shiro 删除用户session_Shiro的Session会话管理

最新推荐文章于 2021-03-09 17:08:52 发布
最新推荐文章于 2021-03-09 17:08:52 发布
阅读量865 收藏 1
点赞数
文章标签: shiro 删除用户session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39581739/article/details/111947881
版权
本文详细介绍了Apache Shiro的会话管理功能,包括独立于容器的会话支持、Session的API使用、会话管理器、会话监听器、会话存储与持久化、会话验证调度器的配置。Shiro提供了完整的企业级会话管理,支持JavaSE和JavaEE环境,可替代Web容器的会话管理,具有多种会话管理实现和自定义配置选项。
摘要由CSDN通过智能技术生成

Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。即直接使用Shiro的会话管理可以直接替换如Web容器的会话管理。

会话

所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。

Shiro的会话支持不仅可以在普通的JavaSE应用中使用,也可以在JavaEE应用中使用,如web应用。且使用方式是一致的。

Subject subject = SecurityUtils.getSubject();

Session session = subject.getSession();

Session提供了一些api

//获取当前会话的唯一标识

session.getId();

//获取当前Subject的主机地址,该地址是通过HostAuthenticationToken.getHost()提供的

session.getHost();

//获取/设置当前Session的过期时间;如果不设置默认是会话管理器的全局过期时间

session.getTimeout();

session.setTimeout(毫秒);

//获取会话的启动时间及最后访问时间;

//如果是JavaSE应用需要自己定期调用session.touch()去更新最后访问时间;

//如果是Web应用,每次进入ShiroFilter都会自动调用session.touch()来更新最后访问时间

session.getStartTimestamp();

session.getLastAccessTime();

//更新会话最后访问时间及销毁会话;

//当Subject.logout()时会自动调用stop方法来销毁会话

//如果在web中,调用javax.servlet.http.HttpSession. invalidate()也会自动调用Shiro Session.stop方法进行销毁Shiro的会话

session.touch();

session.stop();

//设置/获取/删除会话属性;在整个会话范围内都可以对这些属性进行操作

session.setAttribute("key", "hello world");

Assert.assertEquals("hello world", session.getAttribute("key"));

session.removeAttribute("key");

Shiro提供的会话可以用于JavaSE/JavaEE环境,不依赖于任何底层容器,可以独立使用,是完整的会话模块

会话管理器

会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。是Shiro的核心组件,顶层组件SecurityManager直接继承了SessionManager,且提供了SessionsSecurityManager实现直接把会话管理委托给相应的SessionManager,DefaultSecurityManager及DefaultWebSecurityManager默认SecurityManager都继承了SessionsSecurityManager

Shiro提供了三个默认实现:

DefaultSessionManager:DefaultSecurityManager使用的默认实现,用于JavaSE环境;

ServletContainerSessionManager:DefaultWebSecurityManager使用的默认实现,用于Web环境,其直接使用Servlet容器的会话;

DefaultWebSessionManager:用于Web环境的实现,可以替代ServletContainerSessionManager,自己维护着会话,直接废弃了Servlet容器的会话管理。

替换SecurityManager默认的SessionManager可以在bean中配置

默认情况下globalSessionTimeout将应用给所有Session。可以单独设置每个Session的timeout属性来为每个Session设置其超时时间。

另外如果使用ServletContainerSessionManager进行会话管理,Session的超时依赖于底层Servlet容器的超时时间,可以在web.xml中配置其会话的超时时间(分钟为单位)

30

在Servlet容器中,默认使用JSESSIONID Cookie维护会话,且会话默认是跟容器绑定的;在某些情况下可能需要使用自己的会话机制,此时我们可以使用DefaultWebSessionManager来维护会话:

sessionIdCookie是sessionManager创建会话Cookie的模板:

sessionIdCookie.name:设置Cookie名字,默认为JSESSIONID;

sessionIdCookie.domain:设置Cookie的域名,默认空,即当前访问的域名;

sessionIdCookie.path:设置Cookie的路径,默认空,即存储在域名根下;

sessionIdCookie.maxAge:设置Cookie的过期时间,秒为单位,默认-1表示关闭浏览器时过期Cookie;

sessionIdCookie.httpOnly:如果设置为true,则客户端不会暴露给客户端脚本代码,使用HttpOnly cookie有助于减少某些类型的跨站点脚本攻击;此特性需要实现了Servlet 2.5 MR6及以上版本的规范的Servlet容器支持;

sessionManager.sessionIdCookieEnabled:是否启用/禁用Session Id Cookie,默认是启用的;如果禁用后将不会设置Session Id Cookie,即默认使用了Servlet容器的JSESSIONID,且通过URL重写(URL中的“;JSESSIONID=id”部分)保存Session Id。

会话监听器

会话监听器用于监听会话创建、过期及停止事件:

public class CustomSessionListener implements SessionListener {

protected Logger logger = LoggerFactory.getLogger(CustomSessionListener.class);

private ShiroSessionRepository shiroSessionRepository;

/**

* 一个session会话的生命周期开始

*/

@Override

public void onStart(Session session) {

logger.info("on start sessionId:{}" + session.getId());

}

/**

* 一个session会话的生命周期结束

*/

@Override

public void onStop(Session session) {

logger.info("on stop sessionId:{}" + session.getId());

}

@Override

public void onExpiration(Session session) {

logger.info("on delete sessionId:{}" + session.getId());

shiroSessionRepository.deleteSession(session.getId());

}

public ShiroSessionRepository getShiroSessionRepository() {

return shiroSessionRepository;

}

public void setShiroSessionRepository(ShiroSessionRepository shiroSessionRepository) {

this.shiroSessionRepository = shiroSessionRepository;

}

}

如果只想监听某一个事件,可以继承SessionListenerAdapter实现:

public class MySessionListener extends SessionListenerAdapter {

@Override

public void onStart(Session session) {

System.out.println("会话创建:" + session.getId());

}

}

在sprin-shiro.xml配置文件中可以进行如下配置设置会话监听器:

会话存储/持久化

Shiro提供SessionDAO用于会话的CRUD,即DAO(Data Access Object)模式实现:

//如DefaultSessionManager在创建完session后会调用该方法;如保存到关系数据库/文件系统/NoSQL数据库;即可以实现会话的持久化;返回会话ID;主要此处返回的ID.equals(session.getId());

Serializable create(Session session);

//根据会话ID获取会话

Session readSession(Serializable sessionId) throws UnknownSessionException;

//更新会话;如更新会话最后访问时间/停止会话/设置超时时间/设置移除属性等会调用

void update(Session session) throws UnknownSessionException;

//删除会话;当会话过期/会话停止(如用户退出时)会调用

void delete(Session session);

//获取当前所有活跃用户,如果用户量多此方法影响性能

Collection getActiveSessions();

Shiro内嵌了如下SessionDAO实现,是使用内存的ConcurrentHashMap:

public class MemorySessionDAO extends AbstractSessionDAO {

private static final Logger log = LoggerFactory.getLogger(MemorySessionDAO.class);

private ConcurrentMap sessions = new ConcurrentHashMap();

public MemorySessionDAO() {

}

protected Serializable doCreate(Session session) {

Serializable sessionId = this.generateSessionId(session);

this.assignSessionId(session, sessionId);

this.storeSession(sessionId, session);

return sessionId;

}

protected Session storeSession(Serializable id, Session session) {

if(id == null) {

throw new NullPointerException("id argument cannot be null.");

} else {

return (Session)this.sessions.putIfAbsent(id, session);

}

}

protected Session doReadSession(Serializable sessionId) {

return (Session)this.sessions.get(sessionId);

}

public void update(Session session) throws UnknownSessionException {

this.storeSession(session.getId(), session);

}

public void delete(Session session) {

if(session == null) {

throw new NullPointerException("session argument cannot be null.");

} else {

Serializable id = session.getId();

if(id != null) {

this.sessions.remove(id);

}

}

}

public Collection getActiveSessions() {

Collection values = this.sessions.values();

return (Collection)(CollectionUtils.isEmpty(values)?Collections.emptySet():Collections.unmodifiableCollection(values));

}

}

AbstractSessionDAO提供了SessionDAO的基础实现,如生成会话ID等;CachingSessionDAO提供了对开发者透明的会话缓存的功能,只需要设置相应的CacheManager即可;MemorySessionDAO直接在内存中进行会话维护;而EnterpriseCacheSessionDAO提供了缓存功能的会话维护,默认情况下使用MapCache实现,内部使用ConcurrentHashMap保存缓存的会话。

可以通过如下配置设置SessionDAO:

会话验证

Shiro提供了会话验证调度器,用于定期的验证会话是否已过期,如果过期将停止会话;出于性能考虑,一般情况下都是获取会话时来验证会话是否过期并停止会话的;但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。

可以通过如下配置开启会话验证:

sessionValidationScheduler:会话验证调度器,sessionManager默认就是使用ExecutorServiceSessionValidationScheduler,其使用JDK的ScheduledExecutorService进行定期调度并验证会话是否过期;

sessionValidationScheduler.interval:设置调度时间间隔,单位毫秒,默认就是1小时;

sessionValidationScheduler.sessionManager:设置会话验证调度器进行会话验证时的会话管理器;

sessionManager.globalSessionTimeout:设置全局会话超时时间,默认30分钟,即如果30分钟内没有访问会话将过期;

sessionManager.sessionValidationSchedulerEnabled:是否开启会话验证器,默认是开启的;

sessionManager.sessionValidationScheduler:设置会话验证调度器,默认就是使用ExecutorServiceSessionValidationScheduler。

Shiro也提供了使用Quartz会话验证调度器:

如上会话验证调度器实现都是直接调用AbstractValidatingSessionManager 的validateSessions方法进行验证,其直接调用SessionDAO的getActiveSessions方法获取所有会话进行验证,如果会话比较多,会影响性能;可以考虑如分页获取会话并进行验证。

sessionFactory

sessionFactory是创建会话的工厂,根据相应的Subject上下文信息来创建会话;默认提供了SimpleSessionFactory用来创建SimpleSession会话。

首先自定义一个Session:

public class OnlineSession extends SimpleSession {

public static enum OnlineStatus {

on_line("在线"), hidden("隐身"), force_logout("强制退出");

private final String info;

private OnlineStatus(String info) {

this.info = info;

}

public String getInfo() {

return info;

}

}

private String userAgent; //用户浏览器类型

private OnlineStatus status = OnlineStatus.on_line; //在线状态

private String systemHost; //用户登录时系统IP

//省略其他

}

OnlineSession用于保存当前登录用户的在线状态,支持如离线等状态的控制。

接着自定义SessionFactory:

public class OnlineSessionFactory implements SessionFactory {

@Override

public Session createSession(SessionContext initData) {

OnlineSession session = new OnlineSession();

if (initData != null && initData instanceof WebSessionContext) {

WebSessionContext sessionContext = (WebSessionContext) initData;

HttpServletRequest request = (HttpServletRequest) sessionContext.getServletRequest();

if (request != null) {

session.setHost(IpUtils.getIpAddr(request));

session.setUserAgent(request.getHeader("User-Agent"));

session.setSystemHost(request.getLocalAddr() + ":" + request.getLocalPort());

}

}

return session;

}

}

根据会话上下文创建相应的OnlineSession。

最后在spring-shiro.xml配置文件中对sessionManager配置:

weixin_39581739
关注
shiro 删除用户session_Shiro(二)
weixin_35851240的博客
01-08 718
安全管理器通常使用DefaultSecurityManager,在web应用中使用其子类DefaultWebSecurityManager。 DefaultWebSecurityManager实现了WebSecurityManager接口,该类添加了关于session的使用。 DefaultSecurityManager主要实现了SecurityManager的行为login()、logout()...
shiro 删除用户session_Shiro学习笔记
weixin_42373997的博客
12-31 575
文章目的纯新手,记录一下从0开始学习使用shiro,并且结合手上的demo进行整个完整流程的知识点归纳总结。目前已经实现的功能:整合shiro,完成基本配置,login有什么不对希望多指教。这是一个springboot 2.0 前后端分离项目shiro 是干啥的?Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以...
快速解决oracle数据库死锁问题
Lin_Miao_09的博客
06-18 577
查看锁表进程 select * from v$session t1, v$locked_object t2 where t1.sid = t2.SESSION_ID 结束对应的进程 alter system kill session 'sid, serial#' SID:会话标识符 SERIAL#:会话序列号。 用于唯一标识会话的对象。 如果会话结束且另一个会话以相同的会话ID开始,则保证...
SpringBoot整合的Shiro安全框架
xzl4457的博客
11-24 160
什么是Shiro · Apache Shiro是一个Java的安全(权限)框架,apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架; · Shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本 · Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境; · 下载地址: http://shiro.apache.org/. Shiro有哪些功能 ·
Apache Shiro
ZWL2333的博客
09-27 175
## 标题 它可以干净利落地处理身份验证、授权、企业会话管理和加密。 验证用户身份 用户访问权限控制,比如:1、判断用户是否分配了一定的安全角色。2、判断用户是否被授予完成某个操作的权限 在非 web 或 EJB 容器的环境下可以任意使用Session API 可以响应认证、访问控制,或者 Session 生命周期中发生的事件 可将一个或以上用户安全数据源数据组合成一个复合的用户 “view”(视图) 支持单点登录(SSO)功能 支持提供“Remember Me”服务,获取用户关联信息而无需登录 Shiro
shiro 修改sessionid_Shiro会话管理
weixin_39953236的博客
11-20 1059
Shiro提供了一个完整的企业级会话管理解决方案,不再依赖web容器。可以在web和非web环境下使用。1、Shiro会话管理的特性(1)会话事件监听:提供对对session整个生命周期的监听。 (2) 会话存储/持久化:因为shiro中的session对象是基于java对象的,所以可以将session存储在任何地方,例如,文件,各种数据库,内存中等。(...
shiro获取session用户_Shiro用户登录,清理之前登录的用户
weixin_36436373的博客
02-04 877
在自定义的realm中的doGetAuthenticationInfo方法中定义,根据传入参数类型的不同选择对应的处理方法/*** new SimpleAuthenticationInfo(user, pwd, this.getName())中的第一个参数是SysUser对象,* 在其他接收的地方也要转成SysUser对象,使用对象这里对应的处理方式是采用方法一,* 如果是传递的use...
shiro——session会话管理
热门推荐
dgh112233的博客
08-23 1万+
目录 1. 会话 1.1 Session 接口 1.2 SessionManager 会话管理 1.3 SessionListener 会话监听 2. 会话持久化 2.1 SessionDAO接口 2.2AbstractSessionDAO类 2.3 CachingSessionDAO 类 2.4 EnterpriseCacheSessionDAO 类 2.5 Memo...
shirosession中的会话管理
02-06
在分布式系统或微服务架构中,会话管理成为一个关键问题,因为默认情况下,Shirosession管理是基于单个服务器的,无法在多台服务器之间共享用户会话信息。 在传统的Web应用中,session信息通常存储在服务器的内存...
Shiro + Redis自定义session会话管理
iLeeHan
01-23 1213
Shiro + Redis自定义session会话管理 博客:Shiro + Redis自定义session会话管理 此图非常重要!!!镇楼 0x001 重写SessionManager shiro提供了三种默认实现: DefaultSessionManager: 用于java se 环境 ServletContainerSessionManager:默认使用的实现,Servlet容器管理 D...
apache http可以访问https没权限_Shiro 权限校验分析
weixin_39996141的博客
11-26 187
Shiro 概述Shiro 是一款 Apache 提供的权限校验框架, Shiro 同时也是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码学和会话管理。使用 Shiro 的易于理解的 API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序,特别是今天对权限校验和管理特别严格,大家有必要对shiro 有一个基本的认识和学习。Shiro 的三大核心组...
java shiro做登陆权限控制
k21325的博客
10-27 2641
1.环境 jdk1.7 spring.version 4.2.2.RELEASE shiro.version 1.2.5 开发工具 eclipse Mars.1 Release (4.5.1) 2.pom引入 org.apache.shiro shiro-core ${shiro.version} org.apache.shiro shiro-web ${sh
shiro分布式控制登录状态_shiro权限控制(二):分布式架构中shiro的实现
weixin_39610722的博客
12-21 196
前言:前段时间在搭建公司游戏框架安全验证的时候,就想到之前web最火的shiro框架,虽然后面实践发现在netty中不太适用,最后自己模仿shiro写了一个缩减版的,但是中间花费两天时间弄出来的shiro可不能白费,这里给大家出个简单的教程说明吧。shiro的基本介绍这里就不再说了,可以自行翻阅博主之前写的shiro教程,这篇文章主要说明分布式架构下shirosession共享问题。一、原理描述...
shiro分布式控制登录状态_基于shiro实现session持久化和分布式共享
weixin_26704885的博客
01-12 155
前言必要性一直处于登陆状态:你登陆微信 不可能三天两头就让你重新登陆吧?而是一直处于登陆状态 除非主动退出微信session共享 对于分布式系统 一个用户的多次请求到不同的机器上 不可能每次请求都生成一个session 彼此没有联系吧? 而是希望一个用户登陆一次就有一个session 每次请求都使用这一个session的信息shirosession管理机制 shiro中的session相关类...
杀掉当前PL/SQL运行的会话
Elvin2009的博客
06-12 1101
  select   b.sid,b.SERIAL#,a.OBJECT, 'alter system kill session   ' || '''' || b.sid || ',' ||b.SERIAL# ||  ''';' kill_command  from   SYS.V_$ACCESS a, SYS.V_$session b  where    a.type = 'PACKAGE' ...
plsql上关闭session会话
qq_34362409的博客
01-13 2917
Oracle多用户操作有时候造成session阻塞,形成了锁表等问题。可以使用sql语句进行查询,但使用PL/SQL查看或杀掉oracle的session更为方便。   1、打开PL/SQL Developer,输入用户名密码和数据库等信息。   2、在工具栏中选择Tools,在弹出的窗口选择sessions即可。         如图所示,所有的session和sid都列了出来,我们需要找status为active(活动)的点击一下即可。 选择其中一个session后在下方可以查看此session的更多
redis shiro 手动剔除某个用户
qq_43077857的博客
11-18 1180
这里简单做了点尝试估计还是有漏洞,而且逻辑有些复杂 以后再做个思路简单的 这里的设计思路:每个用户在数据库里面都有一个UserId 我们就在这个UserId上面做文章 每个用户登录成功后就用自己的UserId做为key,这次登录的SessionId作为value存储一对键值对到redis中这个我们可以靠securitymanage管理SessionDao来管理 下面我把我的shiroConfi...
在plsql中强行杀掉执行的sql或存储过程
ShyTan的博客
03-09 1万+
先把plsql关掉,关不掉就直接任务管理器杀掉plsql进程,然后重新登录。 --查看锁表进程SQL语句(可查可不查) select sess.sid, sess.serial#, lo.oracle_username, lo.os_user_name, ao.object_name, lo.locked_mode from v$locked_object lo, dba_objects ao, v$session sess
shiro控制登录访问权限
kangshifu007的博客
11-14 889
spring-mvc中shiro控制登录访问权限 步骤: 1.在web.xml中配置 2.在spring-mvc中配置 3.创建两个实体类 :(在web层创建) 实体类一: AuthRealm 继承shrio包中的类 AuthorizingRealm ,AuthorizingRealm是realm的实现类之一 ...
Spring Boot整合Shiro与MongoDB实现Session存储实战
通过Spring Boot集成Shiro并利用MongoDB存储Session,可以在分布式环境中有效地管理用户会话,同时利用Shiro的强大功能进行权限控制。这种方案既解决了Session同步问题,又保持了应用的简洁性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值