【Shiro学习之五】shiro会话管理器

Shiro 提供了完整的企业级会话管理功能,不管JavaSE 还是 JavaEE 环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对 Web 的透明支持、SSO 单点登录的支持等特性。即直接使用 Shiro 的会话管理可以直接替换如 Web 容器的会话管理。

一、基础组件
1、会话管理器
会话管理器管理着应用中所有 Subject 的会话的创建、维护、删除、失效、验证等工作。是Shiro 的核心组件,顶层组件 SecurityManager 直接继承了 SessionManager,且提供了SessionsSecurityManager实现直接把会话管理委托给相应的SessionManager.

DefaultSessionManager:DefaultSecurityManager 默认使用的会话管理器,用于JavaSE环境的session管理。
ServletContainerSessionManager:DefaultWebSecurityManager 默认使用的会话管理器,用于Web环境,直接使用的Servlet容器的会话。
DefaultWebSessionManager:用于Web环境,可以替换 ServletContainerSessionManager,废弃了Servlet容器的会话管理;通过此可以实现我们自己的session管理。

2、会话监听器

//会话监听器用于监听会话创建、过期及停止事件
public class MySessionListener1 implements SessionListener { 
    @Override 
    public void onStart(Session session) {//会话创建时触发 
        System.out.println("会话创建:" + session.getId()); 
    } 
    @Override 
    public void onExpiration(Session session) {//会话过期时触发 
        System.out.println("会话过期:" + session.getId()); 
    } 
    @Override 
    public void onStop(Session session) {//退出/会话过期时触发 
        System.out.println("会话停止:" + session.getId()); 
    }  
} 

//如果只想监听某一个事件,可以继承 SessionListenerAdapter 实现
public class MySessionListener2 extends SessionListenerAdapter { 
    @Override 
    public void onStart(Session session) { 
        System.out.println("会话创建:" + session.getId()); 
    } 
}

 

二、管理会话
所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。

1、会话的创建
sessionFactory 是创建会话的工厂,根据相应的Subject上下文信息来创建会话;默认提供了SimpleSessionFactory用来创建SimpleSession会话。


登录时创建会话的流程

首次未登录请求
DelegatingFilterProxy::doFilter
-->DelegatingFilterProxy::invokeDelegate 
-->OncePerRequestFilter::doFilter 先执行全局拦截器
-->AbstractShiroFilter::doFilterInternal创建Subject 未登录时 session=null
-->DelegatingSubject::execute紧接着执行一堆过滤器
-->AdviceFilter::doFilterInternal
-->AccessControlFilter::saveRequestAndRedirectToLogin
-->AccessControlFilter::saveRequest
-->WebUtils::saveRequest保存请求信息时创建sesssion
-->DelegatingSubject::getSession()
-->DelegatingSubject::getSession(true)
-->DefaultWebSecurityManager::start //启动会话
-->AbstractNativeSessionManager::start
-->AbstractValidatingSessionManager::createSession //ValidatingSessionManager
-->DefaultSessionManager::doCreateSession
-->DefaultSessionManager::newSessionInstance
-->SimpleSessionFactory::createSession 生成new SimpleSession返回  如果未登录此时的session只有主机等信息
-->DelegatingSubject::decorate 将session封装代理为ProxiedSession的子类StoppingAwareProxiedSession

输入用户名密码进行登录
DelegatingFilterProxy::doFilter
-->DelegatingFilterProxy::invokeDelegate 
-->OncePerRequestFilter::doFilter 先执行全局拦截器
-->AbstractShiroFilter::doFilterInternal创建Subject 未登录时 session=null
-->DelegatingSubject::execute紧接着执行一堆过滤器
....
-->FormAuthenticationFilter::onAccessDenied
-->AuthenticatingFilter::executeLogin
-->DelegatingSubject::login
-->DefaultWebSecurityManager::login
-->DefaultSecurityManager::login
-->AuthenticatingSecurityManager::authenticate
---->AbstractAuthenticator::authenticate
---->ModularRealmAuthenticator::doAuthenticate
---->ModularRealmAuthenticator::doSingleRealmAuthentication
---->AuthenticatingRealm::getAuthenticationInfo
---->AuthenticatingRealm::assertCredentialsMatch比对登录信息
-->DefaultSecurityManager::createSubject
-->DefaultSecurityManager::doCreateSubject
-->DefaultWebSubjectFactory::createSubject
-->WebSubjectContext::resolveSession获取之前的session
-->WebDelegatingSubject构造器
-->DelegatingSubject构造器
-->DelegatingSubject::decorate将session封装代理为ProxiedSession的子类StoppingAwareProxiedSession

 

Shiro 提供了完整的企业级会话管理功能,不管JavaSE 还是 JavaEE 环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对 Web 的透明支持、SSO 单点登录的支持等特性。即直接使用 Shiro 的会话管理可以直接替换如 Web 容器的会话管理。

一、基础组件
1、会话管理器
会话管理器管理着应用中所有 Subject 的会话的创建、维护、删除、失效、验证等工作。是Shiro 的核心组件,顶层组件 SecurityManager 直接继承了 SessionManager,且提供了SessionsSecurityManager实现直接把会话管理委托给相应的SessionManager.

DefaultSessionManager:DefaultSecurityManager 默认使用的会话管理器,用于JavaSE环境的session管理。
ServletContainerSessionManager:DefaultWebSecurityManager 默认使用的会话管理器,用于Web环境,直接使用的Servlet容器的会话。
DefaultWebSessionManager:用于Web环境,可以替换 ServletContainerSessionManager,废弃了Servlet容器的会话管理;通过此可以实现我们自己的session管理。

2、会话监听器

//会话监听器用于监听会话创建、过期及停止事件
public class MySessionListener1 implements SessionListener { 
    @Override 
    public void onStart(Session session) {//会话创建时触发 
        System.out.println("会话创建:" + session.getId()); 
    } 
    @Override 
    public void onExpiration(Session session) {//会话过期时触发 
        System.out.println("会话过期:" + session.getId()); 
    } 
    @Override 
    public void onStop(Session session) {//退出/会话过期时触发 
        System.out.println("会话停止:" + session.getId()); 
    }  
} 

//如果只想监听某一个事件,可以继承 SessionListenerAdapter 实现
public class MySessionListener2 extends SessionListenerAdapter { 
    @Override 
    public void onStart(Session session) { 
        System.out.println("会话创建:" + session.getId()); 
    } 
}

 

二、管理会话
所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。

1、会话的创建
sessionFactory 是创建会话的工厂,根据相应的Subject上下文信息来创建会话;默认提供了SimpleSessionFactory用来创建SimpleSession会话。
登录时创建会话的流程

首次未登录请求
DelegatingFilterProxy::doFilter
-->DelegatingFilterProxy::invokeDelegate 
-->OncePerRequestFilter::doFilter 先执行全局拦截器
-->AbstractShiroFilter::doFilterInternal创建Subject 未登录时 session=null
-->DelegatingSubject::execute紧接着执行一堆过滤器
-->AdviceFilter::doFilterInternal
-->AccessControlFilter::saveRequestAndRedirectToLogin
-->AccessControlFilter::saveRequest
-->WebUtils::saveRequest保存请求信息时创建sesssion
-->DelegatingSubject::getSession()
-->DelegatingSubject::getSession(true)
-->DefaultWebSecurityManager::start //启动会话
-->AbstractNativeSessionManager::start
-->AbstractValidatingSessionManager::createSession //ValidatingSessionManager
-->DefaultSessionManager::doCreateSession
-->DefaultSessionManager::newSessionInstance
-->SimpleSessionFactory::createSession 生成new SimpleSession返回  如果未登录此时的session只有主机等信息
-->DelegatingSubject::decorate 将session封装代理为ProxiedSession的子类StoppingAwareProxiedSession

输入用户名密码进行登录
DelegatingFilterProxy::doFilter
-->DelegatingFilterProxy::invokeDelegate 
-->OncePerRequestFilter::doFilter 先执行全局拦截器
-->AbstractShiroFilter::doFilterInternal创建Subject 未登录时 session=null
-->DelegatingSubject::execute紧接着执行一堆过滤器
....
-->FormAuthenticationFilter::onAccessDenied
-->AuthenticatingFilter::executeLogin
-->DelegatingSubject::login
-->DefaultWebSecurityManager::login
-->DefaultSecurityManager::login
-->AuthenticatingSecurityManager::authenticate
---->AbstractAuthenticator::authenticate
---->ModularRealmAuthenticator::doAuthenticate
---->ModularRealmAuthenticator::doSingleRealmAuthentication
---->AuthenticatingRealm::getAuthenticationInfo
---->AuthenticatingRealm::assertCredentialsMatch比对登录信息
-->DefaultSecurityManager::createSubject
-->DefaultSecurityManager::doCreateSubject
-->DefaultWebSubjectFactory::createSubject
-->WebSubjectContext::resolveSession获取之前的session
-->WebDelegatingSubject构造器
-->DelegatingSubject构造器
-->DelegatingSubject::decorate将session封装代理为ProxiedSession的子类StoppingAwareProxiedSession

 

2、会话使用
2.1 服务端session

#登录成功后可以获取session Subject.getSession(true),即如果当前没有创建 Session 对象会创建一个;
#另外 Subject.getSession(false),如果当前没有创建 Session 则返回 null(不过默认情况下如果启用会话存储功能的话在创建 Subject 时会主动创建一个 Session)。 
login("classpath:shiro.ini", "zhang", "123"); 
Subject subject = SecurityUtils.getSubject(); 
Session session = subject.getSession();
#获取当前会话的唯一标识 
session.getId();
#获取当前 Subject 的主机地址,该地址是通过 HostAuthenticationToken.getHost()提供的
session.getHost(); 
#获取/设置当前 Session 的过期时间;如果不设置默认是会话管理器的全局过期时间
session.getTimeout(); 
session.setTimeout(毫秒); 
#获取会话的启动时间及最后访问时间; 如果是 JavaSE 应用需要自己定期调用 session.touch()去更新最后访问时间;如果是 Web 应用,每次进入 ShiroFilter 都会自动调用 session.touch()来更新最后访问时间。
session.getStartTimestamp(); 
session.getLastAccessTime();
#更新会话最后访问时间及销毁会话; 当 Subject.logout()时会自动调用 stop 方法来销毁会话。如果在web中, 调用javax.servlet.http.HttpSession. invalidate()也会自动调用Shiro Session.stop方法进行销毁 Shiro 的会话。
session.touch(); 
session.stop();
#设置/获取/删除会话属性;在整个会话范围内都可以对这些属性进行操作
session.setAttribute("key", "123"); 
session.getAttribute("key"); 
session.removeAttribute("key");
如果在web中,调用javax.servlet.http.HttpSession.invalidate()也会自动调用Shiro Session.stop方法进行销毁 Shiro 的会话。

2.2 客户端Cookie
在 Servlet 容器中,默认使用 JSESSIONID Cookie 维护会话,且会话默认是跟容器绑定的;在某些情况下可能需要使用自己的会话机制, 此时我们可以使用DefaultWebSessionManager来维护会话

#sessionIdCookie是sessionManager 创建会话 Cookie 的模板:
sessionIdCookie=org.apache.shiro.web.servlet.SimpleCookie 
sessionManager=org.apache.shiro.web.session.mgt.DefaultWebSessionManager 
#设置 Cookie 名字,默认为 JSESSIONID
sessionIdCookie.name=sid 
#设置 Cookie 的域名,默认空,即当前访问的域名
sessionIdCookie.domain=wjy.com 
#设置 Cookie 的路径,默认空,即存储在域名根下
sessionIdCookie.path= 
#设置 Cookie 的过期时间,秒为单位,默认-1 表示关闭浏览器时过期 Cookie; 
sessionIdCookie.maxAge=1800 
#如果设置为 true,则客户端不会暴露给客户端脚本代码,使用HttpOnly cookie有助于减少某些类型的跨站点脚本攻击; 此特性需要实现了Servlet 2.5 MR6及以上版本的规范的 Servlet 容器支持
sessionIdCookie.httpOnly=true 
sessionManager.sessionIdCookie=$sessionIdCookie 
#是否启用/禁用 Session Id Cookie,默认是启用的;如果禁用后将不会设置 Session Id Cookie, 即默认使用了 Servlet 容器的 JSESSIONID, 且通过 URL 重写(URL 中的“;JSESSIONID=id”部分)保存 Session Id
sessionManager.sessionIdCookieEnabled=true 
securityManager.sessionManager=$sessionManager 

 

3、会话缓存/持久化
Shiro提供SessionDAO用于会话的 CRUD,即 DAO(Data Access Object)模式实现

AbstractSessionDAO提供了SessionDAO的基础实现, 如生成会话ID等;
CachingSessionDAO提供了对开发者透明的会话缓存的功能,只需要设置相应的 CacheManager 即可;
MemorySessionDAO 直接在内存中进行会话维护;
EnterpriseCacheSessionDAO 提供了缓存功能的会话维护,默认情况下使用 MapCache 实现,内部使用 ConcurrentHashMap 保存缓存的会话。
(1)可以继承CachingSessionDAO类自定义SessionDAO,将缓存保存到数据库里。
(2)Shiro 提供了使用 Ehcache 进行会话存储,Ehcache 可以配合 TerraCotta 实现容器无关的分布式集群,需要依赖shiro-ehcache
(3)使用redis分布式缓存集群存放session;

3.1 相关API

//如 DefaultSessionManager 在创建完 session 后会调用该方法;如保存到关系数据库/文件系统/NoSQL 数据库;即可以实现会话的持久化;返回会话 ID;主要此处返回的
ID.equals(session.getId()); 
Serializable create(Session session); 
//根据会话 ID 获取会话 
Session readSession(Serializable sessionId) throws UnknownSessionException; 
//更新会话;如更新会话最后访问时间/停止会话/设置超时时间/设置移除属性等会调用 
void update(Session session) throws UnknownSessionException; 
//删除会话;当会话过期/会话停止(如用户退出时)会调用 
void delete(Session session); 
//获取当前所有活跃用户,如果用户量多此方法影响性能 

如果自定义实现SessionDAO,继承 CachingSessionDAO 即可,重写四个方法doCreate/doUpdate/doDelete/doReadSession 分别代表创建/修改/删除/读取会话

3.2 相关设置

#设置会话 ID 生成器
sessionIdGenerator=org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator
sessionDAO=org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO 
#设置Session缓存名字 , 默认就是shiro-activeSessionCache
sessionDAO.activeSessionsCacheName=shiro-activeSessionCache
sessionManager.sessionDAO=$sessionDAO 
#缓存管理器,用于管理缓存的,此处使用 Ehcache 实现
cacheManager = org.apache.shiro.cache.ehcache.EhCacheManager 
#设置 ehcache 缓存的配置文件
cacheManager.cacheManagerConfigFile=classpath:ehcache.xml 
#设置SecurityManager 的 cacheManager,会自动设置实现了CacheManagerAware 接口的相应对象,如SessionDAO的cacheManager
securityManager.cacheManager = $cacheManager

4、会话验证
Shiro提供了会话验证调度器,用于定期的验证会话是否已过期,如果过期将停止会话。

Shiro提供了会话验证调度器 SessionValidationScheduler 来做这件事情,默认是 ExecutorServiceSessionValidationScheduler 也可以是org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler ,要依赖shiro-quartz
出于性能考虑, 一般情况下都是获取会话时来验证会话是否过期并停止会话的;但是如在 web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期;

相关设置
#会话验证调度器 sessionManager 默认就是使用ExecutorServiceSessionValidationScheduler, 其使用JDK的ScheduledExecutorService 进行定期调度并验证会话是否过期
sessionValidationScheduler=org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler 
#设置调度时间间隔,单位毫秒,默认就是1小时
sessionValidationScheduler.interval = 3600000 
#设置会话验证调度器进行会话验证时的会话管理器 
sessionValidationScheduler.sessionManager=$sessionManager 
#设置全局会话超时时间,默认 30 分钟,即如果 30分钟内没有访问会话将过期
sessionManager.globalSessionTimeout=1800000 
#是否开启会话验证器,默认是开启的
sessionManager.sessionValidationSchedulerEnabled=true 
sessionManager.sessionValidationScheduler=$sessionValidationScheduler 
#如果在会话过期时不想删除过期的会话 设置为false;但是默认是开启的, 在会话过期后会调用 SessionDAO 的 delete 方法删除会话: 如会话时持久化存储的,可以调用此方法进行删除
sessionManager.deleteInvalidSessions=false

(1)超时配置
可以设置会话的全局过期时间(毫秒为单位),默认 30 分钟
sessionManager. globalSessionTimeout=1800000将应用给所有 Session。可以单独设置每个 Session 的timeout 属性来为每个 Session 设置其超时时间。
另外如果使用 ServletContainerSessionManager 进行会话管理,Session 的超时依赖于底层Servlet 容器的超时时间,可以在 web.xml 中配置其会话的超时时间(分钟为单位)

<session-config> 
    <session-timeout>30</session-timeout> 
</session-config>

(2)如上会话验证调度器实现都是直接调用AbstractValidatingSessionManager 的validateSessions方法进行验证, 其直接调用SessionDAO的getActiveSessions 方法获取所有会话进行验证,如果会话比较多,会影响性能;可以考虑如分页获取会话并进行验证

(3)如果是在获取会话时验证了会话已过期,将抛出 InvalidSessionException;因此需要捕获这个异常并跳转到相应的页面告诉用户会话已过期,让其重新登录,如可以在 web.xml 配置相应的错误页面

<error-page> 
    <exception-type>org.apache.shiro.session.InvalidSessionException</exception-type> 
    <location>/invalidSession.jsp</location> 
</error-page>

 

posted @ 2020-10-21 08:18  cac2020  阅读(877)  评论(0编辑  收藏  举报