第十章 会话管理(五) 会话验证

最新推荐文章于 2024-03-18 22:16:39 发布
最新推荐文章于 2024-03-18 22:16:39 发布
阅读量3.7k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yifanSJ/article/details/78007231
版权

Shiro 提供了会话验证调度器,用于定期的验证会话是否已过期,如果过期将停止会话;出于性能考虑,一般情况下都是获取会话时来验证会话是否过期并停止会话的;但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro 提供了会话验证调度器SessionValidationScheduler来做这件事情。


可以通过如下ini配置开启会话验证:

sessionValidationScheduler=org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler
sessionValidationScheduler.interval = 3600000
sessionValidationScheduler.sessionManager=$sessionManager
sessionManager.globalSessionTimeout=1800000
sessionManager.sessionValidationSchedulerEnabled=true
sessionManager.sessionValidationScheduler=$sessionValidationScheduler

sessionValidationScheduler : 会话验证调度器, sessionManager 默认就是使用ExecutorServiceSessionValidationScheduler,其使用JDK的ScheduledExecutorService进行定期调度并验证会话是否过期;

sessionValidationScheduler.interval:设置调度时间间隔,单位毫秒,默认就是1 小时;

sessionValidationScheduler.sessionManager:设置会话验证调度器进行会话验证时的会话管理器;

sessionManager.globalSessionTimeout:设置全局会话超时时间,默认30 分钟,即如果30分钟内没有访问会话将过期;

sessionManager.sessionValidationSchedulerEnabled:是否开启会话验证器,默认是开启的;

sessionManager.sessionValidationScheduler: 设置会话验证调度器,默认就是使用ExecutorServiceSessionValidationScheduler。


Shiro 也提供了使用Quartz会话验证调度器:

sessionValidationScheduler=org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler
sessionValidationScheduler.sessionValidationInterval = 3600000
sessionValidationScheduler.sessionManager=$sessionManager

使用时需要导入shiro-quartz依赖:

<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-quartz</artifactId>
<version>1.2.2</version>
</dependency>


如 上会话验证调度器实现都是直接调用AbstractValidatingSessionManager 的validateSessions方法进行验证,其直接调用SessionDAO 的getActiveSessions方法获取所有会话进行验证,如果会话比较多,会影响性能;可以考虑如分页获取会话并进行验证,如com.github.zhangkaitao.shiro.chapter10.session.scheduler.MySessionValidationScheduler:

//分页获取会话并验证
String sql = "select session from sessions limit ?,?";
int start = 0; //起始记录
int size = 20; //每页大小
List<String> sessionList = jdbcTemplate.queryForList(sql, String.class, start, size);
while(sessionList.size() > 0) {
for(String sessionStr : sessionList) {
try {
Session session = SerializableUtils.deserialize(sessionStr);
Method validateMethod =
ReflectionUtils.findMethod(AbstractValidatingSessionManager.class,
"validate", Session.class, SessionKey.class);
validateMethod.setAccessible(true);
ReflectionUtils.invokeMethod(validateMethod,
sessionManager, session, new DefaultSessionKey(session.getId()));
} catch (Exception e) {
//ignore
}
}
start = start + size;
sessionList = jdbcTemplate.queryForList(sql, String.class, start, size);
}

其直接改造自ExecutorServiceSessionValidationScheduler,如上代码是验证的核心代码,可以根据自己的需求改造此验证调度器器;ini的配置和之前的类似。


如果在会话过期时不想删除过期的会话,可以通过如下ini配置进行设置:

sessionManager.deleteInvalidSessions=false

默认是开启的,在会话过期后会调用SessionDAO的delete 方法删除会话:如会话时持久化存储的,可以调用此方法进行删除。


如果是在获取会话时验证了会话已过期,将抛出InvalidSessionException;因此需要捕获这个异常并跳转到相应的页面告诉用户会话已过期,让其重新登录,如可以在web.xml 配置相应的错误页面:

<error-page>
<exception-type>org.apache.shiro.session.InvalidSessionException</exception-type>
<location>/invalidSession.jsp</location>
</error-page>

Testdddddddddddddddd
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
学习Spring Boot:(十三)配置 Shiro 权限认证
追光者的博客
05-06 2274
经过前面学习 Apache Shiro ,现在结合 Spring Boot 使用在项目里,进行相关配置。 正文 添加依赖 在 pom.xml 文件中添加 shiro-spring 的依赖: &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; ...
Apache的shiro获取当前Session的方法
weixin_46589575的博客
03-24 1467
shiro提供了一个工具类可以方便的获取Session,这个工具类就是:SecurityUtils 获取当前的Session直接可以通过下面的方式来: public static Session getSession() { return SecurityUtils.getSubject().getSession(); } 获取到session还可以直接往session中塞属性,例如登录的时候,需要一个验证码,则可以将生成的验证码的文本塞到session中, 设置sessi
org.apache.shiro.session.InvalidSessionException: java.lang.IllegalStateException: getAttribute: Ses...
weixin_33963594的博客
07-07 2619
1.遇到以下异常,找了好长时间,终于解决,报的异常如下: 七月 07, 2017 3:02:16 下午 org.apache.catalina.core.StandardWrapperValve invoke严重: Servlet.service() for servlet [SpringMVC] in context with path [/IMP] threw exception [org.a...
一文读懂 Shiro 登录认证全流程
csdn565973850的博客
09-14 5121
一起跟着源码看 Shiro 的登录认证流程
shiro session过期设置
qq_39508627的博客
02-25 993
sessionManager 中设置过期信息。time-server.globalSessionTimeout是从配置文件yml中设置的 @Bean(name = "sessionManager") public DefaultWebSessionManager sessionManager(@Value("${time-server.globalSessionTimeout:3600...
springboot使用shiro配置多个过滤器和session同步案例
qq_41358574的博客
10-24 4493
案例代码来自ruoyi管理系统的shiro部分 知识点介绍 AccessControlFilter AccessControlFilter提供了访问控制的基础功能;比如是否允许访问/当访问拒绝时如何处理等: isAccessAllowed:表示是否允许访问;mappedValue就是[urls]配置中拦截器参数部分,如果允许访问返回true,否则false; onAccessDenied:表示当访问拒绝时是否已经处理了;如果返回true表示需要继续处理;如果返回false表示该拦截器实例已经处理了,将直接返
javaweb第十章的练习代码
04-17
通过这个第十章的练习,你可以学习如何组织和使用这些组件来构建一个完整的Web应用程序。例如,一个用户登录系统可能包括JSP页面(用于用户界面),Servlet(处理登录逻辑),Filter(确保安全性和日志记录),以及...
数据库系统实用教程-第十章数据库管理-732.ppt
02-27
5. **数据安全性控制管理**:DBA需确保数据的安全性,通过身份验证和鉴权机制,实施自主访问控制,并记录审计日志以追踪和防止非法访问。 6. **数据完整性控制管理**:完整性约束的设置和检查是确保数据准确无误的...
《ASP.NET MVC 4 框架揭秘》 第十章 数据库及脚本
07-29
《ASP.NET MVC 4 框架揭秘》第十章主要探讨了在开发Web应用程序时如何有效地管理和操作数据库,以及如何利用脚本来增强应用的功能。这一章涵盖了以下几个关键知识点: 1. **ASP.NET MVC 4 框架**:ASP.NET MVC 4是...
第十章ColdFusion动态网站开发——实例.zip
01-13
通过学习《第十章 ColdFusion 动态网站开发——实例》,开发者可以深入了解如何使用ColdFusion创建功能丰富的动态网站,掌握数据库交互、表单处理、会话管理等关键技能,并学会如何优化和部署ColdFusion应用,从而...
spring整合shiro
01-31
bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> 02 <property name="securityManager" ref="securityManager"/> 03 <!-- override these for application-specific URLs if you like:--> 04 <!-- <property name="loginUrl" value="/welcome" />--> 05 <!-- <property name="successUrl" value="/blog/drug/list"/>--> 06 <property name="unauthorizedUrl" value="/unauthorized.jsp"/> 07 <!-- The 'filters' property is not necessary since any declared javax.servlet.Filter bean --> 08 <!-- defined will be automatically acquired and available via its beanName in chain --> 09 <!-- definitions, but you can perform instance overrides or name aliases here if you like: --> 10 <!-- <property name="filters"> 11 <util:map> 12 <entry key="anAlias" value-ref="someFilter"/> 13 </util:map> 14 </property> --> 15 <property name="filterChainDefinitions"> 16 <value> 17 /login* = anon 18 /welcome = anon 19 /slave4j/** = anon 20 /list = anon 21 /** = authc 22 </value> 23 </property> 24 </bean> 25 26 <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 27 28 <!-- 基于ehCache来缓存用户认证信息和授权信息的实现 --> 29 <property name="cacheManager" ref="shiroCacheManager"/> 30 31 <!-- Single realm app. If you have multiple realms, use the 'realms' property instead. --> 32 <property name="realm" ref="jdbcRealm"/> 33 34 <!-- sessionMode参数设置为native时,那么shrio就将用户的基本认证信息保存到缺省名称为shiro-activeSessionCache 的Cache中 --> 35 <property name="sessionMode" value="native" /> 36 37 <!-- 缺省使用的是DefaultWebSessionManager来管理Session,该管理类缺省使用的是使用MemorySessionDAO基于内存来保存和操作用户基本认证信息。如果系统内的用户数特别多,我们需要使用CacheSessionDao来基于Cache进行操作 --> 38 <property name="sessionManager" ref="shiroSessionManager"/> 39 </bean> 40 41 <!-- jdbcRealm --> 42 <bean id="jdbcRealm" class="org.slave4j.shiro.MyRealm"> 43 <!-- shiro.authorizationCache是用来存放授权信息的Cache --> 44 <property name="authorizationCacheName" value="shiro.authorizationCache"/> 45 </bean> 46 47 <!-- shiroSessionManager --> 48 <bean id="shiroSessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> 49 <property name="sessionDAO" ref="sessionDAO"/> 50 <property name="sessionListeners"> 51 <set><bean class="org.slave4j.shiro.SessionHandler"/> </set> 52 </property> 53 54 <property name="sessionValidationScheduler" ref="sessionValidationScheduler" /> 55 <property name="globalSessionTimeout" value="180000"/> 56 <property name="sessionValidationSchedulerEnabled" value="true"/> 57 <property name="deleteInvalidSessions" value="true"/> 58 </bean> 59 <bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO"> 60 <property name="activeSessionsCacheName" value="shiro-activeSessionCache"/> 61 </bean> 62 <bean id="sessionValidationScheduler" class="org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler"> 63 <property name="interval" value="5000"/> 64 </bean> 65 66 <!-- shiroCacheManager --> 67 <!-- Let's use some enterprise caching support for better performance. You can replace this with any enterprise 68 caching framework implementation that you like (Terracotta+Ehcache, Coherence, GigaSpaces, etc --> 69 <bean id="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> 70 <!-- Set a net.sf.ehcache.CacheManager instance here if you already have one. If not, a new one 71 will be created with a default config: --> 72 <property name="cacheManager" ref="ehCacheManager"/> 73 <!-- If you don't have a pre-built net.sf.ehcache.CacheManager instance to inject, but you want 74 a specific Ehcache configuration to be used, specify that here. If you don't, a default 75 will be used.:--> 76 <property name="cacheManagerConfigFile" value="classpath:shiro_ehcache.xml"/> 77 </bean> 78 <bean id="ehCacheManager" class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean"/> 79 80 <!-- Enable Shiro Annotations for Spring-configured beans. Only run after the lifecycleBeanProcessor has run: --> 81 <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> 82 <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> 83 <property name="securityManager" ref="securityManager"/> 84 </bean>
实战突击:PHP项目开发案例整合-配套源码【第十章明日科技企业网站】
05-20
在本资源中,"实战突击:PHP项目开发案例整合-配套源码【第十章明日科技企业网站】",我们聚焦于一个完整的PHP企业网站开发案例,这个案例是明日科技公司的官方网站实现。通过学习和研究这个案例,我们可以深入了解...
猫头虎分享已解决Bug || 无效的会话/令牌:InvalidSessionException: Session token ‘abc123‘ is invalid or expired
最新发布
深入 IT 各领域的角落,分享前沿技术见解与实践心得。与我一起,探索技术的无限可能!
03-18 1085
嗨,亲爱的后端开发者们,我是猫头虎博主!🐱🐅 今天我们要探讨的是后端开发中常见的一个棘手问题——无效的会话/令牌错误,即。这种错误通常发生在用户的会话令牌无效或已过期时。在本文中,我将带大家深入了解此问题的根源,提供一系列的解决方法和步骤,同时分享一些代码案例,帮助你有效地解决这一问题。让我们一起揭开这个Bug的神秘面纱,保障我们的后端服务运行得更加顺畅。准备好了吗?让我们开始吧!🚀在现代Web应用中,会话Session)和令牌(Token)是保持用户状态和进行用户认证的重要机制。
shiro——Session 系列源码
dgh112233的博客
09-10 636
目录 1 shiro 会话的类图 1.1 Session 接口 2. DelegatingSession 类(一种类型的会话类) 3.ProxiedSession 类(一种类型的会话类) 4. SimpleSession类 (常用的 会话类) 5.StoppingAwareProxiedSession 类(很重要的会话类) 1 shiro 会话的类图 1.1 Sess...
华为游戏登录,解析凭证Access Token接口报{“error”:“invalid session”}
华为开发者联盟
02-22 3486
问题描述 集成华为游戏sdk后,进行游戏登录操作,其中帐号登录完调用getGamePlayer接口后要对获取到的Access Token进行验证,此时调用解析凭证Access Token接口报{“error”:”invalid session”}。 解析凭证Access Token参考接口文档。 问题分析 我们不知道什么原因,直接找到了华为技术支持(可提工单咨询cke_119.png),按照他们的提示依次检查。 1.查看接口url是否填错,正确的url: https://oauth-api.cloud.hu
Shiro中的session和cookie
qq_36816062的博客
11-26 2821
Shiro中的session和cookie 最近项目在整合Shiro框架,顺便深入学习了Shiro的session和cookie。 HTTP协议是无状态的,所以在web项目中一般都是通过session和cookie来保持浏览器和服务器之间的会话的。 shiro也是如此,当浏览器第一次请求服务器时,服务器会生成一个session,同时创建cookie,将sessionId保存在cookie中,cookie再作为响应头返回到浏览器并保存。这也就是我们常说的“cookie保存在客户端,session保存在服务器端
shiro安全框架扩展教程--异常退出没有清除缓存信息处理方案
热门推荐
shadowsick的专栏
12-11 3万+
自从之前研究了security3一段时间,发现也不咋滴,后来转行去玩玩shiro,感觉还是挺不错的,小巧灵活;然后遇到个大家都应该遇到过的问题就是当用户退出或者异常关闭浏览器的时候不会自动清除缓存授权信息,当然shiro是有个玩意会自动扫描过期的会话,但是它只会清除会话信息不会清除cache里面的信息,看了网上的答案都是不靠谱的,最好还是自己看源码吧,下面看我的解决方案 <bean id="
8.Session(Shiro会话
浪子
09-09 6619
Session是个状态性的数据上下文,可以理解为每个用户都有一个特定数据库,该数据库存储着每个用户自己的数据,在shiro里,它是和Subject绑定在一起的,通常用户通过Subject.getSession来获取使用。它在系统内会存活一段时间为用户提供客户端浏览器和应用服务器通讯的一些功能。以下是一些关于Session的使用场景。 1.用户登陆成功后,应用服务器产生个Session,且返回该S
selenium.common.exceptions.InvalidSessionIdException: Message: invalid session id 报错解决方法
qq_33940095的博客
04-05 1万+
原因是在使用webdriver之前调用了 close_driver() 将webdriver关闭了,则webdriver就失效了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值