Shiro提供了完整的企業級會話管理功能,不依賴於底層容器(如web容器tomcat),不管JavaSE還是JavaEE環境都可以使用,提供了會話管理、會話事件監聽、會話存儲/持久化、容器無關的集羣、失效/過期支持、對Web的透明支持、SSO單點登錄的支持等特性。即直接使用Shiro的會話管理可以直接替換如Web容器的會話管理。
會話
所謂會話,即用戶訪問應用時保持的連接關係,在多次交互中應用能夠識別出當前訪問的用戶是誰,且可以在多次交互中保存一些數據。如訪問一些網站時登錄成功後,網站可以記住用戶,且在退出之前都可以識別當前用戶是誰。
Shiro的會話支持不僅可以在普通的JavaSE應用中使用,也可以在JavaEE應用中使用,如web應用。且使用方式是一致的。
- login("classpath:shiro.ini", "zhang", "123");
- Subject subject = SecurityUtils.getSubject();
- Session session = subject.getSession();
登錄成功後使用Subject.getSession()即可獲取會話;其等價於Subject.getSession(true),即如果當前沒有創建Session對象會創建一個;另外Subject.getSession(false),如果當前沒有創建Session則返回null(不過默認情況下如果啓用會話存儲功能的話在創建Subject時會主動創建一個Session)。
- session.getId();
獲取當前會話的唯一標識。
- session.getHost();
獲取當前Subject的主機地址,該地址是通過HostAuthenticationToken.getHost()提供的。
- session.getTimeout();
- session.setTimeout(毫秒);
獲取/設置當前Session的過期時間;如果不設置默認是會話管理器的全局過期時間。
- session.getStartTimestamp();
- session.getLastAccessTime();
獲取會話的啓動時間及最後訪問時間;如果是JavaSE應用需要自己定期調用session.touch()去更新最後訪問時間;如果是Web應用,每次進入ShiroFilter都會自動調用session.touch()來更新最後訪問時間。
- session.touch();
- session.stop();
更新會話最後訪問時間及銷燬會話;當Subject.logout()時會自動調用stop方法來銷燬會話。如果在web中,調用javax.servlet.http.HttpSession. invalidate()也會自動調用Shiro Session.stop方法進行銷燬Shiro的會話。
- session.setAttribute("key", "123");
- Assert.assertEquals("123", session.getAttribute("key"));
- session.removeAttribute("key");
設置/獲取/刪除會話屬性;在整個會話範圍內都可以對這些屬性進行操作。
Shiro提供的會話可以用於JavaSE/JavaEE環境,不依賴於任何底層容器,可以獨立使用,是完整的會話模塊。
會話管理器
會話管理器管理着應用中所有Subject的會話的創建、維護、刪除、失效、驗證等工作。是Shiro的核心組件,頂層組件SecurityManager直接繼承了SessionManager,且提供了SessionsSecurityManager實現直接把會話管理委託給相應的SessionManager,DefaultSecurityManager及DefaultWebSecurityManager默認SecurityManager都繼承了SessionsSecurityManager。
SecurityManager提供瞭如下接口:
- Session start(SessionContext context); //啓動會話
- Session getSession(SessionKey key) throws SessionException; //根據會話Key獲取會話
另外用於Web環境的WebSessionManager又提供瞭如下接口:
- boolean isServletContainerSessions();//是否使用Servlet容器的會話
Shiro還提供了ValidatingSessionManager用於驗資並過期會話:
- void validateSessions();//驗證所有會話是否過期
Shiro提供了三個默認實現:
DefaultSessionManager:DefaultSecurityManager使用的默認實現,用於JavaSE環境;
ServletContainerSessionManager:DefaultWebSecurityManager使用的默認實現,用於Web環境,其直接使用Servlet容器的會話;
DefaultWebSessionManager:用於Web環境的實現,可以替代ServletContainerSessionManager,自己維護着會話,直接廢棄了Servlet容器的會話管理。
替換SecurityManager默認的SessionManager可以在ini中配置(shiro.ini):
- [main]
- sessionManager=org.apache.shiro.session.mgt.DefaultSessionManager
- securityManager.sessionManager=$sessionManager
Web環境下的ini配置(shiro-web.ini):
<!--EndFragment-->
- [main]
- sessionManager=org.apache.shiro.web.session.mgt.ServletContainerSessionManager
- securityManager.sessionManager=$sessionManager
另外可以設置會話的全局過期時間(毫秒爲單位),默認30分鐘:
- sessionManager. globalSessionTimeout=1800000
默認情況下globalSessionTimeout將應用給所有Session。可以單獨設置每個Session的timeout屬性來爲每個Session設置其超時時間。
另外如果使用ServletContainerSessionManager進行會話管理,Session的超時依賴於底層Servlet容器的超時時間,可以在web.xml中配置其會話的超時時間(分鐘爲單位):
- <session-config>
- <session-timeout>30</session-timeout>
- </session-config>
在Servlet容器中,默認使用JSESSIONID Cookie維護會話,且會話默認是跟容器綁定的;在某些情況下可能需要使用自己的會話機制,此時我們可以使用DefaultWebSessionManager來維護會話:
- sessionIdCookie=org.apache.shiro.web.servlet.SimpleCookie
- sessionManager=org.apache.shiro.web.session.mgt.DefaultWebSessionManager
- sessionIdCookie.name=sid
- #sessionIdCookie.domain=sishuok.com
- #sessionIdCookie.path=
- sessionIdCookie.maxAge=1800
- sessionIdCookie.httpOnly=true
- sessionManager.sessionIdCookie=$sessionIdCookie
- sessionManager.sessionIdCookieEnabled=true
- securityManager.sessionManager=$sessionManager
sessionIdCookie是sessionManager創建會話Cookie的模板:
sessionIdCookie.name:設置Cookie名字,默認爲JSESSIONID;
sessionIdCookie.domain:設置Cookie的域名,默認空,即當前訪問的域名;
sessionIdCookie.path:設置Cookie的路徑,默認空,即存儲在域名根下;
sessionIdCookie.maxAge:設置Cookie的過期時間,秒爲單位,默認-1表示關閉瀏覽器時過期Cookie;
sessionIdCookie.httpOnly:如果設置爲true,則客戶端不會暴露給客戶端腳本代碼,使用HttpOnly cookie有助於減少某些類型的跨站點腳本攻擊;此特性需要實現了Servlet 2.5 MR6及以上版本的規範的Servlet容器支持;
sessionManager.sessionIdCookieEnabled:是否啓用/禁用Session Id Cookie,默認是啓用的;如果禁用後將不會設置Session Id Cookie,即默認使用了Servlet容器的JSESSIONID,且通過URL重寫(URL中的“;JSESSIONID=id”部分)保存Session Id。
另外我們可以如“sessionManager. sessionIdCookie.name=sid”這種方式操作Cookie模板。
會話監聽器
會話監聽器用於監聽會話創建、過期及停止事件:
- public class MySessionListener1 implements SessionListener {
- @Override
- public void onStart(Session session) {//會話創建時觸發
- System.out.println("會話創建:" + session.getId());
- }
- @Override
- public void onExpiration(Session session) {//會話過期時觸發
- System.out.println("會話過期:" + session.getId());
- }
- @Override
- public void onStop(Session session) {//退出/會話過期時觸發
- System.out.println("會話停止:" + session.getId());
- }
- }
如果只想監聽某一個事件,可以繼承SessionListenerAdapter實現:
- public class MySessionListener2 extends SessionListenerAdapter {
- @Override
- public void onStart(Session session) {
- System.out.println("會話創建:" + session.getId());
- }
- }
在shiro-web.ini配置文件中可以進行如下配置設置會話監聽器:
- sessionListener1=com.github.zhangkaitao.shiro.chapter10.web.listener.MySessionListener1
- sessionListener2=com.github.zhangkaitao.shiro.chapter10.web.listener.MySessionListener2
- sessionManager.sessionListeners=$sessionListener1,$sessionListener2
會話存儲/持久化
Shiro提供SessionDAO用於會話的CRUD,即DAO(Data Access Object)模式實現:
- //如DefaultSessionManager在創建完session後會調用該方法;如保存到關係數據庫/文件系統/NoSQL數據庫;即可以實現會話的持久化;返回會話ID;主要此處返回的ID.equals(session.getId());
- Serializable create(Session session);
- //根據會話ID獲取會話
- Session readSession(Serializable sessionId) throws UnknownSessionException;
- //更新會話;如更新會話最後訪問時間/停止會話/設置超時時間/設置移除屬性等會調用
- void update(Session session) throws UnknownSessionException;
- //刪除會話;當會話過期/會話停止(如用戶退出時)會調用
- void delete(Session session);
- //獲取當前所有活躍用戶,如果用戶量多此方法影響性能
- Collection<Session> getActiveSessions();
Shiro內嵌瞭如下SessionDAO實現:
AbstractSessionDAO提供了SessionDAO的基礎實現,如生成會話ID等;CachingSessionDAO提供了對開發者透明的會話緩存的功能,只需要設置相應的CacheManager即可;MemorySessionDAO直接在內存中進行會話維護;而EnterpriseCacheSessionDAO提供了緩存功能的會話維護,默認情況下使用MapCache實現,內部使用ConcurrentHashMap保存緩存的會話。
可以通過如下配置設置SessionDAO:
- sessionDAO=org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
- sessionManager.sessionDAO=$sessionDAO
Shiro提供了使用Ehcache進行會話存儲,Ehcache可以配合TerraCotta實現容器無關的分佈式集羣。
首先在pom.xml裏添加如下依賴:
- <dependency>
- <groupId>org.apache.shiro</groupId>
- <artifactId>shiro-ehcache</artifactId>
- <version>1.2.2</version>
- </dependency>
接着配置shiro-web.ini文件:
- sessionDAO=org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
- sessionDAO. activeSessionsCacheName=shiro-activeSessionCache
- sessionManager.sessionDAO=$sessionDAO
- cacheManager = org.apache.shiro.cache.ehcache.EhCacheManager
- cacheManager.cacheManagerConfigFile=classpath:ehcache.xml
- securityManager.cacheManager = $cacheManager
sessionDAO. activeSessionsCacheName:設置Session緩存名字,默認就是shiro-activeSessionCache;
cacheManager:緩存管理器,用於管理緩存的,此處使用Ehcache實現;
cacheManager.cacheManagerConfigFile:設置ehcache緩存的配置文件;
securityManager.cacheManager:設置SecurityManager的cacheManager,會自動設置實現了CacheManagerAware接口的相應對象,如SessionDAO的cacheManager;
然後配置ehcache.xml:
- <cache name="shiro-activeSessionCache"
- maxEntriesLocalHeap="10000"
- overflowToDisk="false"
- eternal="false"
- diskPersistent="false"
- timeToLiveSeconds="0"
- timeToIdleSeconds="0"
- statistics="true"/>
Cache的名字爲shiro-activeSessionCache,即設置的sessionDAO的activeSessionsCacheName屬性值。
另外可以通過如下ini配置設置會話ID生成器:
- sessionIdGenerator=org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator
- sessionDAO.sessionIdGenerator=$sessionIdGenerator
用於生成會話ID,默認就是JavaUuidSessionIdGenerator,使用java.util.UUID生成。
如果自定義實現SessionDAO,繼承CachingSessionDAO即可:
- public class MySessionDAO extends CachingSessionDAO {
- private JdbcTemplate jdbcTemplate = JdbcTemplateUtils.jdbcTemplate();
- protected Serializable doCreate(Session session) {
- Serializable sessionId = generateSessionId(session);
- assignSessionId(session, sessionId);
- String sql = "insert into sessions(id, session) values(?,?)";
- jdbcTemplate.update(sql, sessionId, SerializableUtils.serialize(session));
- return session.getId();
- }
- protected void doUpdate(Session session) {
- if(session instanceof ValidatingSession && !((ValidatingSession)session).isValid()) {
- return; //如果會話過期/停止 沒必要再更新了
- }
- String sql = "update sessions set session=? where id=?";
- jdbcTemplate.update(sql, SerializableUtils.serialize(session), session.getId());
- }
- protected void doDelete(Session session) {
- String sql = "delete from sessions where id=?";
- jdbcTemplate.update(sql, session.getId());
- }
- protected Session doReadSession(Serializable sessionId) {
- String sql = "select session from sessions where id=?";
- List<String> sessionStrList = jdbcTemplate.queryForList(sql, String.class, sessionId);
- if(sessionStrList.size() == 0) return null;
- return SerializableUtils.deserialize(sessionStrList.get(0));
- }
- }
doCreate/doUpdate/doDelete/doReadSession分別代表創建/修改/刪除/讀取會話;此處通過把會話序列化後存儲到數據庫實現;接着在shiro-web.ini中配置:
- sessionDAO=com.github.zhangkaitao.shiro.chapter10.session.dao.MySessionDAO
其他設置和之前一樣,因爲繼承了CachingSessionDAO;所有在讀取時會先查緩存中是否存在,如果找不到纔到數據庫中查找。
會話驗證
Shiro提供了會話驗證調度器,用於定期的驗證會話是否已過期,如果過期將停止會話;出於性能考慮,一般情況下都是獲取會話時來驗證會話是否過期並停止會話的;但是如在web環境中,如果用戶不主動退出是不知道會話是否過期的,因此需要定期的檢測會話是否過期,Shiro提供了會話驗證調度器SessionValidationScheduler來做這件事情。
可以通過如下ini配置開啓會話驗證:
- sessionValidationScheduler=org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler
- sessionValidationScheduler.interval = 3600000
- sessionValidationScheduler.sessionManager=$sessionManager
- sessionManager.globalSessionTimeout=1800000
- sessionManager.sessionValidationSchedulerEnabled=true
- sessionManager.sessionValidationScheduler=$sessionValidationScheduler
sessionValidationScheduler:會話驗證調度器,sessionManager默認就是使用ExecutorServiceSessionValidationScheduler,其使用JDK的ScheduledExecutorService進行定期調度並驗證會話是否過期;
sessionValidationScheduler.interval:設置調度時間間隔,單位毫秒,默認就是1小時;
sessionValidationScheduler.sessionManager:設置會話驗證調度器進行會話驗證時的會話管理器;
sessionManager.globalSessionTimeout:設置全局會話超時時間,默認30分鐘,即如果30分鐘內沒有訪問會話將過期;
sessionManager.sessionValidationSchedulerEnabled:是否開啓會話驗證器,默認是開啓的;
sessionManager.sessionValidationScheduler:設置會話驗證調度器,默認就是使用ExecutorServiceSessionValidationScheduler。
Shiro也提供了使用Quartz會話驗證調度器:
- sessionValidationScheduler=org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler
- sessionValidationScheduler.sessionValidationInterval = 3600000
- sessionValidationScheduler.sessionManager=$sessionManager
使用時需要導入shiro-quartz依賴:
- <dependency>
- <groupId>org.apache.shiro</groupId>
- <artifactId>shiro-quartz</artifactId>
- <version>1.2.2</version>
- </dependency>
如上會話驗證調度器實現都是直接調用AbstractValidatingSessionManager 的validateSessions方法進行驗證,其直接調用SessionDAO的getActiveSessions方法獲取所有會話進行驗證,如果會話比較多,會影響性能;可以考慮如分頁獲取會話並進行驗證,如com.github.zhangkaitao.shiro.chapter10.session.scheduler.MySessionValidationScheduler:
- //分頁獲取會話並驗證
- String sql = "select session from sessions limit ?,?";
- int start = 0; //起始記錄
- int size = 20; //每頁大小
- List<String> sessionList = jdbcTemplate.queryForList(sql, String.class, start, size);
- while(sessionList.size() > 0) {
- for(String sessionStr : sessionList) {
- try {
- Session session = SerializableUtils.deserialize(sessionStr);
- Method validateMethod =
- ReflectionUtils.findMethod(AbstractValidatingSessionManager.class,
- "validate", Session.class, SessionKey.class);
- validateMethod.setAccessible(true);
- ReflectionUtils.invokeMethod(validateMethod,
- sessionManager, session, new DefaultSessionKey(session.getId()));
- } catch (Exception e) {
- //ignore
- }
- }
- start = start + size;
- sessionList = jdbcTemplate.queryForList(sql, String.class, start, size);
- }
其直接改造自ExecutorServiceSessionValidationScheduler,如上代碼是驗證的核心代碼,可以根據自己的需求改造此驗證調度器器;ini的配置和之前的類似。
如果在會話過期時不想刪除過期的會話,可以通過如下ini配置進行設置:
- sessionManager.deleteInvalidSessions=false
默認是開啓的,在會話過期後會調用SessionDAO的delete方法刪除會話:如會話時持久化存儲的,可以調用此方法進行刪除。
如果是在獲取會話時驗證了會話已過期,將拋出InvalidSessionException;因此需要捕獲這個異常並跳轉到相應的頁面告訴用戶會話已過期,讓其重新登錄,如可以在web.xml配置相應的錯誤頁面:
- <error-page>
- <exception-type>org.apache.shiro.session.InvalidSessionException</exception-type>
- <location>/invalidSession.jsp</location>
- </error-page>
sessionFactory
sessionFactory是創建會話的工廠,根據相應的Subject上下文信息來創建會話;默認提供了SimpleSessionFactory用來創建SimpleSession會話。
首先自定義一個Session:
- public class OnlineSession extends SimpleSession {
- public static enum OnlineStatus {
- on_line("在線"), hidden("隱身"), force_logout("強制退出");
- private final String info;
- private OnlineStatus(String info) {
- this.info = info;
- }
- public String getInfo() {
- return info;
- }
- }
- private String userAgent; //用戶瀏覽器類型
- private OnlineStatus status = OnlineStatus.on_line; //在線狀態
- private String systemHost; //用戶登錄時系統IP
- //省略其他
- }
OnlineSession用於保存當前登錄用戶的在線狀態,支持如離線等狀態的控制。
接着自定義SessionFactory:
- public class OnlineSessionFactory implements SessionFactory {
- @Override
- public Session createSession(SessionContext initData) {
- OnlineSession session = new OnlineSession();
- if (initData != null && initData instanceof WebSessionContext) {
- WebSessionContext sessionContext = (WebSessionContext) initData;
- HttpServletRequest request = (HttpServletRequest) sessionContext.getServletRequest();
- if (request != null) {
- session.setHost(IpUtils.getIpAddr(request));
- session.setUserAgent(request.getHeader("User-Agent"));
- session.setSystemHost(request.getLocalAddr() + ":" + request.getLocalPort());
- }
- }
- return session;
- }
- }
根據會話上下文創建相應的OnlineSession。
最後在shiro-web.ini配置文件中配置:
- sessionFactory=org.apache.shiro.session.mgt.OnlineSessionFactory
- sessionManager.sessionFactory=$sessionFactory
更多請參考https://github.com/zhangkaitao/es/tree/master/web/src/main/java/org/apache/shiro中的相關代碼。
示例源代碼:https://github.com/zhangkaitao/shiro-example; 探討Spring/Shiro技術。