Shiro中的session和cookie

最新推荐文章于 2022-06-29 15:09:12 发布
最新推荐文章于 2022-06-29 15:09:12 发布
阅读量2.8k 收藏 11
点赞数 2
文章标签: shiro session cookie http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36816062/article/details/110188796
版权

Shiro中的session和cookie
最近项目在整合Shiro框架,顺便深入学习了Shiro的session和cookie。
HTTP协议是无状态的,所以在web项目中一般都是通过session和cookie来保持浏览器和服务器之间的会话的。
shiro也是如此,当浏览器第一次请求服务器时,服务器会生成一个session,同时创建cookie,将sessionId保存在cookie中,cookie再作为响应头返回到浏览器并保存。这也就是我们常说的“cookie保存在客户端,session保存在服务器端”。
Debug查看DefaultWebSessionManager源码:
1.第一次请求服务器,session创建,触发onStart()方法,获取当前session的sessionId,并调用storeSessionId()方法
在这里插入图片描述

2.在storeSessionId()方法中创建cookie,并set值sessionId在这里插入图片描述
3.在saveTo()方法中,获取cookie相关信息,调用addcookieHeader()方法,将cookie值作为响应头返回浏览器。
在这里插入图片描述
在这里插入图片描述
4.此时我们在浏览器看下保存的cookie值,和服务端session的sessionid时一样的
在这里插入图片描述
5.此后我们每向服务器发送请求,都会带着sessionId,服务端通过sesssionId寻找是否存在有效的session,来进行会话保持。当服务端session过期或者当前会话结束(关闭浏览器),都会因sessionId丢失或者session过期被清除,找不到关联的session而导致会话中断。

shiro中的session和保存sessionId的cookie都是可以设置有效期的,此处就不再多说了,直接上配置文件

<bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <!--以下都是默认配置-->
        <property name="httpOnly" value="true"></property>
        <!-- -1:有效期为一个会话,单位为秒-->
        <property name="maxAge" value="-1"></property>

        <property name="name" value="sessionIdCookie"></property>
    </bean>

  <!-- sessionIdCookie:客户端用来存放sessionId的cookie
       key:sessionIdCookie
       value:sessionId
  -->


    <bean id="sessionDao" class="org.apache.shiro.session.mgt.eis.MemorySessionDAO"></bean>

    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <!-- session超时时间,单位毫秒 -->
        <property name="globalSessionTimeout" value="180000"></property>
        <property name="sessionDAO" ref="sessionDao"></property>
        <!-- session有效性检测器,默认是开启的,单位毫秒,3分钟检测一次,并将过期的sesion删除(默认配置)-->
        <property name="sessionValidationInterval" value="300000"></property>
        <property name="sessionIdCookie" ref="sessionIdCookie"></property>
        <property name="sessionListeners">
            <list>
                <bean class="com.ssm.util.MySessionListener"></bean>
            </list>
        </property>
    </bean>

cookie都是key-value类型的,key的值是可以改变的,这点看下源码就可以知道,存储sessionid的cookie的key的值默认为JSESSIONID.

public DefaultWebSessionManager() {
        Cookie cookie = new SimpleCookie("JSESSIONID");
        cookie.setHttpOnly(true);
        this.sessionIdCookie = cookie;
        this.sessionIdCookieEnabled = true;
    }

注意:在使用SessionListenerAdapter来监听session生命周期时,onStart()方法不能作为用户登陆日志的开始时间节点,因为session的创建是在第一次请求服务器创建的,而不是用户登陆时创建的,所以不要搞混;并且onExpiration()方法属于被动的方法,当session过期后,如果你不主动发一次请求或者session检测器检测,是不会触发这个方法的。

qq_36816062
关注
Spring Boot + Shiro 实现 Session 持久化实现思路及遗留问题
DN金猿的博客
07-23 224
从这个角度而言,我们可以通过 Session 监听器监听 Session 创建销毁,属性变更,并将所有创建的SessionId 存储起来,当要踢出某个用户时,用户的Request请求到来时判断RequestSessionId是否一致,一致的话令Session失效,从而实现这个功能!6、上图显示,我们可以拿到所有获得的session,并且内部用户信息无误,此时我们只需要将上述代码的(1)、(2)打开在完全遵守Shiro的应用规则下理应可以删除对应用户!在用户基础服务,需要实现删除用户功能。
springboot集成shirosession污染问题
长空
07-03 1845
        近期同事在项目遇到了shiro冲突的问题,问题起因是这样的,有两套系统,系统a和系统b。两套系统均使用shiro做的权限管理,之前部署在两台机器上。使用浏览器打开a系统后另开页签打开b系统,互不干扰都能正常使用,后因业务迁移,两套系统部署到了一个机器上,再使用浏览器打开a系统后再开b系统。问题就出现了,之前a系统要求重新登录。        原因分析,shiro是基于sessio...
shirosession实现的简单分析
tinysakura的博客
08-28 4834
前阵子对shiro进行分布式环境下的改造时跟了一遍源码,当时只是使用了思维带图简要的记录了一下方法的调用过程。最近有空了决定用博客详细的记录分析一下这个流程,以帮助自己更好的理解。 配置 首先看看shiro在web.xml文件的配置 &amp;amp;lt;!-- shiro过滤器 --&amp;amp;gt; &amp;amp;lt;filter&amp;amp;gt; &amp;amp;lt;filter-name&amp;
shiro的缓存及session.html
weixin_67696142的博客
06-29 285
shiro的缓存及session.html
我的shiro之旅: 十 自定义shiroSessionIdCookie
热门推荐
Dylan的博文
02-17 2万+
博客已移至 http://blog.gogl.top 在使用shiro的时候,曾经有段时间很苦恼,因为我cookiesessionId经常无故被改,然后抛There is no session with id [xxxx]的异常。我们知道,当请求过来,shiro创建session后,会把sessionId写回到客户端的cookie。每二个请求过来时,shiro会拿到这个cookie里的ses...
shirosession ,cookie 以及 sessioncookie 的区别
chuncui2576的博客
06-28 1862
在玩 spring boot 集成 shiro ,,,可是 发现 它的 sessioncookie 把我搞得有点懵了。。。 首先 声明 sessioncookie 的 区别,,,其实 sessioncookie 是 一样的东西, **顺便提一下,,,在web项目里面 s...
shiro cookie
qq 117791303
10-31 625
ShiroSessionCookie的一些思考
qq_20954959的博客
03-27 1万+
这篇博客就来写一写之前学习shiro框架整合的时候,产生的一些问题,相信大家在学习的时候也有相应的一些疑惑。接下来就针对shirosessioncookie来捋一捋。shiro整合学习的总结 shiro+redis集成,避免每次访问有权限的链接都会去执行MyShiroRealm.doGetAuthenticationInfo()方法来查询当前用户的权限,因为实际情况权限是不会经常变得,这样就
ShiroSession分析
lbl的博客
02-11 1648
本文的时序图使用在线工具https://www.websequencediagrams.com/生成 背景:使用Spring boot搭建web工程,使用shiro做认证授权工作 疑惑:成功登录之后,再次请求时,服务器是如何知道已经登录,是哪个用户,是使用HttpSession还是shiroSession SecurityUtils.getSubject() 在处理请求时,可以通过Securi...
shiro 修改sessionid_Shiro会话管理
weixin_39953236的博客
11-20 1052
Shiro提供了一个完整的企业级会话管理解决方案,不再依赖web容器。可以在web和非web环境下使用。1、Shiro会话管理的特性(1)会话事件监听:提供对对session整个生命周期的监听。 (2) 会话存储/持久化:因为shirosession对象是基于java对象的,所以可以将session存储在任何地方,例如,文件,各种数据库,内存等。(...
shiro 新手鼓捣了一天终于搞好了。。还差个分布式session
03-20
shiro 新手鼓捣了一天终于搞好了。。还差个分布式session. MMP改天出个文档写清楚各个配置都是干啥的,还有之间的关系。
shiro 获取请求头sessionId
wxy49212的博客
10-16 2357
shiro 获取请求头sessionId 前言:   在前后端项目, 前端有可能会要求, 后台返回一个 sessionId 给他, 然后他在请求后台接口时, 把这个sessionId 带给后台, 后台拿到这个sessionId , 就能识别, 是那个用户.    在shiro, 会返回一个 JSESSIONID , 其实就是sessionId .   如果不想把sessionId...
Shriosession机制
P19777的博客
03-20 747
主要是web相关,javase不说 引入 SecurityManager是shiro的核心,负责与shiro的其他组件进行交互,而SessionManager是session的真正管理者,负责shirosession管理。 在shrio,当我们利用subject.login()进行登录的时候或者是利用subject.getSession()的时候,就会创建一个session。这个session...
shiro-会话管理(session管理)
加油吧,少年!
03-22 2331
shiro-会话管理(session管理) shiro自己实现了一套session管理体系可以在不借助任何web容器或servlet的情况下使用session。 1.SessionManager(session管理器)、SessionDAO(实现session的增删改查) 2.Redis实现Session共享 3.Redis实现Session共享存在的问题 代码: pom.xml文件添加依赖 ...
Hello Mr.J——shiro session管理机制
Rephilo
08-31 2115
shiro 删除用户session_Shiro Session管理——操作session
weixin_28687251的博客
01-14 1153
整体框架介绍image.png我们可以看到这个框架图,我们的整个交互都是与security Manager做交互,而这里面就有一个Session Manager的管理器,Shiro当然内置了实现,我们也可以根据接口拓展其功能,那么下面,我们就来了解一下shiro关于Session管理的部分内容DefaultWebSessionManager这是一个管理器实现类,是shiro提供的可用的结构。im...
总结之shiro(六)——缓存、session管理
IManiy的博客
11-01 1211
缓存 shiro每次授权都会通过realm获取权限信息,为了提高访问速度需要添加缓存,第一次从realm读取权限数据,之后不再读取。 缓存可以使用redis和ehcache来实现缓存 小型项目使用ehcache就可以了,很方便。 这里使用ehcache 依赖ehcache包 &lt;dependency&gt; &lt;groupId&gt;org.apache.shir...
ShiroshiroSession管理
来日浅谈的博客
05-27 1618
ShiroshiroSession管理1. Session管理介绍2. JavaSE环境下3. JavaEE环境下4. Session监听5. Session检测 1. Session管理介绍 shiro作为⼀款安全管理框架,对状态保持有很强的需要。 ⽐如最常⽤的⽤户认证,就必需状态的保持,以及其他的⼀些功能实现的需要。 【shiro需要:认证的 记住我的⽤户名 正式登陆的⽤户名 】 【 开发者需要:其他功能需要存⼊session的值 】 shiro提供了⼀整套session管理⽅案. 1. s
shiro.session.sessionIdCookie.domain
最新发布
06-13
shiro.session.sessionIdCookie.domain 是 Apache Shiro 框架用于配置 Session ID Cookie 的域名属性。它指定了应用程序使用的 Session ID Cookie 的域名,以便 Cookie 在跨域请求时正确传递。如果未指定此属性,则默认使用当前请求的服务器名称作为 Cookie 的域名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值