细说shiro之六:session管理

最新推荐文章于 2022-08-24 03:24:01 发布
最新推荐文章于 2022-08-24 03:24:01 发布
阅读量83 收藏
点赞数
文章标签: java

技术分享图片
官网:https://shiro.apache.org/

我们先来看一下shiro中关于Session和Session Manager的类图。
技术分享图片
技术分享图片

如上图所示,shiro自己定义了一个新的Session接口,用于统一操作接口,并通过SessionManager实现Session管理。
其中的3个实现类HttpServletSession,SimpleSession和StoppingAwareProxiedSession是我们经常需要打交道的。

HttpServletSession

首先,我们来看看org.apache.shiro.web.session.HttpServletSession的实现。

public HttpServletSession(HttpSession httpSession, String host) {
if (httpSession == null) {

        String msg = "HttpSession constructor argument cannot be null.";
throw new IllegalArgumentException(msg);

    }
if (httpSession instanceof ShiroHttpSession) {

        String msg = "HttpSession constructor argument cannot be an instance of ShiroHttpSession.  This " +
"is enforced to prevent circular dependencies and infinite loops.";
throw new IllegalArgumentException(msg);

    }
this.httpSession = httpSession;
if (StringUtils.hasText(host)) {
setHost(host);

    }

}

显然,HttpServletSession只是简单对javax.servlet.http.HttpSession进行了封装,即:
在Web应用程序中,所有对Session相关的操作最终都是对javax.servlet.http.HttpSession进行的。
技术分享图片
通过对上述Subject.login()的时序图分析可以知道:
在Web应用程序中,Shiro确实是通过ServletContainerSessionManager获取到容器创建的HttpSession再封装为HttpServletSession的。
也就是说,Subjec.login()登录成功后用户的认证信息实际上是保存在HttpSession中的。如果此时Web应用程序部署了多实例,必须要进行Session同步。
我们知道,SecurityManager是整个Shiro框架的核心控制器,在SpringMVC中集成Shiro时,就需要明确配置对应的SecurityManager。

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- Single realm app.  If you have multiple realms, use the ‘realms‘ property instead. -->
<property name="realm" ref="myRealm" />
</bean>

而在org.apache.shiro.web.mgt.DefaultWebSecurityManager的实现中,使用的SessionManager就是ServletContainerSessionManager。

public DefaultWebSecurityManager() {
super();

    ((DefaultSubjectDAO) this.subjectDAO).setSessionStorageEvaluator(new DefaultWebSessionStorageEvaluator());
this.sessionMode = HTTP_SESSION_MODE;
setSubjectFactory(new DefaultWebSubjectFactory());
setRememberMeManager(new CookieRememberMeManager());
setSessionManager(new ServletContainerSessionManager()); // 配置Session Manager

}

SimpleSession

shiro具备完善的Session管理机制,当在命令行程序中使用Shiro框架时,同样可以执行与Web应用程序一样的Session操作。
此时,Shiro实际上使用SimpleSession实现。

StoppingAwareProxiedSession

实际上,StoppingAwareProxiedSession仅仅是一个Session包装类,即:
无论是HttpServletSession还是SimpleSession,在执行Subject.login()时保存到Subject中的Session都是StoppingAwareProxiedSession对象。

private class StoppingAwareProxiedSession extends ProxiedSession {
private final DelegatingSubject owner;

private StoppingAwareProxiedSession(Session target, DelegatingSubject owningSubject) {
super(target);

        owner = owningSubject;

    }
public void stop() throws InvalidSessionException {
super.stop();

        owner.sessionStopped();

    }

}

【参考】
https://shiro.apache.org/session-management.html

weixin_33739523
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro+redis做session管理
11-20
shiro+redis做session管理,简单demo。
Shiro-09-Session Management 会话管理
最新发布
02-18 859
Apache Shiro在 安全性框架世界中提供了一些独特的功能:适用于任何应用程序的完整的企业级Session解决方案,从最简单的命令行和智能手机应用程序到最大的群集企业Web应用程序。这对许多应用程序都有很大的影响-在Shiro之前,如果需要会话支持,则需要将应用程序部署在Web容器中或使用EJB状态会话Bean。ShiroSession支持比这两种机制中的任何一种都更易于使用和管理,并且在任何应用程序中都可以使用,而不论其容器如何。
shiro-会话管理session管理
加油吧,少年!
03-22 2306
shiro-会话管理session管理shiro自己实现了一套session管理体系可以在不借助任何web容器或servlet的情况下使用session。 1.SessionManager(session管理器)、SessionDAO(实现session的增删改查) 2.Redis实现Session共享 3.Redis实现Session共享存在的问题 代码: pom.xml文件中添加依赖 ...
第六章:ShiroSession管理
逸轩
04-09 2964
概述和配置使用 n概述   Shiro提供安全框架界独一无二的东西:一个完整的企业级Session 解决方案,可以为任意的应用提供session支持,包括web和非web应用,并且无需部署你的应用程序到Web 容器或使用EJB容器。 n基本使用   可以通过与当前执行的Subject 交互来获取Session:   Subject currentUser = Secu
ShiroshiroSession管理
来日浅谈的博客
05-27 1507
ShiroshiroSession管理1. Session管理介绍2. JavaSE环境下3. JavaEE环境下4. Session监听5. Session检测 1. Session管理介绍 shiro作为⼀款安全管理框架,对状态保持有很强的需要。 ⽐如最常⽤的⽤户认证,就必需状态的保持,以及其他的⼀些功能实现的需要。 【shiro需要:认证中的 记住我中的⽤户名 正式登陆的⽤户名 】 【 开发者需要:其他功能中需要存⼊session的值 】 shiro提供了⼀整套session管理⽅案. 1. s
shiro-site:Apache Shiro网站
04-28
Apache Shiro网站概述Apache Shiro网站是静态内容网站,可以从访问。 网站内容被创作为Markdown和HTML文件。 这些文件由工具扫描,该工具根据需要将页面模板应用于每个文件的内容,并将呈现的静态.html文件输出到...
Shiro简易实例:HelloWorld
11-03
本资源包含一篇文档和一个完整实例。实例用了maven创建项目。 大家下载的时候,这点注意一些。然后吧,里面用的是最最简单的shiro实例。
shiro-biz:Shiro 扩展实现
04-10
管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。###Authenticator:认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authentication ...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Shiro安全框架》专题(九)-Shirosession管理
学习交流,答疑解惑,可以查看博客主页左侧我的推广哦!
02-02 612
文章目录1.session2.session常用方法3.实现登录成功后保存登录信息到session中4.用户注销 1.session shiro提供的session不依赖web容器,可以直接使用,如果是在web环境下,session中的数据和httpsession中的数据是通的。Shiro中的session可以出现在任何地方,例如service、dao等,不需要从controller中传递session参数,用户保存在session中的数据可以在HTTP session中获取,保存在httpsession
Shiro学习(10)Session管理
m0_67403073的博客
08-24 2347
但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。更新会话最后访问时间及销毁会话;
shirosession管理
你就像甜甜的益达
01-07 1217
目录shiroSessionManager在web容器里面的session跟HttpSession是同一个吗?自定义sessionManager我们先看SessionDAO使用内存缓存使用redis剩下的配置比较简单:总结 shiroSessionManager 在官方架构图里面: 在默认的SecurityManager的uml图里面: 前面的CacheSecurityManager,re...
shiro教程:session管理
好好学java
07-23 2610
当我们项目需要进行session管理的时候,我们就需要进行相关的配置了,下面讲一下步骤 1、配置文件配置 首先我们需要对sessionManager进行相关的配置。 &lt;!-- 会话管理器 start --&gt; &lt;bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebS...
Shiro入门-session管理
大白能的博客
04-06 1213
shiro整合后,使用shirosession管理shiro提供sessionDao操作会话数据。 配置spring-shiro.xml<!-- securityManager安全管理器 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <propert
Shiro(二)——session管理
Super__Bill的博客
04-06 281
Shiro Session session管理可以说是Shiro的一大卖点。 Shiro可以为任何应用(从简单的命令行程序还是手机应用再到大型企业应用)提供会话解决方案。 在Shiro出现之前,如果我们想让你的应用支持session,我们通常会依赖web容器或者使用EJB的Session Bean。 Shirosession的支持更加易用,而且他可以在任何应用、任何容器中使用。 即便我们使用Se...
shiro管理session
m0_38053538的博客
05-24 5769
1.session使用token登录之后可以直接使用subject获取用户session。可以操作session[html] view plain copypublic void test(){                     Factory&lt;org.apache.shiro.mgt.SecurityManager&gt; factory =  new IniSecurityMana...
Shiro的缓存和session管理
qq383264679的专栏
10-25 5460
shiro每个授权都会通过realm获取权限信息,为了提高访问速度需要添加缓存,第一次从realm中读取权限数据,之后不再读取,这里Shiro和Ehcache整合。 缓存的配置: 第一次访问: @RequiresPermissions("user:create") @Requ
shirosession管理踢出用户
09-11
shirosession管理功能可以通过设置session超时时间来自动踢出用户,即当用户的会话超过设定的时间后,会自动使用户失效,需要重新登录。 要实现用户踢出功能,可以通过在登录时记录用户的session信息,并将其保存...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值