Shiro提供了一个完整的企业级会话管理解决方案,不再依赖web容器。可以在web和非web环境下使用。
1、Shiro会话管理的特性
(1)会话事件监听:提供对对session整个生命周期的监听。
(2) 会话存储/持久化:因为shiro中的session对象是基于java对象的,所以可以将session存储在任何地方,例如,文件,各种数据库,内存中等。
(3)容器无关的集群功能:shiro中的session可以很容易的集成第三方的缓存产品完成集群的功能。例如,Ehcache + Terracotta, Coherence, GigaSpaces等。
(4)会话失效/过期的支持:用户长时间处于不活跃状态可以使会话过期,调用touch()方法,可以主动更新最后访问时间,让会话处于活跃状态。
(5)透明的Web支持:shiro全面支持Servlet 2.5中的session规范。可以将现有的web程序改为shiro会话,无需修改代码。
(6)单点登录的支持:shiro session基于普通java对象,更容易存储和共享,可以实现跨应用程序共享。可以根据共享的会话,来保证认证状态到另一个程序。从而实现单点登录。
2、会话管理器
SessionManager管理所有Subject的session包括创建、维护、删除、失效、验证等工作。
SessionManager是顶层组件,由SecurityManager管理。
SecurityManager的实现类DefaultSecurityManager及DefaultWebSecurityManager继承了SessionsSecurityManager。
SessionsSecurityManager可以把相应的会话管理委托给SessionManager。
Shiro提供了三个默认实现
(1)DefaultSessionManager:DefaultSecurityManager使用的默认实现,用于JavaSE环境。
(2)ServletContainerSessionManager:DefaultWebSecurityManager使用的默认实现,用于Web环境,其直接使用Servlet容器的会话。
(3)DefaultWebSessionManager:用于Web环境的实现,可以替代ServletContainerSessionManager,自行维护会话,直接废弃Servlet容器的会话管理。
替换SecurityManager默认的SessionManager可以在ini中配置(shiro.ini)
[main]sessionManager=org.apache.shiro.web.session.mgt.ServletContainerSessionManagersecurityManager.sessionManager=$sessionManager
可以设置会话的全局过期时间(毫秒为单位),默认30分钟:
sessionManager. globalSes