Shiro步步为营--奇淫技巧

偏执的太偏执、 2021-12-14 09:49 264阅读 0赞

**目录**

会话管理

启用会话管理

自定义SessionDAO

会话验证

关于缓存

记住我

认证VS记住我

启用记住我

--------------------

# 会话管理 #

Shiro 提供了完整的企业级会话管理功能，不依赖于底层容器（如web容器tomcat），不管 JavaSE 还是 JavaEE 环境都可以使用，提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web 的透明支持、 SSO 单点登录的支持等特性。

为了方便我们使用Session，Shiro提供了下面几个类：

![20190705134455298.png][]

• AbstractSessionDAO 提供了 SessionDAO 的基础实现，如生成会话ID等

• CachingSessionDAO 提供了对开发者透明的会话缓存的功能，需要设置相应的 CacheManager

• MemorySessionDAO 直接在内存中进行会话维护

• EnterpriseCacheSessionDAO 提供了带缓存功能的会话维护，默认情况下使用 MapCache 实现，内部使用ConcurrentHashMap 保存缓存的会话。

由于 AbstractSessionDAO 需要使用它内部的 SessionIdGenerator 实例来生成会话 ID。因此，在创建SessionDAO 时必须为其指定一个 SessionIdGenerator ，可以使用 Shiro 为我们提供的下面这两个实现类。

![20190705134625895.png][]

## 启用会话管理 ##

/**
    	 * 第一步 创建 SessionDAO 的同时设置其 SessionIdGenerator 属性
    	 */
    	@Bean
    	public SessionDAO sessionDAO() {
    		EnterpriseCacheSessionDAO sessionDAO = new EnterpriseCacheSessionDAO();
    		// 设置 SessionIdGenerator
    		sessionDAO.setSessionIdGenerator(new JavaUuidSessionIdGenerator());
    		// 需要使用缓存时，设置 CacheManager
    		EhCacheManager em = new EhCacheManager();
    		em.setCacheManager(CacheManager.create());
    		sessionDAO.setCacheManager(em);
    		return sessionDAO;
    	}
    
    	/**
    	 * 第二步 创建 SessionManager 的同时设置其 SessionDAO 属性
    	 */
    	@Bean
    	public DefaultSessionManager sessionManager() {
    		DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    		sessionManager.setGlobalSessionTimeout(1800 * 1000);
    		sessionManager.setDeleteInvalidSessions(true);
    		sessionManager.setSessionValidationSchedulerEnabled(true);
    		sessionManager.setSessionDAO(sessionDAO());
    		// 添加监听器 统计在线人数
    		Collection<SessionListener> listeners = new ArrayList<SessionListener>();
    		listeners.add(new BDSessionListener());
    		sessionManager.setSessionListeners(listeners);
    		return sessionManager;
    	}
    
    	/**
    	 * 第三步 创建 SecurityManager 的同时设置其 SessionManager 属性
    	 */
    	@Bean
    	public SecurityManager securityManager() {
    		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    
    		// 1.CacheManager
    		securityManager.setCacheManager(ehCacheManager());
    
    		// 2. Authenticator
    		securityManager.setAuthenticator(authenticator());
    
    		// 3.Realm
    		List<Realm> realms = new ArrayList<Realm>(16);
    		realms.add(loginRealm());
    		realms.add(userRealm());
    		securityManager.setRealms(realms);
    
    		// 4.SessionManager
    		securityManager.setSessionManager(sessionManager());
    		return securityManager;
    	}

BDSessionListener 用来监听当前 Session 的存活数量，实现在线人数统计的目的。

import java.util.concurrent.atomic.AtomicInteger;
    
    import org.apache.shiro.session.Session;
    import org.apache.shiro.session.SessionListener;
    
    public class BDSessionListener implements SessionListener {
    
    	private final AtomicInteger sessionCount = new AtomicInteger(0);
    
    	@Override
    	public void onStart(Session session) {
    		sessionCount.incrementAndGet();
    	}
    
    	@Override
    	public void onStop(Session session) {
    		sessionCount.decrementAndGet();
    	}
    
    	@Override
    	public void onExpiration(Session session) {
    		sessionCount.decrementAndGet();
    
    	}
    
    	public int getSessionCount() {
    		return sessionCount.get();
    	}
    
    }

## 自定义SessionDAO ##

自定义SessionDAO可以直接继承EnterpriseCacheSessionDAO，覆写它的doReadSession()、doUpdate()、doDelete() 三个空实现方法即可。

import java.io.Serializable;
    import java.util.List;
    
    import org.apache.shiro.session.Session;
    import org.apache.shiro.session.mgt.ValidatingSession;
    import org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO;
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.jdbc.core.JdbcTemplate;
    
    public class MySessionDao extends EnterpriseCacheSessionDAO {
    
    	@Autowired
    	private JdbcTemplate jdbcTemplate = null;
    
    	@Override
    	protected Serializable doCreate(Session session) {
    		Serializable sessionId = generateSessionId(session);
    		assignSessionId(session, sessionId);
    		String sql = "insert into sessions(id, session) values(?,?)";
    		jdbcTemplate.update(sql, sessionId, SerializableUtils.serialize(session));
    		return session.getId();
    	}
    
    	@Override
    	protected Session doReadSession(Serializable sessionId) {
    		String sql = "select session from sessions where id=?";
    		List<String> sessionStrList = jdbcTemplate.queryForList(sql, String.class, sessionId);
    		if (sessionStrList.size() == 0)
    			return null;
    		return SerializableUtils.deserialize(sessionStrList.get(0));
    	}
    
    	@Override
    	protected void doUpdate(Session session) {
    		if (session instanceof ValidatingSession && !((ValidatingSession) session).isValid()) {
    			return;
    		}
    		String sql = "update sessions set session=? where id=?";
    		jdbcTemplate.update(sql, SerializableUtils.serialize(session), session.getId());
    	}
    
    	@Override
    	protected void doDelete(Session session) {
    		String sql = "delete from sessions where id=?";
    		jdbcTemplate.update(sql, session.getId());
    	}
    }

import org.apache.shiro.codec.Base64;
    import org.apache.shiro.session.Session;
    
    import java.io.ByteArrayInputStream;
    import java.io.ByteArrayOutputStream;
    import java.io.ObjectInputStream;
    import java.io.ObjectOutputStream;
    
    public class SerializableUtils {
    
    	public static String serialize(Session session) {
    		try {
    			ByteArrayOutputStream bos = new ByteArrayOutputStream();
    			ObjectOutputStream oos = new ObjectOutputStream(bos);
    			oos.writeObject(session);
    			return Base64.encodeToString(bos.toByteArray());
    		} catch (Exception e) {
    			throw new RuntimeException("serialize session error", e);
    		}
    	}
    
    	public static Session deserialize(String sessionStr) {
    		try {
    			ByteArrayInputStream bis = new ByteArrayInputStream(Base64.decode(sessionStr));
    			ObjectInputStream ois = new ObjectInputStream(bis);
    			return (Session) ois.readObject();
    		} catch (Exception e) {
    			throw new RuntimeException("deserialize session error", e);
    		}
    	}
    
    }

## 会话验证 ##

• Shiro 提供了会话验证调度器，用于定期的验证会话是否已过期，如果过期将停止会话；

• 出于性能考虑，一般情况下都是获取会话时来验证会话是否过期并停止会话的；但是如在 web 环境中，如果用户不主动退出是不知道会话是否过期的，因此需要定期的检测会话是否过期，Shiro 提供了会话验证调度器SessionValidationScheduler ；

• Shiro 也提供了使用Quartz会话验证调度器：QuartzSessionValidationScheduler ；

# 关于缓存 #

Shiro 会自动检测其内部组件（如Realm）是否实现了CacheManagerAware 接口，并自动为其注入相应的CacheManager。CachingRealm 为我们提供了缓存的一些基础实现，前面身份验证提到的AuthenticatingRealm 以及授权中的 AuthorizingRealm 就继承了 CachingRealm 。

因此，若 SecurityManager 实现了 SessionSecurityManager，Shiro 会判断其内部的 SessionManager 是否实现了CacheManagerAware 接口，如果实现了会把 CacheManager 设置给它。同时， SessionManager 也会判断其内部的 SessionDAO（如继承自CachingSessionDAO）是否实现了CacheManagerAware，如果实现了会把 CacheManager设置给它。设置了缓存的 SessionManager，查询时会先查缓存，如果找不到才查数据库。

# 记住我 #

Shiro 提供了记住我（RememberMe）的功能，比如访问如淘宝等一些网站时，关闭了浏览器，下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问。

## 认证VS记住我 ##

• subject.isAuthenticated() 表示用户进行了身份验证登录的，即使用 Subject.login 进行了登录；

• subject.isRemembered()：表示用户是通过记住我登录的，此时可能并不是真正的你在访问（可能是你的朋友使用你的电脑，或者你的cookie 被窃取）；

• 两者二选一，即 subject.isAuthenticated()==true，则 subject.isRemembered()==false；反之一样。

## 启用记住我 ##

/**
    	 * 第一步 创建 SimpleCookie
    	 */
    	@Bean
    	public SimpleCookie simpleCookie() {
    		SimpleCookie simpleCookie = new SimpleCookie();
    		simpleCookie.setName("shiro-cookies");
    		simpleCookie.setHttpOnly(true);
    		// 设置 Cookies 的过期时间
    		simpleCookie.setMaxAge(60);
    		return simpleCookie;
    	}
    	/**
    	 * 第二步 创建 CookieRememberMeManager 的同时设置其 Cookie 属性
    	 */
    	@Bean
    	public CookieRememberMeManager cookieRememberMeManager() {
    		CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
    		cookieRememberMeManager.setCipherKey(Base64.decode("4AvVhmFLUs0KTA3Kprsdag=="));
    		cookieRememberMeManager.setCookie(simpleCookie());
    		return cookieRememberMeManager;
    	}
    
    	/**
    	 * 第三步 创建 SecurityManager 的同时设置其 CookieRememberMeManager 属性
    	 */
    	@Bean
    	public SecurityManager securityManager() {
    		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    
    		// 1.CacheManager
    		securityManager.setCacheManager(ehCacheManager());
    
    		// 2. Authenticator
    		securityManager.setAuthenticator(authenticator());
    
    		// 3.Realm
    		List<Realm> realms = new ArrayList<Realm>(16);
    		realms.add(loginRealm());
    		realms.add(userRealm());
    		securityManager.setRealms(realms);
    
    		// 4.SessionManager
    		securityManager.setSessionManager(sessionManager());
    
    		// 5. CookieRememberMeManager
    		securityManager.setRememberMeManager(cookieRememberMeManager());
    		return securityManager;
    	}

在用户登录校验时，还需要对 UsernamePasswordToken 进行如下设置，才能启用记住我。

// 将用户名和密码封装成 UsernamePasswordToken 对象
    		UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
    		token.setRememberMe(true);

在谷歌浏览器中查看用户登录后生成的 cookie 截图如下：

![20190705141457697.png][]

[20190705134455298.png]: /images/20211214/74ed7bd5a12a42939d6c293d96a736aa.png
[20190705134625895.png]: /images/20211214/73ab41be3ae44bba906e28a88e18f937.png
[20190705141457697.png]: /images/20211214/b8727a151978456cb267cd2f432b2025.png

发表评论取消回复

表情：

评论列表（有 0 条评论，264人围观）

还没有评论，来说两句吧...

相关阅读

相关 ToString 奇淫技巧

int和float同样结果 decimal decTemp = 2.1m; Console.WriteLine(decTemp.ToString("0.00"

超、凢脫俗/ 2023年08月17日 17:17/ 0 赞/ 92 阅读

相关 Sql的奇淫技巧

1. case\_when 对数据分类 SELECT CASE WHEN population < 100 THEN '01' W

旧城等待，/ 2022年12月05日 13:57/ 0 赞/ 214 阅读

相关 645 错误的集合（奇淫技巧）

1. 问题描述：集合 s 包含从 1 到 n 的整数。不幸的是，因为数据错误，导致集合里面某一个数字复制了成了集合里面的另外一个数字的值，导致集合丢失了一个数字并且有一个数

不念不忘少年蓝@/ 2022年08月29日 05:53/ 0 赞/ 191 阅读

相关 CSS布局奇淫技巧之–各种居中

CSS布局奇淫技巧之–各种居中 [css3 ][css3] 浏览数:297 2017-8-21 居中是我们使用css来布局时常遇到的情况。使用css来进行居

﹏ヽ暗。殇╰゛Y/ 2022年06月09日 02:28/ 0 赞/ 234 阅读

相关奇淫技巧____MyEclipse2017破解教程

![Center][] ![Center 1][] ![Center 2][] ![Center 3][] ![Center 4][] ![C

╰+哭是因爲堅強的太久メ/ 2022年06月09日 00:54/ 0 赞/ 275 阅读

相关奇淫技巧____如何设置自己网站的favicon

![Center][] ![Center 1][] ![Center 2][] ![Center 3][] [Cent

蔚落/ 2022年06月08日 00:08/ 0 赞/ 201 阅读

相关 Shiro步步为营--HelloWorld

Shiro简介 Apache Shiro是一个强大且易用的Java安全框架，它可以完成诸如：身份认证、授权、加密、会话管理等功能，并且可以很方便地与Web 集成或者使用缓

向右看齐/ 2021年12月21日 08:17/ 0 赞/ 306 阅读

相关 Shiro步步为营--奇淫技巧

目录会话管理启用会话管理自定义SessionDAO 会话验证关于缓存记住我认证VS记住我启用记住我 --------------------

偏执的太偏执、/ 2021年12月14日 09:49/ 0 赞/ 265 阅读

相关 CSS布局奇淫技巧之--各种居中

1. 把margin设为auto 具体来说就是把要居中的元素的margin-left和margin-right都设为auto，此方法只能进行水平的居中，且对浮动元素或绝对定位

梦里梦外;/ 2021年11月09日 02:01/ 0 赞/ 359 阅读

相关 IDEA奇淫小技巧

IDEA是目前市场上最好用的IDE，我说的！ ![format_png][] 前几年eclipse在市场上非常流行，因此大多数人都习惯了eclipse的一些快捷键。近年来，

墨蓝/ 2021年09月18日 05:22/ 0 赞/ 336 阅读