shiro会话管理示例代码

时间:2021-11-01 12:59:43

shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管javase还是javaee环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对web的透明支持、sso单点登录的支持等特性。即直接使用shiro的会话管理可以直接替换如web容器的会话管理。 

会话

所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 

shiro的会话支持不仅可以在普通的javase应用中使用,也可以在javaee应用中使用,如web应用。且使用方式是一致的。 

java代码  

?
1
2
3
login("classpath:shiro.ini", "zhang", "123");
subject subject = securityutils.getsubject();
session session = subject.getsession();

登录成功后使用subject.getsession()即可获取会话;其等价于subject.getsession(true),即如果当前没有创建session对象会创建一个;另外subject.getsession(false),如果当前没有创建session则返回null(不过默认情况下如果启用会话存储功能的话在创建subject时会主动创建一个session)。

java代码  

?
1
session.getid();

获取当前会话的唯一标识。 

java代码  

?
1
session.gethost();

 获取当前subject的主机地址,该地址是通过hostauthenticationtoken.gethost()提供的。  

java代码  

?
1
2
session.gettimeout();
session.settimeout(毫秒);

获取/设置当前session的过期时间;如果不设置默认是会话管理器的全局过期时间。  

java代码  

?
1
2
session.getstarttimestamp();
session.getlastaccesstime();

获取会话的启动时间及最后访问时间;如果是javase应用需要自己定期调用session.touch()去更新最后访问时间;如果是web应用,每次进入shirofilter都会自动调用session.touch()来更新最后访问时间。     

java代码  

?
1
2
session.touch();
session.stop();

更新会话最后访问时间及销毁会话;当subject.logout()时会自动调用stop方法来销毁会话。如果在web中,调用javax.servlet.http.httpsession. invalidate()也会自动调用shiro session.stop方法进行销毁shiro的会话。  

java代码  

?
1
2
3
session.setattribute("key", "123");
assert.assertequals("123", session.getattribute("key"));
session.removeattribute("key");

设置/获取/删除会话属性;在整个会话范围内都可以对这些属性进行操作。  

shiro提供的会话可以用于javase/javaee环境,不依赖于任何底层容器,可以独立使用,是完整的会话模块。 

会话管理器

会话管理器管理着应用中所有subject的会话的创建、维护、删除、失效、验证等工作。是shiro的核心组件,顶层组件securitymanager直接继承了sessionmanager,且提供了sessionssecuritymanager实现直接把会话管理委托给相应的sessionmanager,defaultsecuritymanager及
defaultwebsecuritymanager默认securitymanager都继承了sessionssecuritymanager。 

securitymanager提供了如下接口: 

java代码  

?
1
2
session start(sessioncontext context); //启动会话
session getsession(sessionkey key) throws sessionexception; //根据会话key获取会话

另外用于web环境的websessionmanager又提供了如下接口: 

java代码  

?
1
boolean isservletcontainersessions();//是否使用servlet容器的会话

shiro还提供了validatingsessionmanager用于验资并过期会话: 

java代码  

?
1
void validatesessions();//验证所有会话是否过期

shiro会话管理示例代码

shiro提供了三个默认实现:

defaultsessionmanager:defaultsecuritymanager使用的默认实现,用于javase环境;
servletcontainersessionmanager:defaultwebsecuritymanager使用的默认实现,用于web环境,其直接使用servlet容器的会话;

defaultwebsessionmanager:用于web环境的实现,可以替代servletcontainersessionmanager,自己维护着会话,直接废弃了servlet容器的会话管理。

替换securitymanager默认的sessionmanager可以在ini中配置(shiro.ini):

java代码  

?
1
2
3
[main]
sessionmanager=org.apache.shiro.session.mgt.defaultsessionmanager
securitymanager.sessionmanager=$sessionmanager

web环境下的ini配置(shiro-web.ini):

<!--endfragment-->

java代码  

?
1
2
3
[main]
sessionmanager=org.apache.shiro.web.session.mgt.servletcontainersessionmanager
securitymanager.sessionmanager=$sessionmanager

另外可以设置会话的全局过期时间(毫秒为单位),默认30分钟:

java代码  

?
1
sessionmanager. globalsessiontimeout=1800000

默认情况下globalsessiontimeout将应用给所有session。可以单独设置每个session的timeout属性来为每个session设置其超时时间。

另外如果使用servletcontainersessionmanager进行会话管理,session的超时依赖于底层servlet容器的超时时间,可以在web.xml中配置其会话的超时时间(分钟为单位): 

java代码  

?
1
2
3
<session-config>
 <session-timeout>30</session-timeout>
</session-config>

在servlet容器中,默认使用jsessionid cookie维护会话,且会话默认是跟容器绑定的;在某些情况下可能需要使用自己的会话机制,此时我们可以使用defaultwebsessionmanager来维护会话:

java代码  

?
1
2
3
4
5
6
7
8
9
10
sessionidcookie=org.apache.shiro.web.servlet.simplecookie
sessionmanager=org.apache.shiro.web.session.mgt.defaultwebsessionmanager
sessionidcookie.name=sid
#sessionidcookie.domain=sishuok.com
#sessionidcookie.path=
sessionidcookie.maxage=1800
sessionidcookie.httponly=true
sessionmanager.sessionidcookie=$sessionidcookie
sessionmanager.sessionidcookieenabled=true
.securitymanager.sessionmanager=$sessionmanager

sessionidcookie是sessionmanager创建会话cookie的模板:

sessionidcookie.name:设置cookie名字,默认为jsessionid;

sessionidcookie.domain:设置cookie的域名,默认空,即当前访问的域名;

sessionidcookie.path:设置cookie的路径,默认空,即存储在域名根下;

sessionidcookie.maxage:设置cookie的过期时间,秒为单位,默认-1表示关闭浏览器时过期cookie;

sessionidcookie.httponly:如果设置为true,则客户端不会暴露给客户端脚本代码,使用httponly cookie有助于减少某些类型的跨站点脚本攻击;此特性需要实现了servlet 2.5 mr6及以上版本的规范的servlet容器支持;

sessionmanager.sessionidcookieenabled:是否启用/禁用session id cookie,默认是启用的;如果禁用后将不会设置session id cookie,即默认使用了servlet容器的jsessionid,且通过url重写(url中的“;jsessionid=id”部分)保存session id。

 另外我们可以如“sessionmanager. sessionidcookie.name=sid”这种方式操作cookie模板。 

会话监听器

会话监听器用于监听会话创建、过期及停止事件: 

java代码  

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
public class mysessionlistener1 implements sessionlistener {
 @override
 public void onstart(session session) {//会话创建时触发
  system.out.println("会话创建:" + session.getid());
 }
 @override
 public void onexpiration(session session) {//会话过期时触发
  system.out.println("会话过期:" + session.getid());
 }
 @override
 public void onstop(session session) {//退出/会话过期时触发
  system.out.println("会话停止:" + session.getid());
 }
}

如果只想监听某一个事件,可以继承sessionlisteneradapter实现:

java代码  

?
1
2
3
4
5
6
public class mysessionlistener2 extends sessionlisteneradapter {
 @override
 public void onstart(session session) {
  system.out.println("会话创建:" + session.getid());
 }
}

在shiro-web.ini配置文件中可以进行如下配置设置会话监听器:

java代码 

?
1
2
3
sessionlistener1=com.github.zhangkaitao.shiro.chapter10.web.listener.mysessionlistener1
sessionlistener2=com.github.zhangkaitao.shiro.chapter10.web.listener.mysessionlistener2
sessionmanager.sessionlisteners=$sessionlistener1,$sessionlistener2

会话存储/持久化 

shiro提供sessiondao用于会话的crud,即dao(data access object)模式实现:

java代码 

?
1
2
3
4
5
6
7
8
9
10
//如defaultsessionmanager在创建完session后会调用该方法;如保存到关系数据库/文件系统/nosql数据库;即可以实现会话的持久化;返回会话id;主要此处返回的id.equals(session.getid());
serializable create(session session);
//根据会话id获取会话
session readsession(serializable sessionid) throws unknownsessionexception;
//更新会话;如更新会话最后访问时间/停止会话/设置超时时间/设置移除属性等会调用
void update(session session) throws unknownsessionexception;
//删除会话;当会话过期/会话停止(如用户退出时)会调用
void delete(session session);
//获取当前所有活跃用户,如果用户量多此方法影响性能
collection<session> getactivesessions();

shiro内嵌了如下sessiondao实现:

shiro会话管理示例代码

abstractsessiondao提供了sessiondao的基础实现,如生成会话id等;cachingsessiondao提供了对开发者透明的会话缓存的功能,只需要设置相应的cachemanager即可;memorysessiondao直接在内存中进行会话维护;而enterprisecachesessiondao提供了缓存功能的会话维护,默认情况下使用mapcache实现,内部使用concurrenthashmap保存缓存的会话。

可以通过如下配置设置sessiondao:

java代码  

?
1
2
sessiondao=org.apache.shiro.session.mgt.eis.enterprisecachesessiondao
sessionmanager.sessiondao=$sessiondao

shiro提供了使用ehcache进行会话存储,ehcache可以配合terracotta实现容器无关的分布式集群。

首先在pom.xml里添加如下依赖:

java代码  

?
1
2
3
4
5
<dependency>
 <groupid>org.apache.shiro</groupid>
 <artifactid>shiro-ehcache</artifactid>
 <version>1.2.2</version>
</dependency>

接着配置shiro-web.ini文件:   

java代码  

?
1
2
3
4
5
6
sessiondao=org.apache.shiro.session.mgt.eis.enterprisecachesessiondao
sessiondao. activesessionscachename=shiro-activesessioncache
sessionmanager.sessiondao=$sessiondao
cachemanager = org.apache.shiro.cache.ehcache.ehcachemanager
cachemanager.cachemanagerconfigfile=classpath:ehcache.xml
securitymanager.cachemanager = $cachemanager

sessiondao. activesessionscachename:设置session缓存名字,默认就是shiro-activesessioncache;

cachemanager:缓存管理器,用于管理缓存的,此处使用ehcache实现;

cachemanager.cachemanagerconfigfile:设置ehcache缓存的配置文件;

securitymanager.cachemanager:设置securitymanager的cachemanager,会自动设置实现了cachemanageraware接口的相应对象,如sessiondao的cachemanager;

然后配置ehcache.xml:

java代码  

?
1
2
3
4
5
6
7
8
<cache name="shiro-activesessioncache"
  maxentrieslocalheap="10000"
  overflowtodisk="false"
  eternal="false"
  diskpersistent="false"
  timetoliveseconds="0"
  timetoidleseconds="0"
  statistics="true"/>

cache的名字为shiro-activesessioncache,即设置的sessiondao的activesessionscachename属性值。 

另外可以通过如下ini配置设置会话id生成器:

java代码  

?
1
2
sessionidgenerator=org.apache.shiro.session.mgt.eis.javauuidsessionidgenerator
sessiondao.sessionidgenerator=$sessionidgenerator

用于生成会话id,默认就是javauuidsessionidgenerator,使用java.util.uuid生成。 

如果自定义实现sessiondao,继承cachingsessiondao即可:

java代码  

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
public class mysessiondao extends cachingsessiondao {
 private jdbctemplate jdbctemplate = jdbctemplateutils.jdbctemplate();
  protected serializable docreate(session session) {
  serializable sessionid = generatesessionid(session);
  assignsessionid(session, sessionid);
  string sql = "insert into sessions(id, session) values(?,?)";
  jdbctemplate.update(sql, sessionid, serializableutils.serialize(session));
  return session.getid();
 }
protected void doupdate(session session) {
 if(session instanceof validatingsession && !((validatingsession)session).isvalid()) {
  return; //如果会话过期/停止 没必要再更新了
 }
  string sql = "update sessions set session=? where id=?";
  jdbctemplate.update(sql, serializableutils.serialize(session), session.getid());
 }
 protected void dodelete(session session) {
  string sql = "delete from sessions where id=?";
  jdbctemplate.update(sql, session.getid());
 }
 protected session doreadsession(serializable sessionid) {
  string sql = "select session from sessions where id=?";
  list<string> sessionstrlist = jdbctemplate.queryforlist(sql, string.class, sessionid);
  if(sessionstrlist.size() == 0) return null;
  return serializableutils.deserialize(sessionstrlist.get(0));
 }
}

docreate/doupdate/dodelete/doreadsession分别代表创建/修改/删除/读取会话;此处通过把会话序列化后存储到数据库实现;接着在shiro-web.ini中配置:

java代码  

?
1
sessiondao=com.github.zhangkaitao.shiro.chapter10.session.dao.mysessiondao

其他设置和之前一样,因为继承了cachingsessiondao;所有在读取时会先查缓存中是否存在,如果找不到才到数据库中查找。 

会话验证

shiro提供了会话验证调度器,用于定期的验证会话是否已过期,如果过期将停止会话;出于性能考虑,一般情况下都是获取会话时来验证会话是否过期并停止会话的;但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,shiro提供了会话验证调度器sessionvalidationscheduler来做这件事情。

可以通过如下ini配置开启会话验证:   

java代码  

?
1
2
3
4
5
6
sessionvalidationscheduler=org.apache.shiro.session.mgt.executorservicesessionvalidationscheduler
sessionvalidationscheduler.interval = 3600000
sessionvalidationscheduler.sessionmanager=$sessionmanager
sessionmanager.globalsessiontimeout=1800000
sessionmanager.sessionvalidationschedulerenabled=true
sessionmanager.sessionvalidationscheduler=$sessionvalidationscheduler

sessionvalidationscheduler:会话验证调度器,sessionmanager默认就是使用executorservicesessionvalidationscheduler,其使用jdk的scheduledexecutorservice进行定期调度并验证会话是否过期;

sessionvalidationscheduler.interval:设置调度时间间隔,单位毫秒,默认就是1小时;

sessionvalidationscheduler.sessionmanager:设置会话验证调度器进行会话验证时的会话管理器;

sessionmanager.globalsessiontimeout:设置全局会话超时时间,默认30分钟,即如果30分钟内没有访问会话将过期;

sessionmanager.sessionvalidationschedulerenabled:是否开启会话验证器,默认是开启的;

sessionmanager.sessionvalidationscheduler:设置会话验证调度器,默认就是使用executorservicesessionvalidationscheduler。 

shiro也提供了使用quartz会话验证调度器:

java代码  

?
1
2
3
sessionvalidationscheduler=org.apache.shiro.session.mgt.quartz.quartzsessionvalidationscheduler
sessionvalidationscheduler.sessionvalidationinterval = 3600000
sessionvalidationscheduler.sessionmanager=$sessionmanager

使用时需要导入shiro-quartz依赖:

java代码  

?
1
2
3
4
5
<dependency>
  <groupid>org.apache.shiro</groupid>
  <artifactid>shiro-quartz</artifactid>
  <version>1.2.2</version>
</dependency>

如上会话验证调度器实现都是直接调用abstractvalidatingsessionmanager 的validatesessions方法进行验证,其直接调用sessiondao的getactivesessions方法获取所有会话进行验证,如果会话比较多,会影响性能;可以考虑如分页获取会话并进行验证,如com.github.zhangkaitao.shiro.chapter10.session.scheduler.mysessionvalidationscheduler:

java代码  

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
//分页获取会话并验证
string sql = "select session from sessions limit ?,?";
int start = 0; //起始记录
int size = 20; //每页大小
list<string> sessionlist = jdbctemplate.queryforlist(sql, string.class, start, size);
while(sessionlist.size() > 0) {
 for(string sessionstr : sessionlist) {
 try {
  session session = serializableutils.deserialize(sessionstr);
  method validatemethod =
  reflectionutils.findmethod(abstractvalidatingsessionmanager.class,
   "validate", session.class, sessionkey.class);
  validatemethod.setaccessible(true);
  reflectionutils.invokemethod(validatemethod,
  sessionmanager, session, new defaultsessionkey(session.getid()));
 } catch (exception e) {
  //ignore
 }
 }
 start = start + size;
 sessionlist = jdbctemplate.queryforlist(sql, string.class, start, size);
}

其直接改造自executorservicesessionvalidationscheduler,如上代码是验证的核心代码,可以根据自己的需求改造此验证调度器器;ini的配置和之前的类似。

如果在会话过期时不想删除过期的会话,可以通过如下ini配置进行设置:

java代码  

?
1
sessionmanager.deleteinvalidsessions=false

默认是开启的,在会话过期后会调用sessiondao的delete方法删除会话:如会话时持久化存储的,可以调用此方法进行删除。 

如果是在获取会话时验证了会话已过期,将抛出invalidsessionexception;因此需要捕获这个异常并跳转到相应的页面告诉用户会话已过期,让其重新登录,如可以在web.xml配置相应的错误页面:

java代码  

?
1
2
3
4
<error-page>
 <exception-type>org.apache.shiro.session.invalidsessionexception</exception-type>
 <location>/invalidsession.jsp</location>
</error-page>

sessionfactory

sessionfactory是创建会话的工厂,根据相应的subject上下文信息来创建会话;默认提供了simplesessionfactory用来创建simplesession会话。

首先自定义一个session:

java代码  

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
public class onlinesession extends simplesession {
 public static enum onlinestatus {
  on_line("在线"), hidden("隐身"), force_logout("强制退出");
  private final string info;
  private onlinestatus(string info) {
   this.info = info;
  }
  public string getinfo() {
   return info;
  }
 }
 private string useragent; //用户浏览器类型
 private onlinestatus status = onlinestatus.on_line; //在线状态
 private string systemhost; //用户登录时系统ip
 //省略其他
}

onlinesession用于保存当前登录用户的在线状态,支持如离线等状态的控制。

接着自定义sessionfactory:

java代码  

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
public class onlinesessionfactory implements sessionfactory {
 
 @override
 public session createsession(sessioncontext initdata) {
  onlinesession session = new onlinesession();
  if (initdata != null && initdata instanceof websessioncontext) {
   websessioncontext sessioncontext = (websessioncontext) initdata;
   httpservletrequest request = (httpservletrequest) sessioncontext.getservletrequest();
   if (request != null) {
    session.sethost(iputils.getipaddr(request));
    session.setuseragent(request.getheader("user-agent"));
    session.setsystemhost(request.getlocaladdr() + ":" + request.getlocalport());
   }
  }
  return session;
 }
}

根据会话上下文创建相应的onlinesession。 

最后在shiro-web.ini配置文件中配置:

java代码  

?
1
2
sessionfactory=org.apache.shiro.session.mgt.onlinesessionfactory
sessionmanager.sessionfactory=$sessionfactory

 总结

以上所述是小编给大家介绍的shiro会话管理,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对服务器之家网站的支持!

原文链接:http://blog.sina.com.cn/s/blog_9c6852670102wwb6.html