Shiro会话管理及与SpringBoot整合

1、Shiro中的会话管理

在shiro里所有的用户的会话信息都会由Shiro来进行控制，shiro提供的会话可以用于JavaSE/JavaEE环境，不依赖于任何底层容器，可以独立使用，是完整的会话模块。通过Shiro的会话管理器（SessionManager）进行统一的会话管理。

1.1 什么是shiro的会话管理

SessionManager（会话管理器）：管理所有Subject的session包括创建、维护、删除、失效、验证等工作。
SessionManager是顶层组件，由SecurityManager管理
shiro提供了三个默认实现：

1. DefaultSessionManager：用于JavaSE环境
2. ServletContainerSessionManager：用于Web环境，直接使用servlet容器的会话。
3. DefaultWebSessionManager：用于web环境，自己维护会话（自己维护着会话，直接废弃了Servlet容器的会话管理）。在web程序中，通过shiro的Subject.login()方法登录成功后，用户的认证信息实际上是保存在HttpSession中的通过如下代码验证。

//登录成功后，打印所有session内容
@RequestMapping(value="/show")
public String show(HttpSession session) {
   
    // 获取session中所有的键值
    Enumeration<?> enumeration = session.getAttributeNames();
    // 遍历enumeration中的
    while (enumeration.hasMoreElements()) {
   
      // 获取session键值
      String name = enumeration.nextElement().toString();
      // 根据键值取session中的值
      Object value = session.getAttribute(name);
      // 打印结果
      System.out.println("<B>" + name + "</B>=" + value + "<br>/n");
   }
    return "查看session成功";
 }

1.2 应用场景分析

在分布式系统或者微服务架构下，都是通过统一的认证中心进行用户认证。如果使用默认会话管理，用户信息只会保存到一台服务器上。那么其他服务就需要进行会话的同步。会话管理器可以指定sessionId的生成以及获取方式。通过sessionDao完成模拟session存入，取出等操作。

1.3 Shiro结合redis的统一会话管理

1.3.1 步骤分析

1.3.2 构建环境

（1）使用开源组件Shiro-Redis可以方便的构建shiro与redis的整合工程。

<dependency>
<groupId>org.crazycake</groupId>
<artifactId>shiro-redis</artifactId>
<version>3.0.0</version>
</dependency>

（2） 在springboot配置文件中添加redis配置

redis:
 host: 127.0.0.1
 port: 6379

1.3.3 自定义shiro会话管理器

/**
* 自定义的sessionManager
*/
public class CustomSessionManager extends DefaultWebSessionManager {
   
  /**
  * 头信息中具有sessionid
  *   请求头：Authorization： sessionid
  *
  * 指定sessionId的获取方式
  */
  protected Serializable getSessionId(ServletRequest request, ServletResponse
response) {
   
    //获取请求头Authorization中的数据
    String id = WebUtils.toHttp(request).getHeader("Authorization");
    if(StringUtils.isEmpty(id)) {
   
      //如果没有携带，生成新的sessionId
      return super.getSessionId(request,response);
   }else{
   
      //返回sessionId；
      request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,
"header");
      request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
    
 request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID,
Boolean.TRUE);
      return id;
   }
 }
}

1.3.4 配置Shiro基于redis的会话管理

在Shiro配置类ShiroConfiguration 配置

1. 配置shiro的RedisManager，通过shiro-redis包提供的RedisManager统一对redis操作

@Value("${spring.redis.host}")
private String host;
@Value("${spring.redis.port}")
private int port;
//配置shiro redisManager
public RedisManager redisManager() {
   
  RedisManager redisManager = new RedisManager();
  redisManager.setHost(host);
  redisManager.setPort(port);
  return redisManager;
}

2. Shiro内部有自己的本地缓存机制，为了更加统一方便管理，全部替换redis实现

//配置Shiro的缓存管理器
//使用redis实现
public RedisCacheManager cacheManager() {
RedisCacheManager redisCacheManager = new RedisCacheManager();
redisCacheManager.setRedisManager(redisManager());
return redisCacheManager;
}

3. 配置SessionDao，使用shiro-redis实现的基于redis的sessionDao

/**
* RedisSessionDAO shiro sessionDao层的实现 通过redis
* 使用的是shiro-redis开源插件
*/
public RedisSessionDAO redisSessionDAO() {
   
  RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
  redisSessionDAO.setRedisManager(redisManager());
  return redisSessionDAO;
}

4. 配置会话管理器，指定sessionDao的依赖关系

/**
  * 会话管理器
  */
  public DefaultWebSessionManager sessionManager() {
   
    CustomSessionManager sessionManager = new CustomSessionManager();
    sessionManager.setSessionDAO(redisSessionDAO());
    return sessionManager;
 }

5. 统一交给SecurityManager管理

//配置安全管理器
  @Bean
  public SecurityManager securityManager(CustomRealm realm) {
   
    //使用默认的安全管理器
    DefaultWebSecurityManager securityManager = new
DefaultWebSecurityManager(realm);
    // 自定义session管理 使用redis
    securityManager.setSessionManager