阅知人生百态 / Java / Shiro会话管理

分享

   

Shiro会话管理

2018-03-10  阅知人生...
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。
 
建议在开发中,Controller层使用原生的HttpSession对象,在Service层中使用Shiro提供的Session对象。如果在Service层中使用HttpSession对象,那么属于侵入式,并不建议这么做。Shiro提供的Session能够很好的解决这个问题。
 
1,会话相关API
     ①Subject.getSession()
          获取会话,等价于Subject.getSession(true),即如果当前没有创建session对象会创建一个;Subject.getSession(false),如果当前没有创建session对象则返回null。
     ②Subject.getSession(true)
     ③session.getId()
          获取当前会话的唯一标识。
     ④session.getHost()
          获取当前会话的主机地址。
     ⑤session.getTimeout() & session.setTimeout(毫秒)
          设置/获取当前Session的过期时间。
     ⑥session.getStartTimestamp() & session.getLastAccessTime()
          获取会话的启动时间及最后访问时间;如果是J2SE环境需要自己定期调用session.touch()去更新最后访问时间;如果是Web环境,每次进入ShiroFilter都会自动调用session.touch()来更新最后访问时间。
     ⑦session.touch() & session.stop()
          更新会话最后访问时间以及销毁会话;Subject.logout()会自动调用session.stop()。在Web应用中,调用HttpSession.invalidate()也会自动调用session.stop()来销毁shiro的会话。
     ⑧session.setAttribute(key,val) & session.getAttribute(key) & session.removeAttribute(key)
          设置/获取/删除 会话属性。
 
2,会话监听器(SessionListener接口)
     ①onStart(Session)
          监听会话创建事件
     ②onStop(Session)
          监听会话销毁事件
     ③onExpiration(Session)
          监听会话过期事件
 
3,SessionDao
     shiro提供SessionDao用于会话持久化。提供CRUD操作。
     
     ①AbstractSessionDAO 提供了 SessionDAO 的基础实现,如生成会话ID等。
     ②CachingSessionDAO 提供了对开发者透明的会话缓存的功能,需要设置相应的 CacheManager。
     ③MemorySessionDAO 直接在内存中进行会话维护
     ④EnterpriseCacheSessionDAO 提供了缓存功能的会话维护,默认情况下使用 MapCache 实现,内部使用 ConcurrentHashMap 保存缓存的会话。
     
 
  
     在doCreate(Session)的时候,会获取一个SessionId,SessoinId是由其属性 sessionIdGenerator 来提供,所以在开发的时候需要配置sessionIdGenerator.
     Shiro内部提供了两个sessionIdGenerator实现类:
     

 

     tips:在实际开发中,如果要用到SessionDAO组件,可以自定义类实现自EnterpriseCacheSessionDAO类,为其注入sessionIdGenerator属性,如果用到缓存的话还可以注入一个缓存的名字。最后将这个SesionDAO组件注入给SessionManager(会话管理器),最后将SessionManager配置给SecurityManager。下图是一个完整的配置细节。
       
  

  

  

  

  

     
     
4,会话验证
     ①Shiro提供了会话验证调度器,用于定期的验证会话是否已过期,如果过期将停止会话。
     ②出于性能考虑,一般情况下都是获取会话的同时来验证会话是否过期并停止会话的;但是如果在Web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定义的检测会话是否过期,Shiro提供了会话验证调度器来定期检查会话是否过期,SessionValidationScheduler
     ③Shrio也提供了使用Quartz会话验证调度器 QuartzSessionValidationScheduler

 

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多
    喜欢该文的人也喜欢 更多

    ×
    ×

    ¥.00

    微信或支付宝扫码支付:

    开通即同意《个图VIP服务协议》

    全部>>