SpringBoot整合Shiro-session管理(六)

最新推荐文章于 2023-08-15 15:02:06 发布
最新推荐文章于 2023-08-15 15:02:06 发布
阅读量635 收藏
点赞数
分类专栏: Shiro
原文链接:https://blog.csdn.net/qq_34021712/article/details/80418112
版权

原文:https://blog.csdn.net/qq_34021712/article/details/80418112

Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。即直接使用 Shiro 的会话管理可以直接替换如 Web 容器的会话管理。

shiro中的session特性

  • 基于POJO/J2SE:shiro中session相关的类都是基于接口实现的简单的java对象(POJO),兼容所有java对象的配置方式,扩展也更方便,完全可以定制自己的会话管理功能 。
  • 简单灵活的会话存储/持久化:因为shiro中的session对象是基于简单的java对象的,所以你可以将session存储在任何地方,例如,文件,各种数据库,内存中等。
  • 容器无关的集群功能:shiro中的session可以很容易的集成第三方的缓存产品完成集群的功能。例如,Ehcache + Terracotta, Coherence, GigaSpaces等。你可以很容易的实现会话集群而无需关注底层的容器实现。
  • 异构客户端的访问:可以实现web中的session和非web项目中的session共享。
  • 会话事件监听:提供对对session整个生命周期的监听。
  • 保存主机地址:在会话开始session会存用户的ip地址和主机名,以此可以判断用户的位置。
  • 会话失效/过期的支持:用户长时间处于不活跃状态可以使会话过期,调用touch()方法,可以主动更新最后访问时间,让会话处于活跃状态。
  • 透明的Web支持:shiro全面支持Servlet 2.5中的session规范。这意味着你可以将你现有的web程序改为shiro会话,而无需修改代码。
  • 单点登录的支持:shiro session基于普通java对象,使得它更容易存储和共享,可以实现跨应用程序共享。可以根据共享的会话,来保证认证状态到另一个程序。从而实现单点登录。

会话相关API

Subject subject = SecurityUtils.getSubject();
Session session = subject.getSession();

与web中的 HttpServletRequest.getSession(boolean create) 类似!
Subject.getSession(true)。即如果当前没有创建session对象会创建一个;
Subject.getSession(false),如果当前没有创建session对象则返回null。

拿到session之后,就可以调用以下API

返回值方法名描述
ObjectgetAttribute(Object key)根据key标识返回绑定到session的对象
CollectiongetAttributeKeys()获取在session中存储的所有的key
StringgetHost()获取当前主机ip地址,如果未知,返回null
SerializablegetId()获取session的唯一id
DategetLastAccessTime()获取最后的访问时间
DategetStartTimestamp()获取session的启动时间
longgetTimeout()获取session失效时间,单位毫秒
voidsetTimeout(long maxIdleTimeInMillis)设置session的失效时间
ObjectremoveAttribute(Object key)通过key移除session中绑定的对象
voidsetAttribute(Object key, Object value)设置session会话属性
voidstop()销毁会话
voidtouch()更新会话最后访问时间

会话管理器

会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。是Shiro的核心组件,顶层组件SecurityManager直接继承了SessionManager,且提供了SessionsSecurityManager实现直接把会话管理委托给相应的SessionManager,DefaultSecurityManager及DefaultWebSecurityManager默认SecurityManager都继承了SessionsSecurityManager。
SecurityManager提供了如下接口:

//启动会话
Session start(SessionContext context);

//根据会话Key获取会话
Session getSession(SessionKey key) throws SessionException;

另外用于Web环境的WebSessionManager又提供了如下接口:

//是否使用Servlet容器的会话
boolean isServletContainerSessions();

Shiro还提供了ValidatingSessionManager用于验资并过期会话:

//验证所有会话是否过期
void validateSessions();

在这里插入图片描述
Shiro提供了三个默认实现:
DefaultSessionManager:DefaultSecurityManager使用的默认实现,用于JavaSE环境;

ServletContainerSessionManager:DefaultWebSecurityManager使用的默认实现,用于Web环境,其直接使用Servlet容器的会话;

DefaultWebSessionManager:用于Web环境的实现,可以替代ServletContainerSessionManager,自己维护着会话,直接废弃了Servlet容器的会话管理。

shiro配置会话管理配置

创建session监听类,实现SessionListener接口
package com.springboot.test.shiro.config.shiro;

import org.apache.shiro.session.Session;
import org.apache.shiro.session.SessionListener;

import java.util.concurrent.atomic.AtomicInteger;

/**
 * @author: wangsaichao
 * @date: 2018/5/15
 * @description: 配置session监听器
 */
public class ShiroSessionListener implements SessionListener{

    /**
     * 统计在线人数
     * juc包下线程安全自增
     */
    private final AtomicInteger sessionCount = new AtomicInteger(0);

    /**
     * 会话创建时触发
     * @param session
     */
    @Override
    public void onStart(Session session) {
        //会话创建,在线人数加一
        sessionCount.incrementAndGet();
    }

    /**
     * 退出会话时触发
     * @param session
     */
    @Override
    public void onStop(Session session) {
        //会话退出,在线人数减一
        sessionCount.decrementAndGet();
    }

    /**
     * 会话过期时触发
     * @param session
     */
    @Override
    public void onExpiration(Session session) {
        //会话过期,在线人数减一
        sessionCount.decrementAndGet();
    }
    /**
     * 获取在线人数使用
     * @return
     */
    public AtomicInteger getSessionCount() {
        return sessionCount;
    }
}

在ShiroConfig类中添加以下Bean

配置session监听
/**
 * 配置session监听
 * @return
 */
@Bean("sessionListener")
public ShiroSessionListener sessionListener(){
    ShiroSessionListener sessionListener = new ShiroSessionListener();
    return sessionListener;
}
配置会话ID生成器
/**
 * 配置会话ID生成器
 * @return
 */
@Bean
public SessionIdGenerator sessionIdGenerator() {
    return new JavaUuidSessionIdGenerator();
}
配置sessionDAO
/**
 * SessionDAO的作用是为Session提供CRUD并进行持久化的一个shiro组件
 * MemorySessionDAO 直接在内存中进行会话维护
 * EnterpriseCacheSessionDAO  提供了缓存功能的会话维护,默认情况下使用MapCache实现,内部使用ConcurrentHashMap保存缓存的会话。
 * @return
 */
@Bean
public SessionDAO sessionDAO() {
    EnterpriseCacheSessionDAO enterpriseCacheSessionDAO = new EnterpriseCacheSessionDAO();
    //使用ehCacheManager
    enterpriseCacheSessionDAO.setCacheManager(ehCacheManager());
    //设置session缓存的名字 默认为 shiro-activeSessionCache
    enterpriseCacheSessionDAO.setActiveSessionsCacheName("shiro-activeSessionCache");
    //sessionId生成器
    enterpriseCacheSessionDAO.setSessionIdGenerator(sessionIdGenerator());
    return enterpriseCacheSessionDAO;
}
配置sessionId的Cookie
/**
 * 配置保存sessionId的cookie 
 * 注意:这里的cookie 不是上面的记住我 cookie 记住我需要一个cookie session管理 也需要自己的cookie
 * @return
 */
@Bean("sessionIdCookie")
public SimpleCookie sessionIdCookie(){
    //这个参数是cookie的名称
    SimpleCookie simpleCookie = new SimpleCookie("sid");
    //setcookie的httponly属性如果设为true的话,会增加对xss防护的安全系数。它有以下特点:

    //setcookie()的第七个参数
    //设为true后,只能通过http访问,javascript无法访问
    //防止xss读取cookie
    simpleCookie.setHttpOnly(true);
    simpleCookie.setPath("/");
    //maxAge=-1表示浏览器关闭时失效此Cookie
    simpleCookie.setMaxAge(-1);
    return simpleCookie;
}
配置session管理器
/**
 * 配置会话管理器,设定会话超时及保存
 * @return
 */
@Bean("sessionManager")
public SessionManager sessionManager() {

    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    Collection<SessionListener> listeners = new ArrayList<SessionListener>();
    //配置监听
    listeners.add(sessionListener());
    sessionManager.setSessionListeners(listeners);
    sessionManager.setSessionIdCookie(sessionIdCookie());
    sessionManager.setSessionDAO(sessionDAO());
    sessionManager.setCacheManager(ehCacheManager());

    return sessionManager;

}

注意:这里的SessionIdCookie 是新建的一个SimpleCookie对象,不是之前整合记住我的那个rememberMeCookie 如果配错了,就会出现session经典问题:每次请求都是一个新的session 并且后台报以下异常,解析的时候报错.因为记住我cookie是加密的用户信息,所以报解密错误

org.apache.shiro.crypto.CryptoException: Unable to execute 'doFinal' with cipher instance [javax.crypto.Cipher@461df537].
将session管理器交给SecurityManager
/**
 * 配置核心安全事务管理器
 * @return
 */
@Bean(name="securityManager")
public SecurityManager securityManager() {
    DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
    //设置自定义realm.
    securityManager.setRealm(shiroRealm());
    //配置记住我 参考博客:
    securityManager.setRememberMeManager(rememberMeManager());

    //配置 ehcache缓存管理器 参考博客:
    securityManager.setCacheManager(ehCacheManager());

    //配置自定义session管理,使用ehcache 或redis
    securityManager.setSessionManager(sessionManager());

    return securityManager;
}
启动测试

配置完成之后启动测试,登陆的时候点击 rememberMe 查看cookie 可以看到一个sessionId 和 一个记住我cookie

配置清理孤立session

以上整合会话管理,还有一个问题: 如果用户如果不点注销,直接关闭浏览器,不能够进行session的清空处理,所以为了防止这样的问题,还需要增加有一个会话的验证调度。
修改sessionManager如下:

/**
 * 配置会话管理器,设定会话超时及保存
 * @return
 */
@Bean("sessionManager")
public SessionManager sessionManager() {

    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    Collection<SessionListener> listeners = new ArrayList<SessionListener>();
    //配置监听
    listeners.add(sessionListener());
    sessionManager.setSessionListeners(listeners);
    sessionManager.setSessionIdCookie(sessionIdCookie());
    sessionManager.setSessionDAO(sessionDAO());
    sessionManager.setCacheManager(ehCacheManager());

    //全局会话超时时间(单位毫秒),默认30分钟  暂时设置为10秒钟 用来测试
    sessionManager.setGlobalSessionTimeout(1800000);
    //是否开启删除无效的session对象  默认为true
    sessionManager.setDeleteInvalidSessions(true);
    //是否开启定时调度器进行检测过期session 默认为true
    sessionManager.setSessionValidationSchedulerEnabled(true);
    //设置session失效的扫描时间, 清理用户直接关闭浏览器造成的孤立会话 默认为 1个小时
    //设置该属性 就不需要设置 ExecutorServiceSessionValidationScheduler 底层也是默认自动调用ExecutorServiceSessionValidationScheduler
    //暂时设置为 5秒 用来测试
    sessionManager.setSessionValidationInterval(3600000);

    return sessionManager;

}

测试方法:

设置 全局session超时时间setGlobalSessionTimeout为 10000 ,设置session的失效扫描时间setSessionValidationInterval为5000,然后测试
结果如下:

后台每5秒会打印日志 显示 如下:
2018/05/23 11:20:11.516 o.a.s.s.m.ExecutorServiceSessionValidationScheduler [] DEBUG Executing session validation...
2018/05/23 11:20:11.516 o.a.s.s.m.AbstractValidatingSessionManager [] INFO  Validating all active sessions...
2018/05/23 11:20:11.516 o.a.s.w.s.m.DefaultWebSessionManager [] DEBUG SessionKey argument is not HTTP compatible or does not have an HTTP request/response pair. Session ID cookie will not be removed due to invalidated session.
2018/05/23 11:20:11.516 o.a.s.s.m.AbstractValidatingSessionManager [] DEBUG Invalidated session with id [2e9e317f-7575-4bb0-98c4-3e6e5d2578f5] (expired)
2018/05/23 11:20:11.516 o.a.s.s.m.AbstractValidatingSessionManager [] INFO  Finished session validation.  [1] sessions were stopped.
2018/05/23 11:20:11.516 o.a.s.s.m.ExecutorServiceSessionValidationScheduler [] DEBUG Session validation completed successfully in 0 milliseconds.

session过期之后 再点击连接跳转到首页,并且后台报错 提示 找不到session

org.apache.shiro.session.UnknownSessionException: There is no session with id [2e9e317f-7575-4bb0-98c4-3e6e5d2578f5]
ehcache-shiro.xml添加session缓存属性
<!-- session缓存 -->
<cache name="shiro-activeSessionCache"
       maxEntriesLocalHeap="2000"
       eternal="false"
       timeToIdleSeconds="0"
       timeToLiveSeconds="0"
       overflowToDisk="false"
       statistics="true">
</cache>

注意: 这里一定要注意缓存的设置过期时间,还有setGlobalSessionTimeout 的值,任一个时间设置的比较短,session就会从ehcache中清除,到时候就会报
There is no session with id [2e9e317f-7575-4bb0-98c4-3e6e5d2578f5]

shiro取消url上面的JSESSIONID
//取消url 后面的 JSESSIONID
sessionManager.setSessionIdUrlRewritingEnabled(false);
完整的sessionManager如下:
/**
 * 配置会话管理器,设定会话超时及保存
 * @return
 */
@Bean("sessionManager")
public SessionManager sessionManager() {

    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    Collection<SessionListener> listeners = new ArrayList<SessionListener>();
    //配置监听
    listeners.add(sessionListener());
    sessionManager.setSessionListeners(listeners);
    sessionManager.setSessionIdCookie(sessionIdCookie());
    sessionManager.setSessionDAO(sessionDAO());
    sessionManager.setCacheManager(ehCacheManager());

    //全局会话超时时间(单位毫秒),默认30分钟  暂时设置为10秒钟 用来测试
    sessionManager.setGlobalSessionTimeout(10000);
    //是否开启删除无效的session对象  默认为true
    sessionManager.setDeleteInvalidSessions(true);
    //是否开启定时调度器进行检测过期session 默认为true
    sessionManager.setSessionValidationSchedulerEnabled(true);
    //设置session失效的扫描时间, 清理用户直接关闭浏览器造成的孤立会话 默认为 1个小时
    //设置该属性 就不需要设置 ExecutorServiceSessionValidationScheduler 底层也是默认自动调用ExecutorServiceSessionValidationScheduler
    //暂时设置为 5秒 用来测试
    sessionManager.setSessionValidationInterval(5000);

    //取消url 后面的 JSESSIONID
    sessionManager.setSessionIdUrlRewritingEnabled(false);

    return sessionManager;

}
来自大山深处的Doge_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro会话监听_SpringBoot-Shiro/doc/SpringBoot集成Shiro进行在线会话管理.md at master · JavaCodeMing/SpringBoot-Shir...
weixin_29542759的博客
02-11 193
```text1.在Shiro中可以通过org.apache.shiro.session.mgt.eis.SessionDAO对象的getActiveSessions()方法方便的获取到当前所有有效的Session对象;2.通过这些Session对象,可以实现一些比较有趣的功能,比如查看当前系统的在线人数,查看这些在线用户的一些基本信息,强制让某个用户下线等;3.现有在集成缓存的基础上添加shir...
11springboot 整合shiro 中(session中的会话管理
Insist___的博客
02-06 2452
文章目录1 什么是shiro的会话管理2应用场景分析3 Shiro结合redis的统一会话管理4 步骤:4.1引入依赖4.2在springboot配置文件中添加redis配置4.3 自定义shiro会话管理器4.4配置Shiro基于redis的会话管理4.5user对象实现AuthCachePrincipal5 上传代码: 在shiro里所有的用户的会话信息都会由Shiro来进行控制,shiro提...
SpringBoot 集成Shiro之会话管理整理
weixin_38739218的博客
02-20 389
SpringBoot-Shiro在线会话管理(6)
志豪的博客
12-18 1260
SpringBoot-Shiro在线会话管理(2019.12.18) 在Shiro中可以通过org.apache.shiro.session.mgt.eis.SessionDAO对象的getActiveSessions()方法方便的获取到当前所有有效的Session对象。通过这些Session对象,可以实现一些功能,比如查看当前系统的在线人数,查看这些在线用户的一些基本信息,强制让某个用户下线与分...
Shiro第七篇】SpringBoot + Shiro实现会话管理
weixiaohuai的博客
11-21 1272
一、概述 Shiro 提供了完整的企业级会话管理功能,不依赖于底层容器(如 web 容器 tomcat),不管 JavaSE 还是 JavaEE 环境都可以使用,提供了会话管理、会话事件监听、会话存储 / 持久化、容器无关的集群、失效 / 过期支持、对 Web 的透明支持、SSO 单点登录的支持等特性,即直接使用 Shiro 的会话管理可以直接替换如 Web 容器的会话管理。 二、重要概念 会话 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
springboot-shiro-mybatis-demo.zip
02-08
SpringBoot整合Shiro与MyBatis的实战详解》 在现代Java开发中,SpringBoot以其简洁、快速的特性受到了广大开发者的喜爱。而Shiro和MyBatis作为两个非常重要的安全框架和持久层框架,它们的整合可以为Web应用提供...
springboot +shiro+redis实现session共享(方案二)1
08-08
"Spring Boot + Shiro + Redis 实现 Session 共享方案二" 1. 概述 本文档旨在介绍如何使用 Spring Boot、Shiro 和 Redis 实现分布式 session 共享,以解决 Web 应用程序的登录 session 统一问题。 2. 相关依赖 ...
SpringBootShiro整合-权限管理实战资料
08-07
在课程中,我们将学习如何在Thymeleaf模板引擎中整合Shiro的权限标签库,实现动态的页面元素展示,如隐藏或显示按钮、链接等,根据用户的权限状态决定其可见性。 此外,我们还会讨论Shiro的会话管理,如如何实现...
springboot-shiro-2.rar
10-18
SpringBoot整合Shiro实战详解》 在Java Web开发领域,SpringBoot以其便捷的配置、快速的启动和强大的集成能力,已经成为主流的开发框架。而Shiro作为一款轻量级的安全框架,它提供了身份验证、授权、会话管理和...
ShiroSpringBoot工程的应用、Shiro中的会话管理
王和平的第三个果园
10-30 231
整合Shiro spring和shiro整合依赖 <!--shiro和spring整合--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version>
Shiro会话管理及与SpringBoot整合
qqxhb 资源共享
08-13 364
1、Shiro中的会话管理shiro里所有的用户的会话信息都会由Shiro来进行控制,shiro提供的会话可以用于JavaSE/JavaEE环境,不依赖于任何底层容器,可以独立使用,是完整的会话模块。通过Shiro的会话管理器(SessionManager)进行统一的会话管理。 1.1 什么是shiro的会话管理 SessionManager(会话管理器):管理所有Subject的sessio...
Shiro安全框架(二)SpringBoot+会话管理
qq_36662478的博客
06-25 903
1 ShiroSpringBoot工程的应用   Shiro是一个功能强大、灵活的,开源的安全框架。它可以干净利落地处理身份验证、授权、企业会话管理和加密。越来越多的企业使用Shiro作为项目的安全框架,保证项目的平稳运行。   在之前的讲解中只是单独的使用shiro,方便学员对shiro有一个直观且清晰的认知,我们今天就来看一下shirospringBoot工程中如何使用以及其他特性 1....
Shiro会话管理和加密
dx1492956965的博客
09-22 126
会话管理 Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效期支持,对Web的透明支持,SSO单点登录的支持等特性。接下来我们从几个方面了解一下Shiro的会话管理。 会话相关 API Subject.getSession():获取会话,等价于Subject.getSession(true),即如果当前没有创建session 付象会创建一个;Subject.getSess
Spring Boot 3.0 (十四): Spring Boot 整合 Shiro安全框架
最新发布
qq_2118119173的博客
08-15 1219
在概念层,Shiro 架构包含三个主要的理念:Subject,SecurityManager和 Realm。下面的图展示了这些组件如何相互作用,我们将在下面依次对其进行描述。Subject:当前用户,Subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事件。SecurityManager:管理所有Subject,SecurityManager 是 Shiro 架构的核心,配合内部安全组件共同组成安全伞。
ServletContainerSessionManager类
iteye_10899的博客
11-08 1801
ServletContainerSessionManager类主要定义了,它实现了WebSessionManager接口,现对其解析如下: 1.WebSessionManager接口 可以参考WebSessionManager接口源码解析,里面只有一个方法, 定义了session是否由servletcontainer管理。 2.ServletContainerSessionManager...
第十章 会话管理(四) 会话存储/持久化
yifanSJ的博客
09-13 669
Shiro 提供SessionDAO 用于会话的CRUD,即DAO(Data Access Object)模式实现: 1. 如DefaultSessionManager 在创建完session 后会调用该方法;如保存到关系数据库/文件系统/NoSQL 数据库;即可以实现会话的持久化;返回会话ID;主要此处返回的ID.equals(session.getId()); Serializable c
shiro安全框架异常退出没有清除缓存信息处理方案
zyujie的专栏
09-11 6197
最近项目遇到问题,shiro框异常退出没有清除缓存信息,服务器重启后,又拿旧的缓存session来登录,造成后台报错。 这里转载网友的文章,记录一下解决方法。大体就是重写sessionManager类,做一个清除操作。 配置默认会话管理器: 全局的会话信息设置成15秒,检测扫描信息间隔30秒,第三个参数就是是否开启扫描 重写管理器类的一个方法 packa
37 | (加深印象)SpringBoot整合shiro和redis实现授权、认证和会话管理
NSX-Truth
10-05 322
前言 之前我写过一篇关于shiro的,但时间长了,忘了且感觉写得不是很完整,再写一篇加深印象,这里建议你先看完之前那篇文章,因为这里将不重点介绍shiro的基础知识 1. spring和shiro整合依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</vers
springboot整合shiro框架实现session会话超时
05-12
在使用 Spring Boot 整合 Shiro 进行开发时,可以通过配置 Shirosession 过期时间来实现会话超时。具体实现步骤如下: 1. 在 Shiro 的配置文件中配置 session 过期时间: ```xml <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <!-- session 过期时间,单位毫秒 --> <property name="globalSessionTimeout" value="1800000"/> <!-- 是否开启删除无效的 session 对象 --> <property name="deleteInvalidSessions" value="true"/> </bean> ``` 2. 在 Spring Boot 的配置类中配置 Shiro 过滤器: ```java @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); // 必须设置 SecurityManager shiroFilterFactoryBean.setSecurityManager(securityManager); // 配置登录的 url 和登录成功的 url shiroFilterFactoryBean.setLoginUrl("/login"); shiroFilterFactoryBean.setSuccessUrl("/index"); // 配置未授权跳转页面 shiroFilterFactoryBean.setUnauthorizedUrl("/403"); // 配置访问权限 LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); // 过滤链定义,从上向下顺序执行,一般将 /** 放在最为下边 // authc:所有 url 都必须认证通过才可以访问;anon:所有 url 都都可以匿名访问 filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/logout", "logout"); filterChainDefinitionMap.put("/static/**", "anon"); filterChainDefinitionMap.put("/js/**", "anon"); filterChainDefinitionMap.put("/css/**", "anon"); filterChainDefinitionMap.put("/images/**", "anon"); filterChainDefinitionMap.put("/**", "authc"); shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilterFactoryBean; } @Bean public DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(userRealm()); securityManager.setSessionManager(sessionManager()); return securityManager; } @Bean public UserRealm userRealm() { return new UserRealm(); } @Bean public DefaultWebSessionManager sessionManager() { DefaultWebSessionManager sessionManager = new DefaultWebSessionManager(); // 设置 session 过期时间,单位毫秒 sessionManager.setGlobalSessionTimeout(1800000); // 删除无效的 session 对象 sessionManager.setDeleteInvalidSessions(true); return sessionManager; } } ``` 通过以上配置,可以在 Shiro 中实现 session 会话超时功能。在用户登录后,session 的过期时间会被设置为配置的时间,当用户在该时间内没有操作时,session 会话将被 Shiro 销毁,用户需要重新登录。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值