shiro 删除用户session_Shiro(二)

最新推荐文章于 2021-11-08 15:16:52 发布
最新推荐文章于 2021-11-08 15:16:52 发布
阅读量708 收藏
点赞数
文章标签: shiro 删除用户session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35851240/article/details/112474356
版权

安全管理器

通常使用DefaultSecurityManager,在web应用中使用其子类DefaultWebSecurityManager。 DefaultWebSecurityManager实现了WebSecurityManager接口,该类添加了关于session的使用。 DefaultSecurityManager主要实现了SecurityManager的行为login()、logout()、createSubject()。 Spring中配置securityManager:

<!-- 配置securityManager 安全管理器-->
       <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="myRealm"></property>
        <property name="sessionManager" ref="sessionManager"></property>
        <property name="rememberMeManager" ref="rememberMeManager"></property>
       </bean>

会话管理器

所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。

登录成功后使用Subject.getSession()即可获取会话;其等价于Subject.getSession(true),即如果当前没有创建Session对象会创建一个;另外Subject.getSession(false),如果当前没有创建Session则返回null(不过默认情况下如果启用会话存储功能的话在创建Subject时会主动创建一个Session)。

会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。是Shiro的核心组件,顶层组件SecurityManager直接继承了SessionManager,且提供了SessionsSecurityManager实现直接把会话管理委托给相应的SessionManager,DefaultSecurityManager及DefaultWebSecurityManager默认SecurityManager都继承了SessionsSecurityManager。

Shiro提供了三个默认实现:

DefaultSessionManager:DefaultSecurityManager使用的默认实现,用于JavaSE环境;

ServletContainerSessionManager:DefaultWebSecurityManager使用的默认实现,用于Web环境,其直接使用Servlet容器的会话;

DefaultWebSessionManager:用于Web环境的实现,可以替代ServletContainerSessionManager,自己维护着会话,直接废弃了Servlet容器的会话管理。 在Spring中配置sessionManager

<!-- 配置sessionManager 配置后会取代servlet的session,使其不起作用 
            使用SericytyUtil.getSubject().getSession()方法获取
            session对象,使用方法与之前一样 -->
       <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <property name="deleteInvalidSessions" value="true"></property><!-- 清空无效session -->
        <property name="globalSessionTimeout" value="18000000"></property><!-- 超时时限  ms -->
       </bean>

Ini配置文件配置:

sessionIdCookie=org.apache.shiro.web.servlet.SimpleCookie  
    sessionManager=org.apache.shiro.web.session.mgt.DefaultWebSessionManager  
    sessionIdCookie.name=sid  
    sessionIdCookie.maxAge=1800  
    sessionIdCookie.httpOnly=true  
    sessionManager.sessionIdCookie=$sessionIdCookie  
    sessionManager.sessionIdCookieEnabled=true  
    securityManager.sessionManager=$sessionManager

多个Realm的使用

当用用程序需要配置多个Realm时,设置安全管理器中的realms属性,添加多个自定义realm,当有多个realm时就需要执行策略决定是否认证授权成功。

发现需要在执行认证的时候,需要策略来处理多个realm存在的情况。

默认实现类有三个策略:

1. AtLeastOneSuccessfulStrategy :如果一个(或更多)Realm 验证成功,则整体的尝试被认为是成功的。如果没有一个验证成功,则整体尝试失败。

2. FirstSuccessfulStrategy 只有第一个成功地验证的Realm 返回的信息将被使用。后面的realm会被忽略,如果一个都没有成功则失败。

3. AllSucessfulStrategy 为了整体的尝试成功,所有配置的Realm 必须验证成功。如果没有一个验证成功,则整体尝试失败。 ModularRealmAuthenticator 默认的是AtLeastOneSuccessfulStrategy Spring中配置:

<bean id="authenticator" 
        class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
        <property name="authenticationStrategy">
            <bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"></bean>
        </property>
    </bean>

在安全管理器中设置

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
       <property name="realms">
            <list>
                <ref bean="firstRealm"/>
                <ref bean="secondRealm"/>
            </list>
        </property>
    <property name="authenticator" ref="authenticator"></property>

rememberMe

实现一段时间内免登录。 设置cookie和rememberMe。

<!-- 配置cookie-->
       <bean id="simpleCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <property name="maxAge" value="604800"></property><!-- 最大时间    s -->
        <property name="name" value="rememberMe"></property><!-- cookie名称 -->
       </bean>
       <!-- 配置rememberMe -->
       <bean id="rememberMeManager" class&
最低0.47元/天 解锁文章
陈小唯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro 删除用户session_Shiro学习笔记
weixin_42373997的博客
12-31 564
文章目的纯新手,记录一下从0开始学习使用shiro,并且结合手上的demo进行整个完整流程的知识点归纳总结。目前已经实现的功能:整合shiro,完成基本配置,login有什么不对希望多指教。这是一个springboot 2.0 前后端分离项目shiro 是干啥的?Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以...
SpringBoot整合的Shiro安全框架
xzl4457的博客
11-24 142
什么是Shiro · Apache Shiro是一个Java的安全(权限)框架,apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架; · Shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本 · Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境; · 下载地址: http://shiro.apache.org/. Shiro有哪些功能 ·
Apache Shiro
ZWL2333的博客
09-27 158
## 标题 它可以干净利落地处理身份验证、授权、企业会话管理和加密。 验证用户身份 用户访问权限控制,比如:1、判断用户是否分配了一定的安全角色。2、判断用户是否被授予完成某个操作的权限 在非 web 或 EJB 容器的环境下可以任意使用Session API 可以响应认证、访问控制,或者 Session 生命周期中发生的事件 可将一个或以上用户安全数据源数据组合成一个复合的用户 “view”(视图) 支持单点登录(SSO)功能 支持提供“Remember Me”服务,获取用户关联信息而无需登录 Shiro
快速解决oracle数据库死锁问题
Lin_Miao_09的博客
06-18 558
查看锁表进程 select * from v$session t1, v$locked_object t2 where t1.sid = t2.SESSION_ID 结束对应的进程 alter system kill session 'sid, serial#' SID:会话标识符 SERIAL#:会话序列号。 用于唯一标识会话的对象。 如果会话结束且另一个会话以相同的会话ID开始,则保证...
apache http可以访问https没权限_Shiro 权限校验分析
weixin_39996141的博客
11-26 173
Shiro 概述Shiro 是一款 Apache 提供的权限校验框架, Shiro 同时也是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码学和会话管理。使用 Shiro 的易于理解的 API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序,特别是今天对权限校验和管理特别严格,大家有必要对shiro 有一个基本的认识和学习。Shiro 的三大核心组...
Shiro 登录小案例 + 注销登录清掉session
可控的事情要谨慎,不可控的事情要乐观。
08-19 1385
输入用户名 密码登录 2.controller接收 3. 执行到subject.login(token) 然后跳到自定义realm里面,如下图: 上图中如果获取首体(当事人)user为空,那么用户不存在,直接return null 如果不为空,说明输入的用户名有对应的用户存在,但该用户密码不一定正确,有待进一步确认 如果密码确实不正确,return  authcInfo 以后...
shiro-demo_DEMO_shiro_shriodemo_shiro框架demo_shiro前后端分离_
10-04
- **Session Management(会话管理)**:处理用户的会话状态,如登录时间、在线状态等。 **2. 前后端分离的实现** 在前后端分离的架构中,前端负责用户界面和交互,而后端处理业务逻辑和数据访问。在这个示例中,...
shiro_attack_2.2.zip
07-18
1. **Session固定攻击(Session Fixation)**:攻击者获取到用户Session ID并将其固定,当用户登录后,攻击者可利用该ID冒充用户。防御方法包括:登录后生成新的Session ID,禁止Session ID在URL中传递,限制无效...
spring boot整合redis实现shiro的分布式session共享的方法
08-28
Spring Boot 整合 Redis 实现 Shiro 的分布式 Session 共享 Shiro 是一个优秀的 Java 安全框架,提供了强大的身份验证、授权和会话管理功能。然而,在分布式架构中,Shiro 的会话管理机制需要进行特殊处理,以便...
Shiro教程_原版_带目录_开涛
06-15
Apache Shiro 不仅仅是一个简单的权限控制库,它还提供了用户认证(Authentication)、授权(Authorization)、加密(Cryptography)和会话管理(Session Management)等全面的安全管理功能。它的设计目标是使安全...
[资料][Java]跟我学Shiro教程_Java跟我学Shiro教程_shiro_
10-03
5. **会话管理**:Shiro 提供的 Session API 可以方便地管理用户会话,包括会话超时、跨域会话同步等。 通过学习本教程,你将掌握 Shiro 的基本概念和用法,能够熟练地在 Java 应用中引入 Shiro 进行安全控制,为你...
shiro是如何清除过期session的(源码版本shiro1.6)
临窗旋墨的博客
12-11 1350
文章目录shiro是如何清除过期session的(源码版本shiro1.6)一、SecurityManager一、session的创建session的创建的入口是SessionsSecurityManager#start,它进而调用SessionManager的start方法AbstractNativeSessionManager#start创建session方法如下AbstractValidatingSessionManager#createSessiondoCreateSession方法简要说明 se
shiro清空session
weixin_43075704的博客
08-02 2808
用户登出的时候清除整个session,一开始调用session.invalidate()飘红 看了下上面代码是Session session = SecurityUtils.getSubject().getSession(); 就把Session类型直接转成了HttpSession类型:((HttpSession)session).invalidate(); 不飘红了,跑一下,后台报错: ...
redis shiro 手动剔除某个用户
qq_43077857的博客
11-18 1141
这里简单做了点尝试估计还是有漏洞,而且逻辑有些复杂 以后再做个思路简单的 这里的设计思路:每个用户在数据库里面都有一个UserId 我们就在这个UserId上面做文章 每个用户登录成功后就会用自己的UserId做为key,这次登录的SessionId作为value存储一对键值对到redis中这个我们可以靠securitymanage管理的SessionDao来管理 下面我把我的shiroConfi...
根据sessionID来删除session
qq_36468169的博客
07-22 3441
在有些情况下可能需要根据sessionId来增删改session,这时候我们可以通过监听来实现。代码如下。 1、创建监听MySessionListener.java public class MySessionListener { public void sessionCreated(HttpSessionEvent httpSessionEvent) { MySes...
Shiro用户登录,清理之前登录的用户
dwdy88的博客
11-08 383
在自定义的realm中的doGetAuthenticationInfo方法中定义,根据传入参数类型的不同选择对应的处理方法 /** * new SimpleAuthenticationInfo(user, pwd, this.getName())中的第一个参数是SysUser对象, * 在其他接收的地方也要转成SysUser对象,使用对象这里对应的处理方式是采用方法一, * 如果是传递的userName字符串,则采用方法进行处理 */ SimpleAuthenticationInfo auth...
Shiro清除指定用户权限
zp_xyz的专栏
03-25 969
以前在做项目的时候,都已实现现成的权限控制,从来没有自己研究过原理,这次趁着新项目的机会自己研究了一下。 按照教程,查资料,大概实现了一个demo,然后卡在了权限的刷新上,比如,管理员给某个角色添加,删除了新的权限,怎么才能做到用户不登录实时刷新权限呢。 最后查API文档,以及在这位仁兄的博客中找到了答案:https://blog.csdn.net/s1040342522/article/details/109495704 在使用这个博客中的方法时,主要问题在于如何获取指定用户的SimplePrinc
apache shiro 如何升级_将 Shiro 作为应用的权限基础
weixin_39586235的博客
11-26 557
前言Shiro 是 JAVA 世界中新近出现的权限框架,较之 JAAS 和 Spring Security,Shiro 在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。本文就带领读者一睹 Shiro 的风采。可能大家早先会见过 J-security,这个是 Shiro 的前身。在 2009 年 3 月初之前,这个安全框架叫做 J-security,由于某些原因,更名为 Shiro(或者 ...
shiro 删除用户session_如何设置shiro保持登陆状态?
weixin_29138345的博客
02-11 592
redis存shirosession重写了EnterpriseCacheSessionDAO.doUpdate,每次更新都会去改session key对应的存活时间(TTL)需求:比如设置了session过期时间是1个小时然后我希望,在这1个小时的时间内,如果用户一直在访问网站的页面(调用了后台api),session的存活时间就延长下去,比如过期时间=当前访问网站这个时刻+1小时实际情况是:用...
shiro获取session用户_shiro 获取请求头中的 sessionId
最新发布
05-19
可以使用 Shiro 的 Subject 对象获取当前用户Session,具体代码如下: ```java Subject currentUser = SecurityUtils.getSubject(); Session session = currentUser.getSession(); Object sessionId = session....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值