Key 获取缓存中的值
public V get(K key) throws CacheException;
//往缓存中放入 key-value,返回缓存中之前的值
public V put(K key, V value) throws CacheException;
//移除缓存中 key 对应的值,返回该值
public V remove(K key) throws CacheException;
//清空整个缓存
public void clear() throws CacheException;
//返回缓存大小
public int size();
//获取缓存中所有的 key
public Set<K> keys();
//获取缓存中所有的 value
public Collection<V> values();
}

shiro提供的CacheManager接口:

public interface CacheManager {
//根据缓存名字获取一个 Cache
public <K, V> Cache<K, V> getCache(String name) throws CacheException;
}

shiro还提供了CacheManagerAware接口用于注入CacheManager.

public interface CacheManagerAware {
//注入 CacheManager
void setCacheManager(CacheManager cacheManager);
}

CachingRealm实现了CacheManagerAware接口.AuthenticatingRealm提供了对AuthenticationInfo的缓存.AuthorizingRealm提供了对AuthorizationInfo的缓存.
ini配置解析:

userRealm=com.github.zhangkaitao.shiro.chapter11.realm.UserRealm
userRealm.credentialsMatcher=$credentialsMatcher
userRealm.cachingEnabled=true
userRealm.authenticationCachingEnabled=true
userRealm.authenticationCacheName=authenticationCache
userRealm.authorizationCachingEnabled=true
userRealm.authorizationCacheName=authorizationCache
securityManager.realms=$userRealm
cacheManager=org.apache.shiro.cache.ehcache.EhCacheManager
cacheManager.cacheManagerConfigFile=classpath:shiro-ehcache.xml
securityManager.cacheManager=$cacheManager

userRealm.cachingEnabled:启用缓存,默认 false;
userRealm.authenticationCachingEnabled:启用身份验证缓存,即缓存 AuthenticationInfo 信
息,默认 false;
userRealm.authenticationCacheName:缓存 AuthenticationInfo 信息的缓存名称;
userRealm. authorizationCachingEnabled:启用授权缓存,即缓存 AuthorizationInfo 信息,默
认 false;
userRealm. authorizationCacheName:缓存 AuthorizationInfo 信息的缓存名称

与spring集成时webapp下的xml配置文件写法解析

spring-shiro-web.xml:

<!-- 缓存管理器 使用 Ehcache 实现 -->
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
<property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/>
</bean>
<!-- 凭证匹配器 -->
<bean id="credentialsMatcher" class="
com.github.zhangkaitao.shiro.chapter12.credentials.RetryLimitHashedCredentialsMatcher">
<constructor-arg ref="cacheManager"/>
<property name="hashAlgorithmName" value="md5"/>
<property name="hashIterations" value="2"/>
<property name="storedCredentialsHexEncoded" value="true"/>
</bean>
<!-- Realm 实现 -->
<bean id="userRealm" class="com.github.zhangkaitao.shiro.chapter12.realm.UserRealm">
<property name="userService" ref="userService"/>
<property name="credentialsMatcher" ref="credentialsMatcher"/>
<property name="cachingEnabled" value="true"/>
<property name="authenticationCachingEnabled" value="true"/>
<property name="authenticationCacheName" value="authenticationCache"/>
<property name="authorizationCachingEnabled" value="true"/>
<property name="authorizationCacheName" value="authorizationCache"/>
</bean>
<!-- 会话 ID 生成器 -->
<bean id="sessionIdGenerator"
class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator"/>
<!-- 会话 DAO -->
<bean id="sessionDAO"
class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO">
<property name="activeSessionsCacheName" value="shiro-activeSessionCache"/>
<property name="sessionIdGenerator" ref="sessionIdGenerator"/>
</bean>
<!-- 会话验证调度器 -->
<bean id="sessionValidationScheduler"
class="org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler">
<property name="sessionValidationInterval" value="1800000"/>
<property name="sessionManager" ref="sessionManager"/>
</bean>
<!-- 会话 Cookie 模板 -->
<bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
<constructor-arg value="sid"/>
<property name="httpOnly" value="true"/>
<property name="maxAge" value="180000"/>
</bean>
<!-- 会话管理器 -->
<bean id="sessionManager"
class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
<property name="globalSessionTimeout" value="1800000"/>
<property name="deleteInvalidSessions" value="true"/>
<property name="sessionValidationSchedulerEnabled" value="true"/>
<property name="sessionValidationScheduler" ref="sessionValidationScheduler"/>
<property name="sessionDAO" ref="sessionDAO"/>
<property name="sessionIdCookieEnabled" value="true"/>
<property name="sessionIdCookie" ref="sessionIdCookie"/>
</bean>
<!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<property name="realm" ref="userRealm"/>
<property name="sessionManager" ref="sessionManager"/>
<property name="cacheManager" ref="cacheManager"/>
</bean>
<!-- 相当于调用 SecurityUtils.setSecurityManager(securityManager) -->
<bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
<property name="staticMethod"
value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
<property name="arguments" ref="securityManager"/>
</bean>
<!-- 基于 Form 表单的身份验证过滤器 -->
<bean id="formAuthenticationFilter"
class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
<property name="usernameParam" value="username"/>
<property name="passwordParam" value="password"/>
<property name="loginUrl" value="/login.jsp"/>
</bean>
<!-- Shiro 的 Web 过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager"/>
<property name="loginUrl" value="/login.jsp"/>
<property name="unauthorizedUrl" value="/unauthorized.jsp"/>
<property name="filters">
<util:map>
<entry key="authc" value-ref="formAuthenticationFilter"/>
</util:map>
</property>
<property name="filterChainDefinitions">
<value>
/index.jsp = anon
/unauthorized.jsp = anon
/login.jsp = authc
/logout = logout
/** = user
</value>
</property>
</bean>

1、sessionIdCookie 是用于生产 Session ID Cookie 的模板;
2、会话管理器使用用于 web 环境的 DefaultWebSessionManager;
3、安全管理器使用用于 web 环境的 DefaultWebSecurityManager。
4、formAuthenticationFilter 为基于 Form 表单的身份验证过滤器;此处可以再添加自己的
Filter bean 定义;
5、shiroFilter:此处使用 ShiroFilterFactoryBean 来创建 ShiroFilter 过滤器;filters 属性用于
定义自己的过滤器,即 ini 配置中的[filters]部分;filterChainDefinitions 用于声明 url 和 filter
的关系,即 ini 配置中的[urls]部分。

web.xml中的配置:

<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
classpath:spring-beans.xml,
classpath:spring-shiro-web.xml
</param-value>
</context-param>
<listener>
<listener-class>
org.springframework.web.context.ContextLoaderListener
</listener-class>
</listener>
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetFilterLifecycle</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

通过 ContextLoaderListener 加载 contextConfigLocation 指定的 Spring 配置文件。DelegatingFilterProxy 会自动到 Spring 容器中查找名字为 shiroFilter 的 bean 并把 filter 请求
交给它处理。

shiro权限注解

shiro的权限注解使用需要AOP的支持。在spring AOP下需要使用如下配置开启shiro权限注解支持:

<aop:config proxy-target-class="true"></aop:config>
<bean class="
org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager"/>
</bean>

注解标签有哪些?

@RequiresAuthentication
表示当前 Subject 已经通过 login 进行了身份验证;即 Subject. isAuthenticated()返回 true。
@requiresUser
表示当前Subject已经身份验证或者用过记住我登录
@RequiresGuest
表示当前Subject是游客身份。
@RequiresRoles(value={“admin”,“user”},logical=Logical.AND)
表示当前subject需要角色admin和user
@RequiresPermissions (value={“user:a”, “user:b”}, logical= Logical.OR)
表示当前subject需要权限user:a或user:b

shiro的RememberMe是怎么实现的

  1. 首先在登录页面选中rememberme然后登录成功,如果是浏览器登录,一般会把rememberme的cookie写到客户端并保存下来。
  2. 关闭浏览器再重新打开,会发现浏览器还是记住你的。
  3. 访问一般的网页服务器端还是知道你是谁,且能正常访问。
  4. 但是比如我们访问淘宝时,如果要查看我的订单或进行支付时,此时还是需要再进行身份认证的,以确保当前用户还是你。

spring-shiro-web.xml的配置:

<!-- 会话 Cookie 模板 -->
<bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
<constructor-arg value="sid"/>
<property name="httpOnly" value="true"/>
<property name="maxAge" value="-1"/>
</bean>
<bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
<constructor-arg value="rememberMe"/>
<property name="httpOnly" value="true"/>
<property name="maxAge" value="2592000"/><!-- 30 天 -->
</bean>
<!-- rememberMe 管理器 -->
<bean id="rememberMeManager"
class="org.apache.shiro.web.mgt.CookieRememberMeManager">
<property name="cipherKey" value="
#{T(org.apache.shiro.codec.Base64).decode('4AvVhmFLUs0KTA3Kprsdag==')}"/>
<property name="cookie" ref="rememberMeCookie"/>
</bean>
<!-- 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
……
<property name="rememberMeManager" ref="rememberMeManager"/>
</bean>
<bean id="formAuthenticationFilter"
class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
……
<property name="rememberMeParam" value="rememberMe"/>
</bean>
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
……
<property name="filterChainDefinitions">
<value>
/login.jsp = authc
/logout = logout
/authenticated.jsp = authc
/** = user
</value>
</property>
</bean>

sessionIdCookie:maxAge=-1 表示浏览器关闭时失效此 Cookie;
rememberMeCookie:即记住我的 Cookie,保存时长 30 天;
rememberMe 管理器,cipherKey 是加密 rememberMe Cookie 的密钥;默认 AES 算法;
设置 securityManager 安全管理器的 rememberMeManager;
rememberMeParam,即 rememberMe 请求参数名,请求参数是 boolean 类型,true 表示
rememberMe。
“ /authenticated.jsp = authc ” 表 示 访 问 该 地 址 用 户 必 须 身 份 验 证 通 过 ( Subject.
isAuthenticated()==true);而“/** = user”表示访问该地址的用户是身份验证通过或
RememberMe 登录的都可以。
访问 一 般网页,如个人在主页之类的,我们使用 user 拦截器即可,user 拦截器只要用户登
录(isRemembered()==true or isAuthenticated()==true)过即可访问成功;
访问 特殊网页,如我的订单,提交订单页面,我们使用 authc 拦截器即可,authc 拦截器会
判断用户是否是通过 Subject.login(isAuthenticated()==true)登录的,如果是才放行,否则
会跳转到登录页面叫你重新登录。

shiro的SSL

SSL使用流程:
1.首先生成数字证书.

//使 用 JDK 的 keytool 命 令 , 生 成 证 书 ( 包 含 证 书 / 公 钥 / 私 钥 ) 到D:\localhost.keystore: 
keytool -genkey -keystore "D:\localhost.keystore" -alias localhost -keyalg RSA  

2.然后设置 置 tomcat 下 下的 的 server.xml

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="D:\localhost.keystore" keystorePass="生成keystore时设置的密码"/>  

3.添加SSL 到 到 配置 文件(spring-shiro-web.xml)

<bean id="sslFilter" class="org.apache.shiro.web.filter.authz.SslFilter">
<property name="port" value="8443"/>
</bean>
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
……
<property name="filters">
<util:map>
<entry key="authc" value-ref="formAuthenticationFilter"/>
<entry key="ssl" value-ref="sslFilter"/>
</util:map>
</property>
<property name="filterChainDefinitions">
<value>
/login.jsp = ssl,authc
/logout = logout
/authenticated.jsp = authc
/** = user
</value>
</property>
</bean>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值