shiro 不完全学习笔记-----------4

最新推荐文章于 2022-05-02 14:14:37 发布
最新推荐文章于 2022-05-02 14:14:37 发布
阅读量356 收藏
点赞数
分类专栏: shiro学习 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41253479/article/details/80608468
版权

shiro过滤器及会话管理

一.shiro过滤器

  anon   不需要任何的认证就可以访问                             user        当前存在用户才可以访问

  authc   需要认证后才可以访问                                       logout    退出

  authBasic (http认证?  说太快了 听不清啊)

和授权 相关的过滤器

  perms[  ]   拥有某些权限才可以访问                     roles[  ]  具有某些角色才可以访问

  ssl              要求协议是什么                                   port      要求访问的端口号


二。会话管理将session交给redis管理

 思路 重写sessionDao  在sessionDao中对session进行增删改查操作   ----redis

sessionDao

public class RedisSession extends AbstractSessionDAO {

    @Autowired
    private JedisUtil jedisUtil;

    private final String SHIRO_SESSION_PREFIX = "redis_session:";

    private byte[] getKey (String key) {
        return (SHIRO_SESSION_PREFIX + key).getBytes();
    }

    private void savaSession(Session session) {
        if (session != null && session.getId() != null) {
            byte[] key = getKey(session.getId().toString());
            byte[] value = SerializationUtils.serialize(session);
            jedisUtil.set(key, value);
            jedisUtil.expire(key, 600);
        }
    }

    @Override
    protected Serializable doCreate(Session session) {
        Serializable sessionId = generateSessionId(session);
        assignSessionId(session, sessionId);
        savaSession(session);
        return sessionId;
    }

    @Override
    protected Session doReadSession(Serializable serializable) {
        System.out.println("read session");
        if (serializable == null) {
            return null;
        }
        byte[] key = getKey(serializable.toString());
        byte[] value = jedisUtil.get(key);
        return (Session) SerializationUtils.deserialize(value);
    }

    @Override
    public void update(Session session) throws UnknownSessionException {
        savaSession(session);
    }

    @Override
    public void delete(Session session) {
        if (session == null || session.getId() == null) {
            return;
        }
        byte[] key = getKey(session.getId().toString());
        jedisUtil.del(key);
    }

    @Override
    public Collection<Session> getActiveSessions() {
        Set<byte[]> keys = jedisUtil.keys(SHIRO_SESSION_PREFIX);
        Set<Session> sessions = new HashSet<Session>();
        if (CollectionUtils.isEmpty(keys)) {
            return sessions;
        }
        for (byte[] key : keys) {
            Session session = (Session) SerializationUtils.deserialize(jedisUtil.get(key));
            sessions.add(session);
        }
        return sessions;
    }
}

redis工具类

@Component
public class JedisUtil{

    @Autowired
    private JedisPool jedisPool;

    private Jedis getResource() {
        return jedisPool.getResource();
    }

    public byte[] set(byte[] key, byte[] value) {
        Jedis jedis = getResource();
        try {
            jedis.set(key, value);
            return value;
        } finally {
            jedis.close();
        }
    }

    public void expire(byte[] key, int i) {
        Jedis jedis = getResource();
        try {
            jedis.expire(key, i);
        } finally {
            jedis.close();
        }
    }

    public byte[] get(byte[] key) {
        Jedis jedis = getResource();
        try {
            return jedis.get(key);
        } finally {
            jedis.close();
        }
    }

    public void del(byte[] key) {
        Jedis jedis = getResource();
        try {
            jedis.del(key);
        } finally {
            jedis.close();
        }
    }

    public Set<byte[]> keys(String shiro_session_prefix) {
        Jedis jedis = getResource();
        try {
            return jedis.keys((shiro_session_prefix + "*").getBytes());
        } finally {
            jedis.close();
        }
    }

配置:  sessionDao  给 sessionManager    sessionManager给securityManager

<!--sessionManagger对象-->
<bean class="com.zhuoshi.session.CustomSessionManager" name="defaultSessionManager">
    <property name="sessionDAO" ref="sessionDao"/>
</bean>
<!--自定义的sessionDao-->
<bean name="sessionDao" class="com.imooc.session.RedisSession"/>
<!--创建securitymanager对象-->
<bean name="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="customRealm"/>
    <property name="sessionManager" ref="defaultSessionManager"/>
</bean>

  存在的问题: 多次读取redis中session数据  浪费系统资源:解决办法

源代码           

      可以看到每次调用sessionDao 中的read方法   造成读取次数过多  我们来重写这个方法   将session第一次读                             取之后放在request中   之后读取从request中拿出session对象就可以完美的解决这问题。          

protected Session retrieveSession(SessionKey sessionKey) throws UnknownSessionException {
    Serializable sessionId = getSessionId(sessionKey);
    if (sessionId == null) {
        log.debug("Unable to resolve session ID from SessionKey [{}].  Returning null to indicate a " +
                "session could not be found.", sessionKey);
        return null;
    }
    Session s = retrieveSessionFromDataSource(sessionId);
    if (s == null) {
        //session ID was provided, meaning one is expected to be found, but we couldn't find one:
        String msg = "Could not find session with ID [" + sessionId + "]";
        throw new UnknownSessionException(msg);
    }
    return s;
}
protected Session retrieveSessionFromDataSource(Serializable sessionId) throws UnknownSessionException {
    return sessionDAO.readSession(sessionId);
}


  重写sessionManager  后的代码

@Override
protected Session retrieveSession(SessionKey sessionKey) throws UnknownSessionException {

    Serializable sessionId = getSessionId(sessionKey);
    ServletRequest request = null;
    if (sessionKey instanceof WebSessionKey) {
        request = ((WebSessionKey) sessionKey).getServletRequest();
    }

    //判断request中是否有session 有的话从session中拿出session
    if (request != null && sessionId != null) {
        Session session = (Session) request.getAttribute(sessionId.toString());
        if (session != null) {
            return session;
        }
    }
    //request 中没有session    redis中读取session  然后放在request    Session session = super.retrieveSession(sessionKey);
    if (request != null && sessionId != null) {
        request.setAttribute(sessionId.toString(), session);
    }
    return session;
}

 配置:当然要使用我们自定义的sessionManager

<!--sessionManagger对象-->
<bean class="com.zhuoshi.session.CustomSessionManager" name="defaultSessionManager">
    <property name="sessionDAO" ref="sessionDao"/>
</bean>







小张同学锟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shirosession实现的简单分析
tinysakura的博客
08-28 4826
前阵子对shiro进行分布式环境下的改造时跟了一遍源码,当时只是使用了思维带图简要的记录了一下方法的调用过程。最近有空了决定用博客详细的记录分析一下这个流程,以帮助自己更好的理解。 配置 首先看看shiro在web.xml文件中的配置 &amp;amp;lt;!-- shiro过滤器 --&amp;amp;gt; &amp;amp;lt;filter&amp;amp;gt; &amp;amp;lt;filter-name&amp;
shiro 拦截未登录的ajax_Shiro是如何拦截未登录请求的(一)
weixin_39625429的博客
12-19 1146
问题描述之前在公司搭项目平台的时候权限框架采用的是shiro,由于系统主要面向的是APP端的用户,PC端仅仅是公司内部人员在使用,而且考虑到系统的可用性和扩展性,服务端首先基于shiro做了一些改造以支持多数据源认证和分布式会话(关于分布式session可查看{% post_link SpringBoot集成Shiro实现多数据源认证授权与分布式会话(一)%}).我们知道在web环境下http是一...
优化 shiro 多次调用 redis 的问题
飞翔小猪的博客
10-09 3994
我们常使用 Shiro + redis 的组合解决集群下的 Session 共享问题,这里就不展开如何集成的问题了。 在进行日常优化的过程中,我通过日志发现这么一段日志: 2017-09-17 15:16:07.723 -DEBUG [nio-8080-exec-6] org.apache.shiro.session.mgt.DefaultSessionManager
Nginx反向代理cookie丢失的问题
知行合一
07-10 4189
在开发项目中,前端脚手架工具搭建好的环境,请求后台接口时,一切正常,可以请求到后台的接口,但是在快开发完成时,得先边做边测试,好吧,那就部署一个环境到测试环境,打包完成后,部署到nginx里面,发现接求接口地址成功,但是就是没有返回数据,后台打断点,没有请求到后台接口去,怪事,得找原因,后台接收到的信息只有: Returning null to indicate a session could not be found. 后台使用shiro框架没有接收到session,也就是nginx反向代理cookie
Spring Boot+Shiro+redis报UnknownSessionException:There is no session with id(redis中session失效导致异常)
qq_42526272的博客
07-17 6172
首先此异常是在 (源码解析)(解决方法在最后。。) org.apache.shiro.session.mgt.eis.AbstractSessionDAO的readSession方法中抛出的异常 public Session readSession(Serializable sessionId) throws UnknownSessionException { Se...
Shiro源码剖析——Subject的创建与获取(一次完整的请求执行流程)
qq_25046827的博客
05-02 3146
文章目录一、AbstractShiroFilter二、createSubject(request, response)1、new Builder(this.getSecurityManager(), request, response)2、buildWebSubject()1)this.copy(SubjectContext subjectContext)2)this.ensureSecurityManager(context)3)this.resolveSession(context)4)this.res
自己加了shiro在ssm框架里报错
qq_18178205的博客
01-11 2153
INFO: Server startup in 19189 ms [DEBUG][2018/01/11 17:13:19338][org.apache.shiro.session.mgt.AbstractValidatingS essionManager.createSessionValidationScheduler(AbstractValidatingSessionManager. ja
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
shiro-all-1.6.0.jar
最新发布
02-02
shiro-all-1.6.0.jar
shiro-core-1.6.0.jar
08-20
该资源是目前最新的shiro-core核心包,暂时魏安全性较高的版本,没有发现漏洞版本。提供登录安全性的校验,该资源来自官网,仅供学习参考,请前往官网下载
shiro-all-1.4.2.jar下载
08-21
shiro是java安全框架工具,而使用shiro jar包可以执行身份验证,授权,密码学和会话管理功能,想使用shiro这款安全框架的朋友们,欢迎前来下载shiro jar包进行使用。
Shiro 访问源码之OncePerRequestFilter类的解析
nandao158的博客
08-12 854
分析Shiro源码,最核心的思路是通过接口访问,此时离不开tomcat容器,其ApplicationFilterChain 过滤器链类,后台调用时采用责任链模式,循环遍历系统中每一个 直接或间接实现Filter 接口的类,其中 包含shiro框架 相关的过滤器类,最后调到 RedisSessionDao、OAuthFilter、OAuthRealm等相关的过滤条件的类。 下面我们通过一个登录接口来剖析shiro源码。 1、首先从接口进入到ApplicationFilterChain 时开始: /*
Shiro 4 sessionManager
ry的专栏
06-30 4073
sessionManager接口 public interface SessionManager { Session start(SessionContext context);  Session getSession(SessionKey key) throws SessionException; } 实现继承 AbstractSessionManager定义了sessi
shirosession ,cookie 以及 session 和 cookie 的区别
chuncui2576的博客
06-28 1840
在玩 spring boot 集成 shiro ,,,可是 发现 它的 session 和 cookie 把我搞得有点懵了。。。 首先 声明 session 和 cookie 的 区别,,,其实 session 和 cookie 是 一样的东西, **顺便提一下,,,在web项目里面 s...
7.SessionManager(session生命周期管理)
浪子
09-07 2万+
SessionManager负责管理shiro自己封装的session的生命周期。 为什么shiro要自己封装session? 1.可以为任意应用提供session支持,不依赖于底层容器 2.简单扩容session管理容器,可以实现任何数据源(redis,ehcache)来管理session,而不必担心jvm内存溢出 1.SessionManagerpublic interface Sess
Caused by: java.lang.IllegalArgumentException: Original must not be null
热门推荐
thisisvoa的专栏
12-20 3万+
下面是我开发项目中遇到的问题,Caused by: java.lang.IllegalArgumentException: Original must not be null,提示这个错误,百思不得其解。最后面不断的google,spring配置Aop配置相关的文章,最后硬着头皮去看看错误,想调试一番,因为spring的代理无非就是两种,一种是jdk代理;另外一种就是 cglib代理。 在这个
Jeecg-Boot:基于BPM的低代码开发平台
"Jeecg-Boot是一款基于BPM的低代码开发平台,结合SpringBoot、Ant Design&Vue、Mybatis-plus、Shiro和JWT,提供强大的代码生成器,实现前后端一键生成,降低开发成本。它具有在线表单、报表、图表设计等功能,旨在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值