shiro 会话管理

Shiro 提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管 JavaSE 还是 JavaEE 环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web 的透明支持、SSO 单点登录的支持等特性。

建议在开发中,Controller层使用原生的HttpSession对象,在Service层中使用Shiro提供的Session对象。如果在Service层中使用HttpSession对象,那么属于侵入式,并不建议这么做。Shiro提供的Session能够很好的解决这个问题。

1.会话相关的 API

  • Subject.getSession():即可获取会话;其等价于Subject.getSession(true),即如果当前没有创建 Session 对象会创建一个;Subject.getSession(false),如果当前没有创建 Session 则返回null
  • session.getId():获取当前会话的唯一标识
  • session.getHost():获取当前Subject的主机地址
  • session.getTimeout() & session.setTimeout(毫秒):获取/设置当前Session的过期时间
  • session.getStartTimestamp() & session.getLastAccessTime()
    获取会话的启动时间及最后访问时间;如果是 JavaSE 应用需要自己定期调用 session.touch() 去更新最后访问时间;如果是 Web 应用,每次进入 ShiroFilter 都会自动调用 session.touch() 来更新最后访问时间。
  • shiro禁用session需要 shiro管理session_shiro禁用session需要

2.会话监听器(SessionListener接口)

会话监听器用于监听会话创建、过期及停止事件

shiro禁用session需要 shiro管理session_生成器_02


①onStart(Session):监听会话创建事件

②onStop(Session):监听会话销毁事件

③onExpiration(Session):监听会话过期事件

3.SessionDao

shiro禁用session需要 shiro管理session_缓存_03


(1)AbstractSessionDAO 提供了 SessionDAO 的基础实现,如生成会话ID等

(2)CachingSessionDAO 提供了对开发者透明的会话缓存的功能,需要设置相应的CacheManager

(3)MemorySessionDAO 直接在内存中进行会话维护

(4)EnterpriseCacheSessionDAO 提供了缓存功能的会话维护,默认情况下使用 MapCache 实现,内部使用ConcurrentHashMap 保存缓存的会话

shiro禁用session需要 shiro管理session_shiro禁用session需要_04


shiro禁用session需要 shiro管理session_缓存_05


在doCreate(Session)的时候,会获取一个SessionId,SessoinId是由其属性 sessionIdGenerator 来提供,所以在开发的时候需要配置sessionIdGeneratorShiro内部提供了两个sessionIdGenerator实现类:

shiro禁用session需要 shiro管理session_shiro禁用session需要_06

注意:在实际开发中,如果要用到SessionDAO组件,可以自定义类实现自EnterpriseCacheSessionDAO类,为其注入sessionIdGenerator属性,如果用到缓存的话还可以注入一个缓存的名字。之后将这个SesionDAO组件注入给SessionManager(会话管理器),最后将SessionManager配置给SecurityManager。

session配置示例:

<!-- Session ID 生成器 -->
    <bean id="sessionIdGenerator" class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator"></bean>

    <!-- Session DAO. 继承EnterpriseCacheSessionDAO -->
    <bean id="sessionDAO" class="com.example.shiro.session.MySessionDAO">
       <property name="activeSessionsCacheName" value="shiro-activeSessionsCache"></property>
       <!-- Session ID 生成器 -->
       <property name="sessionIdGenerator" value="sessionIdGenerator"></property>
    </bean>
    
    <!-- 会话管理器 -->
    <bean id="sessionManager" class="org.apache.shiro.session.mgt.DefaultSessionManager">
       <!-- session 有效时间为半小时(毫秒单位) -->
       <property name="globalSessionTimeout" value="1800000"></property>
       <!-- 是否删除无效的,默认开启 -->
       <property name="deleteInvalidSessions" value="true"></property>
       <!-- 是否开启 检测,默认开启 -->
       <property name="sessionValidationSchedulerEnabled" value="true"></property>
       <property name="sessionDAO" ref="sessionDAO"></property>
    </bean>

下图是一个完整的配置细节。

shiro禁用session需要 shiro管理session_生成器_07

shiro禁用session需要 shiro管理session_shiro禁用session需要_08


shiro禁用session需要 shiro管理session_shiro禁用session需要_09


shiro禁用session需要 shiro管理session_缓存_10


shiro禁用session需要 shiro管理session_会话管理_11

shiro禁用session需要 shiro管理session_生成器_12

4.会话验证

(1)Shiro 提供了会话验证调度器用于定期的验证会话是否已过期,如果过期将停止会话
(2)出于性能考虑,一般情况下都是获取会话时来验证会话是否过期并停止会话的;但是如在 web 环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro 提供了会话验证调度器SessionValidationScheduler
(3)Shiro 也提供了使用Quartz会话验证调度器:QuartzSessionValidationScheduler