第十章 会话管理(五) 会话验证

最新推荐文章于 2024-03-18 22:16:39 发布
最新推荐文章于 2024-03-18 22:16:39 发布
阅读量3.7k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yifanSJ/article/details/78007231
版权

Shiro 提供了会话验证调度器,用于定期的验证会话是否已过期,如果过期将停止会话;出于性能考虑,一般情况下都是获取会话时来验证会话是否过期并停止会话的;但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro 提供了会话验证调度器SessionValidationScheduler来做这件事情。


可以通过如下ini配置开启会话验证:

sessionValidationScheduler=org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler
sessionValidationScheduler.interval = 3600000
sessionValidationScheduler.sessionManager=$sessionManager
sessionManager.globalSessionTimeout=1800000
sessionManager.sessionValidationSchedulerEnabled=true
sessionManager.sessionValidationScheduler=$sessionValidationScheduler

sessionValidationScheduler : 会话验证调度器, sessionManager 默认就是使用ExecutorServiceSessionValidationScheduler,其使用JDK的ScheduledExecutorService进行定期调度并验证会话是否过期;

sessionValidationScheduler.interval:设置调度时间间隔,单位毫秒,默认就是1 小时;

sessionValidationScheduler.sessionManager:设置会话验证调度器进行会话验证时的会话管理器;

sessionManager.globalSessionTimeout:设置全局会话超时时间,默认30 分钟,即如果30分钟内没有访问会话将过期;

sessionManager.sessionValidationSchedulerEnabled:是否开启会话验证器,默认是开启的;

sessionManager.sessionValidationScheduler: 设置会话验证调度器,默认就是使用ExecutorServiceSessionValidationScheduler。


Shiro 也提供了使用Quartz会话验证调度器:

sessionValidationScheduler=org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler
sessionValidationScheduler.sessionValidationInterval = 3600000
sessionValidationScheduler.sessionManager=$sessionManager

使用时需要导入shiro-quartz依赖:

<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-quartz</artifactId>
<version>1.2.2</version>
</dependency>


如 上会话验证调度器实现都是直接调用AbstractValidatingSessionManager 的validateSessions方法进行验证,其直接调用SessionDAO 的getActiveSessions方法获取所有会话进行验证,如果会话比较多,会影响性能;可以考虑如分页获取会话并进行验证,如com.github.zhangkaitao.shiro.chapter10.session.scheduler.MySessionValidationScheduler:

//分页获取会话并验证
String sql = "select session from sessions limit ?,?";
int start = 0; //起始记录
int size = 20; //每页大小
List<String> sessionList = jdbcTemplate.queryForList(sql, String.class, start, size);
while(sessionList.size() > 0) {
for(String sessionStr : sessionList) {
try {
Session session = SerializableUtils.deserialize(sessionStr);
Method validateMethod =
ReflectionUtils.findMethod(AbstractValidatingSessionManager.class,
"validate", Session.class, SessionKey.class);
validateMethod.setAccessible(true);
ReflectionUtils.invokeMethod(validateMethod,
sessionManager, session, new DefaultSessionKey(session.getId()));
} catch (Exception e) {
//ignore
}
}
start = start + size;
sessionList = jdbcTemplate.queryForList(sql, String.class, start, size);
}

其直接改造自ExecutorServiceSessionValidationScheduler,如上代码是验证的核心代码,可以根据自己的需求改造此验证调度器器;ini的配置和之前的类似。


如果在会话过期时不想删除过期的会话,可以通过如下ini配置进行设置:

sessionManager.deleteInvalidSessions=false

默认是开启的,在会话过期后会调用SessionDAO的delete 方法删除会话:如会话时持久化存储的,可以调用此方法进行删除。


如果是在获取会话时验证了会话已过期,将抛出InvalidSessionException;因此需要捕获这个异常并跳转到相应的页面告诉用户会话已过期,让其重新登录,如可以在web.xml 配置相应的错误页面:

<error-page>
<exception-type>org.apache.shiro.session.InvalidSessionException</exception-type>
<location>/invalidSession.jsp</location>
</error-page>

Testdddddddddddddddd
关注
Cookie 会话身份验证是如何工作的?
艾编程带你学前端博客
01-16 529
当然,在真实的web项目中,通常会判断输入的信息与数据库user表中的信息一致。这是一套免费的三十天挑战计划的课程体系,包含了html+css+云端部署的课程体系,可以通过钉钉群里学习,有问题在群里可以提问,同时每节课还安排有作业,配套有阶段项目练习和综合项目实战,目的是帮助大家夯实前端基础,轻松入门到前端行业。从学习一开始就同步使用 Git 进行项目代码的版本的管理,Markdown 记录学习笔记,包括真实大厂项目的开发标准和设计规范,命名规范,项目代码规范,SEO优化规范。那么如何解决以上问题呢?
分布式云计算与大数据第十章
QueenEyre的博客
01-01 447
第十章 云存储技术 云存储是在云计算概念上延伸和衍生发展出来的一个新的概念。云计算是分布式处理、并行处理和网格计算的发展,是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序,再交由多部服务器所组成的庞大系统经计算分析之后将处理结果回传给用户。 云存储的概念与云计算类似,它是指通过集群应用、网格技术或分布式文件系统等功能,网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作,...
HTTP会话认证
日积月累
02-28 724
一、basic认证和digest认证 https://blog.csdn.net/zjf535214685/article/details/81298694 二、Oauth认证原理 https://justcoding.iteye.com/blog/1950270 三、Hawk authentication https://segmentfault.com/a/1190000012056...
会话维护,验证验证
weixin_46698994的博客
06-06 242
***开发习惯 开发文档注释 养成习惯:在类前记得写开发文档注释 以便于二次开发 具体如下: /** * 随机生成多个字符的字符串 * @param count :字符串中字符的个数 * @return :生成的字符串 */ public String randomString(int count){ //定义一个方法 ,count代表想要生成的字符个数 StringBuilder builder = new StringBuilder();
JAVA-WEB 会话技术 - (session实现验证码的校验)
alexzt的博客
06-29 1007
登录的servletpackage login; import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.h...
web身份验证会话维持(session、token)
Novice-XiaoSong的博客
10-22 367
cookie现今的角色主要是作为浏览器存储方案的一种 session: (1)浏览器存储session_id(加密),服务器存储用户登录状态的明细表。发送请求时会携带该session_id,在服务器通过验证后可获取用户当前登录状态。 (2)对于支持cookie的浏览器,session_id一般存储在cookie中,发送请求时随cookie发送;对于不支持cookie的浏览器,session_id会使用URL重写技术将session_id组合到URL中:http://www.test.com/test;js.
数据库系统实用教程-第十章数据库管理-732.ppt
02-27
5. **数据安全性控制管理**:DBA需确保数据的安全性,通过身份验证和鉴权机制,实施自主访问控制,并记录审计日志以追踪和防止非法访问。 6. **数据完整性控制管理**:完整性约束的设置和检查是确保数据准确无误的...
javaweb第十章的练习代码
04-17
通过这个第十章的练习,你可以学习如何组织和使用这些组件来构建一个完整的Web应用程序。例如,一个用户登录系统可能包括JSP页面(用于用户界面),Servlet(处理登录逻辑),Filter(确保安全性和日志记录),以及...
《ASP.NET MVC 4 框架揭秘》 第十章 数据库及脚本
07-29
《ASP.NET MVC 4 框架揭秘》第十章主要探讨了在开发Web应用程序时如何有效地管理和操作数据库,以及如何利用脚本来增强应用的功能。这一章涵盖了以下几个关键知识点: 1. **ASP.NET MVC 4 框架**:ASP.NET MVC 4是...
实战突击:PHP项目开发案例整合-配套源码【第十章明日科技企业网站】
05-20
在本资源中,"实战突击:PHP项目开发案例整合-配套源码【第十章明日科技企业网站】",我们聚焦于一个完整的PHP企业网站开发案例,这个案例是明日科技公司的官方网站实现。通过学习和研究这个案例,我们可以深入了解...
学习Spring Boot:(十三)配置 Shiro 权限认证
追光者的博客
05-06 2287
经过前面学习 Apache Shiro ,现在结合 Spring Boot 使用在项目里,进行相关配置。 正文 添加依赖 在 pom.xml 文件中添加 shiro-spring 的依赖: &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; ...
一文读懂 Shiro 登录认证全流程
csdn565973850的博客
09-14 5272
一起跟着源码看 Shiro 的登录认证流程
shiro session过期设置
qq_39508627的博客
02-25 1005
sessionManager 中设置过期信息。time-server.globalSessionTimeout是从配置文件yml中设置的 @Bean(name = "sessionManager") public DefaultWebSessionManager sessionManager(@Value("${time-server.globalSessionTimeout:3600...
org.apache.shiro.session.InvalidSessionException: java.lang.IllegalStateException: getAttribute: Ses...
weixin_33963594的博客
07-07 2629
1.遇到以下异常,找了好长时间,终于解决,报的异常如下: 七月 07, 2017 3:02:16 下午 org.apache.catalina.core.StandardWrapperValve invoke严重: Servlet.service() for servlet [SpringMVC] in context with path [/IMP] threw exception [org.a...
Apache的shiro获取当前Session的方法
weixin_46589575的博客
03-24 1500
shiro提供了一个工具类可以方便的获取Session,这个工具类就是:SecurityUtils 获取当前的Session直接可以通过下面的方式来: public static Session getSession() { return SecurityUtils.getSubject().getSession(); } 获取到session还可以直接往session中塞属性,例如登录的时候,需要一个验证码,则可以将生成的验证码的文本塞到session中, 设置sessi
springboot使用shiro配置多个过滤器和session同步案例
qq_41358574的博客
10-24 4675
案例代码来自ruoyi管理系统的shiro部分 知识点介绍 AccessControlFilter AccessControlFilter提供了访问控制的基础功能;比如是否允许访问/当访问拒绝时如何处理等: isAccessAllowed:表示是否允许访问;mappedValue就是[urls]配置中拦截器参数部分,如果允许访问返回true,否则false; onAccessDenied:表示当访问拒绝时是否已经处理了;如果返回true表示需要继续处理;如果返回false表示该拦截器实例已经处理了,将直接返
猫头虎分享已解决Bug || 无效的会话/令牌:InvalidSessionException: Session token ‘abc123‘ is invalid or expired
最新发布
深入 IT 各领域的角落,分享前沿技术见解与实践心得。与我一起,探索技术的无限可能!
03-18 1112
嗨,亲爱的后端开发者们,我是猫头虎博主!🐱🐅 今天我们要探讨的是后端开发中常见的一个棘手问题——无效的会话/令牌错误,即。这种错误通常发生在用户的会话令牌无效或已过期时。在本文中,我将带大家深入了解此问题的根源,提供一系列的解决方法和步骤,同时分享一些代码案例,帮助你有效地解决这一问题。让我们一起揭开这个Bug的神秘面纱,保障我们的后端服务运行得更加顺畅。准备好了吗?让我们开始吧!🚀在现代Web应用中,会话Session)和令牌(Token)是保持用户状态和进行用户认证的重要机制。
shiro——Session 系列源码
dgh112233的博客
09-10 643
目录 1 shiro 会话的类图 1.1 Session 接口 2. DelegatingSession 类(一种类型的会话类) 3.ProxiedSession 类(一种类型的会话类) 4. SimpleSession类 (常用的 会话类) 5.StoppingAwareProxiedSession 类(很重要的会话类) 1 shiro 会话的类图 1.1 Sess...
华为游戏登录,解析凭证Access Token接口报{“error”:“invalid session”}
华为开发者联盟
02-22 3509
问题描述 集成华为游戏sdk后,进行游戏登录操作,其中帐号登录完调用getGamePlayer接口后要对获取到的Access Token进行验证,此时调用解析凭证Access Token接口报{“error”:”invalid session”}。 解析凭证Access Token参考接口文档。 问题分析 我们不知道什么原因,直接找到了华为技术支持(可提工单咨询cke_119.png),按照他们的提示依次检查。 1.查看接口url是否填错,正确的url: https://oauth-api.cloud.hu
shiro配置sessionmanager
05-19
在 Shiro 中,SessionManager 负责管理用户的会话信息,其主要职责包括创建、获取、删除和管理会话等。下面是一个简单的 Shiro SessionManager 的配置示例: ```xml <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <!-- session过期时间,单位:毫秒 --> <property name="globalSessionTimeout" value="1800000" /> <!-- 是否开启URL地址栏中的SessionID重写 --> <property name="sessionIdUrlRewritingEnabled" value="false" /> <!-- 是否开启删除无效的session对象 --> <property name="deleteInvalidSessions" value="true" /> <!-- 是否开启定时调度器检测失效的session对象 --> <property name="sessionValidationSchedulerEnabled" value="true" /> <!-- 定时清理失效session的时间间隔,单位:毫秒;默认1小时 --> <property name="sessionValidationInterval" value="3600000" /> <!-- 会话DAO --> <property name="sessionDAO" ref="redisSessionDAO" /> </bean> ``` 其中,`DefaultWebSessionManager` 是 Shiro 默认提供的 Web 环境下的 SessionManager 实现类,我们可以通过配置它的属性来实现相关功能。具体的属性含义如下: - `globalSessionTimeout`:会话超时时间,单位为毫秒,默认为30分钟。 - `sessionIdUrlRewritingEnabled`:是否在URL地址栏中重写Session ID,默认为false,建议不开启,因为这会让URL泄漏了Session ID,存在安全风险。 - `deleteInvalidSessions`:是否开启删除无效Session对象,默认为true,表示当Session超时或者被踢出时自动删除相应的Session对象。 - `sessionValidationSchedulerEnabled`:是否开启定时调度器检测失效的Session对象,默认为true,表示在应用启动时会启动一个定时任务,定期检测失效的Session并删除它们。 - `sessionValidationInterval`:定时清理失效Session的时间间隔,单位为毫秒,默认为1小时。 - `sessionDAO`:指定会话DAO,即会话的存储方式。这里我们使用 Redis 作为会话存储方式,所以指定了 `redisSessionDAO`。 需要注意的是,如果要使用 Redis 作为会话存储方式,还需要配置相应的 `redisSessionDAO`。具体的配置可以参考下面的示例: ```xml <bean id="redisSessionDAO" class="org.crazycake.shiro.RedisSessionDAO"> <!-- 配置RedisManager --> <property name="redisManager" ref="redisManager" /> <!-- session在Redis中的过期时间,单位是秒 --> <property name="expire" value="1800" /> </bean> <bean id="redisManager" class="org.crazycake.shiro.RedisManager"> <!-- Redis服务器地址,格式为:host:port --> <property name="host" value="127.0.0.1:6379" /> <!-- Redis服务器连接超时时间,单位为毫秒,默认为2000ms --> <property name="timeout" value="2000" /> <!-- Redis服务器密码,如果没有设置可以不填 --> <property name="password" value="your_password" /> <!-- Redis数据库编号,默认为0 --> <property name="database" value="0" /> </bean> ``` 其中,`RedisSessionDAO` 是一个实现了 Shiro `SessionDAO` 接口的 Redis Session 存储类。`RedisManager` 则是一个 Redis 连接管理类,用于管理与 Redis 服务器的连接。需要注意的是,上面的 `redisSessionDAO` 和 `redisManager` 需要通过 Spring 容器进行管理,所以需要在 Spring 配置文件中进行相应的配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值