shiro 会话管理
Shiro 提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管 JavaSE 还是 JavaEE 环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web 的透明支持、SSO 单点登录的支持等特性。
建议在开发中,Controller层使用原生的HttpSession对象,在Service层中使用Shiro提供的Session对象。如果在Service层中使用HttpSession对象,那么属于侵入式,并不建议这么做。Shiro提供的Session能够很好的解决这个问题。
1.会话相关的 API
- Subject.getSession():即可获取会话;其等价于Subject.getSession(true),即如果当前没有创建 Session 对象会创建一个;Subject.getSession(false),如果当前没有创建 Session 则返回null
- session.getId():获取当前会话的唯一标识
- session.getHost():获取当前Subject的主机地址
- session.getTimeout() & session.setTimeout(毫秒):获取/设置当前Session的过期时间
- session.getStartTimestamp() & session.getLastAccessTime():
获取会话的启动时间及最后访问时间;如果是 JavaSE 应用需要自己定期调用 session.touch() 去更新最后访问时间;如果是 Web 应用,每次进入 ShiroFilter 都会自动调用 session.touch() 来更新最后访问时间。
2.会话监听器(SessionListener接口)
会话监听器用于监听会话创建、过期及停止事件
①onStart(Session):监听会话创建事件
②onStop(Session):监听会话销毁事件
③onExpiration(Session):监听会话过期事件
3.SessionDao
(1)AbstractSessionDAO 提供了 SessionDAO 的基础实现,如生成会话ID等
(2)CachingSessionDAO 提供了对开发者透明的会话缓存的功能,需要设置相应的CacheManager
(3)MemorySessionDAO 直接在内存中进行会话维护
(4)EnterpriseCacheSessionDAO 提供了缓存功能的会话维护,默认情况下使用 MapCache 实现,内部使用ConcurrentHashMap 保存缓存的会话
在doCreate(Session)的时候,会获取一个SessionId,SessoinId是由其属性 sessionIdGenerator 来提供,所以在开发的时候需要配置sessionIdGenerator。Shiro内部提供了两个sessionIdGenerator实现类:
注意:在实际开发中,如果要用到SessionDAO组件,可以自定义类实现自EnterpriseCacheSessionDAO类,为其注入sessionIdGenerator属性,如果用到缓存的话还可以注入一个缓存的名字。之后将这个SesionDAO组件注入给SessionManager(会话管理器),最后将SessionManager配置给SecurityManager。
session配置示例:
<!-- Session ID 生成器 -->
<bean id="sessionIdGenerator" class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator"></bean>
<!-- Session DAO. 继承EnterpriseCacheSessionDAO -->
<bean id="sessionDAO" class="com.example.shiro.session.MySessionDAO">
<property name="activeSessionsCacheName" value="shiro-activeSessionsCache"></property>
<!-- Session ID 生成器 -->
<property name="sessionIdGenerator" value="sessionIdGenerator"></property>
</bean>
<!-- 会话管理器 -->
<bean id="sessionManager" class="org.apache.shiro.session.mgt.DefaultSessionManager">
<!-- session 有效时间为半小时(毫秒单位) -->
<property name="globalSessionTimeout" value="1800000"></property>
<!-- 是否删除无效的,默认开启 -->
<property name="deleteInvalidSessions" value="true"></property>
<!-- 是否开启 检测,默认开启 -->
<property name="sessionValidationSchedulerEnabled" value="true"></property>
<property name="sessionDAO" ref="sessionDAO"></property>
</bean>
下图是一个完整的配置细节。
4.会话验证
(1)Shiro 提供了会话验证调度器,用于定期的验证会话是否已过期,如果过期将停止会话
(2)出于性能考虑,一般情况下都是获取会话时来验证会话是否过期并停止会话的;但是如在 web 环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro 提供了会话验证调度器SessionValidationScheduler
(3)Shiro 也提供了使用Quartz会话验证调度器:QuartzSessionValidationScheduler