shiro会话管理示例代码

吾爱主题阅读：132 2024-04-05 13:51:47 评论：0

shiro提供了完整的企业级会话管理功能，不依赖于底层容器（如web容器tomcat），不管javase还是javaee环境都可以使用，提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对web的透明支持、sso单点登录的支持等特性。即直接使用shiro的会话管理可以直接替换如web容器的会话管理。

会话

所谓会话，即用户访问应用时保持的连接关系，在多次交互中应用能够识别出当前访问的用户是谁，且可以在多次交互中保存一些数据。如访问一些网站时登录成功后，网站可以记住用户，且在退出之前都可以识别当前用户是谁。

shiro的会话支持不仅可以在普通的javase应用中使用，也可以在javaee应用中使用，如web应用。且使用方式是一致的。

java代码

1 2 3 login( "classpath:shiro.ini" , "zhang" , "123" ); subject subject = securityutils.getsubject(); session session = subject.getsession();

登录成功后使用subject.getsession()即可获取会话；其等价于subject.getsession(true)，即如果当前没有创建session对象会创建一个；另外subject.getsession(false)，如果当前没有创建session则返回null（不过默认情况下如果启用会话存储功能的话在创建subject时会主动创建一个session）。

java代码

1	`session.getid();`

获取当前会话的唯一标识。

java代码

1	`session.gethost();`

获取当前subject的主机地址，该地址是通过hostauthenticationtoken.gethost()提供的。

java代码

1 2	`session.gettimeout();` `session.settimeout(毫秒);`

获取/设置当前session的过期时间；如果不设置默认是会话管理器的全局过期时间。

java代码

1 2	`session.getstarttimestamp();` `session.getlastaccesstime();`

获取会话的启动时间及最后访问时间；如果是javase应用需要自己定期调用session.touch()去更新最后访问时间；如果是web应用，每次进入shirofilter都会自动调用session.touch()来更新最后访问时间。

java代码

1 2	`session.touch();` `session.stop();`

更新会话最后访问时间及销毁会话；当subject.logout()时会自动调用stop方法来销毁会话。如果在web中，调用javax.servlet.http.httpsession. invalidate()也会自动调用shiro session.stop方法进行销毁shiro的会话。

java代码

1 2 3 session.setattribute( "key" , "123" ); assert .assertequals( "123" , session.getattribute( "key" )); session.removeattribute( "key" );

设置/获取/删除会话属性；在整个会话范围内都可以对这些属性进行操作。

shiro提供的会话可以用于javase/javaee环境，不依赖于任何底层容器，可以独立使用，是完整的会话模块。

会话管理器

会话管理器管理着应用中所有subject的会话的创建、维护、删除、失效、验证等工作。是shiro的核心组件，顶层组件securitymanager直接继承了sessionmanager，且提供了sessionssecuritymanager实现直接把会话管理委托给相应的sessionmanager，defaultsecuritymanager及
defaultwebsecuritymanager默认securitymanager都继承了sessionssecuritymanager。

securitymanager提供了如下接口：

java代码

1 2	`session start(sessioncontext context);` `//启动会话` `session getsession(sessionkey key)` `throws` `sessionexception;` `//根据会话key获取会话`

另外用于web环境的websessionmanager又提供了如下接口：

java代码

1	`boolean` `isservletcontainersessions();` `//是否使用servlet容器的会话`

shiro还提供了validatingsessionmanager用于验资并过期会话：

java代码

1	`void` `validatesessions();` `//验证所有会话是否过期`

shiro提供了三个默认实现：

defaultsessionmanager：defaultsecuritymanager使用的默认实现，用于javase环境；
servletcontainersessionmanager：defaultwebsecuritymanager使用的默认实现，用于web环境，其直接使用servlet容器的会话；

defaultwebsessionmanager：用于web环境的实现，可以替代servletcontainersessionmanager，自己维护着会话，直接废弃了servlet容器的会话管理。

替换securitymanager默认的sessionmanager可以在ini中配置（shiro.ini）：

java代码

1 2 3 [main] sessionmanager=org.apache.shiro.session.mgt.defaultsessionmanager securitymanager.sessionmanager=$sessionmanager

web环境下的ini配置(shiro-web.ini)：

java代码

1 2 3 [main] sessionmanager=org.apache.shiro.web.session.mgt.servletcontainersessionmanager securitymanager.sessionmanager=$sessionmanager

另外可以设置会话的全局过期时间（毫秒为单位），默认30分钟：

java代码

1	`sessionmanager. globalsessiontimeout=` `1800000`

默认情况下globalsessiontimeout将应用给所有session。可以单独设置每个session的timeout属性来为每个session设置其超时时间。

另外如果使用servletcontainersessionmanager进行会话管理，session的超时依赖于底层servlet容器的超时时间，可以在web.xml中配置其会话的超时时间（分钟为单位）：

java代码

1 2 3 <session-config> <session-timeout> 30 </session-timeout> </session-config>

在servlet容器中，默认使用jsessionid cookie维护会话，且会话默认是跟容器绑定的；在某些情况下可能需要使用自己的会话机制，此时我们可以使用defaultwebsessionmanager来维护会话：

java代码

1 2 3 4 5 6 7 8 9 10 sessionidcookie=org.apache.shiro.web.servlet.simplecookie sessionmanager=org.apache.shiro.web.session.mgt.defaultwebsessionmanager sessionidcookie.name=sid #sessionidcookie.domain=sishuok.com #sessionidcookie.path= sessionidcookie.maxage= 1800 sessionidcookie.httponly= true sessionmanager.sessionidcookie=$sessionidcookie sessionmanager.sessionidcookieenabled= true .securitymanager.sessionmanager=$sessionmanager

sessionidcookie是sessionmanager创建会话cookie的模板：

sessionidcookie.name：设置cookie名字，默认为jsessionid；

sessionidcookie.domain：设置cookie的域名，默认空，即当前访问的域名；

sessionidcookie.path：设置cookie的路径，默认空，即存储在域名根下；

sessionidcookie.maxage：设置cookie的过期时间，秒为单位，默认-1表示关闭浏览器时过期cookie；

sessionidcookie.httponly：如果设置为true，则客户端不会暴露给客户端脚本代码，使用httponly cookie有助于减少某些类型的跨站点脚本攻击；此特性需要实现了servlet 2.5 mr6及以上版本的规范的servlet容器支持；

sessionmanager.sessionidcookieenabled：是否启用/禁用session id cookie，默认是启用的；如果禁用后将不会设置session id cookie，即默认使用了servlet容器的jsessionid，且通过url重写（url中的“;jsessionid=id”部分）保存session id。

另外我们可以如“sessionmanager. sessionidcookie.name=sid”这种方式操作cookie模板。

会话监听器

会话监听器用于监听会话创建、过期及停止事件：

java代码

1 2 3 4 5 6 7 8 9 10 11 12 13 14 public class mysessionlistener1 implements sessionlistener { @override public void onstart(session session) { //会话创建时触发 system.out.println( "会话创建：" + session.getid()); } @override public void onexpiration(session session) { //会话过期时触发 system.out.println( "会话过期：" + session.getid()); } @override public void onstop(session session) { //退出/会话过期时触发 system.out.println( "会话停止：" + session.getid()); } }

如果只想监听某一个事件，可以继承sessionlisteneradapter实现：

java代码

1 2 3 4 5 6 public class mysessionlistener2 extends sessionlisteneradapter { @override public void onstart(session session) { system.out.println( "会话创建：" + session.getid()); } }

在shiro-web.ini配置文件中可以进行如下配置设置会话监听器：

java代码

1 2 3 sessionlistener1=com.github.zhangkaitao.shiro.chapter10.web.listener.mysessionlistener1 sessionlistener2=com.github.zhangkaitao.shiro.chapter10.web.listener.mysessionlistener2 sessionmanager.sessionlisteners=$sessionlistener1,$sessionlistener2

会话存储/持久化

shiro提供sessiondao用于会话的crud，即dao（data access object）模式实现：

java代码

1 2 3 4 5 6 7 8 9 10 //如defaultsessionmanager在创建完session后会调用该方法；如保存到关系数据库/文件系统/nosql数据库；即可以实现会话的持久化；返回会话id；主要此处返回的id.equals(session.getid())； serializable create(session session); //根据会话id获取会话 session readsession(serializable sessionid) throws unknownsessionexception; //更新会话；如更新会话最后访问时间/停止会话/设置超时时间/设置移除属性等会调用 void update(session session) throws unknownsessionexception; //删除会话；当会话过期/会话停止（如用户退出时）会调用 void delete(session session); //获取当前所有活跃用户，如果用户量多此方法影响性能 collection<session> getactivesessions();

shiro内嵌了如下sessiondao实现：

abstractsessiondao提供了sessiondao的基础实现，如生成会话id等；cachingsessiondao提供了对开发者透明的会话缓存的功能，只需要设置相应的cachemanager即可；memorysessiondao直接在内存中进行会话维护；而enterprisecachesessiondao提供了缓存功能的会话维护，默认情况下使用mapcache实现，内部使用concurrenthashmap保存缓存的会话。

可以通过如下配置设置sessiondao：

java代码

1 2	`sessiondao=org.apache.shiro.session.mgt.eis.enterprisecachesessiondao` `sessionmanager.sessiondao=$sessiondao`

shiro提供了使用ehcache进行会话存储，ehcache可以配合terracotta实现容器无关的分布式集群。

首先在pom.xml里添加如下依赖：

java代码

1 2 3 4 5 <dependency> <groupid>org.apache.shiro</groupid> <artifactid>shiro-ehcache</artifactid> <version> 1.2 . 2 </version> </dependency>

接着配置shiro-web.ini文件：

java代码

1 2 3 4 5 6 sessiondao=org.apache.shiro.session.mgt.eis.enterprisecachesessiondao sessiondao. activesessionscachename=shiro-activesessioncache sessionmanager.sessiondao=$sessiondao cachemanager = org.apache.shiro.cache.ehcache.ehcachemanager cachemanager.cachemanagerconfigfile=classpath:ehcache.xml securitymanager.cachemanager = $cachemanager

sessiondao. activesessionscachename：设置session缓存名字，默认就是shiro-activesessioncache；

cachemanager：缓存管理器，用于管理缓存的，此处使用ehcache实现；

cachemanager.cachemanagerconfigfile：设置ehcache缓存的配置文件；

securitymanager.cachemanager：设置securitymanager的cachemanager，会自动设置实现了cachemanageraware接口的相应对象，如sessiondao的cachemanager；

然后配置ehcache.xml：

java代码

1 2 3 4 5 6 7 8 <cache name= "shiro-activesessioncache" maxentrieslocalheap= "10000" overflowtodisk= "false" eternal= "false" diskpersistent= "false" timetoliveseconds= "0" timetoidleseconds= "0" statistics= "true" />

cache的名字为shiro-activesessioncache，即设置的sessiondao的activesessionscachename属性值。

另外可以通过如下ini配置设置会话id生成器：

java代码

1 2	`sessionidgenerator=org.apache.shiro.session.mgt.eis.javauuidsessionidgenerator` `sessiondao.sessionidgenerator=$sessionidgenerator`

用于生成会话id，默认就是javauuidsessionidgenerator，使用java.util.uuid生成。

如果自定义实现sessiondao，继承cachingsessiondao即可：

java代码

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 public class mysessiondao extends cachingsessiondao { private jdbctemplate jdbctemplate = jdbctemplateutils.jdbctemplate(); protected serializable docreate(session session) { serializable sessionid = generatesessionid(session); assignsessionid(session, sessionid); string sql = "insert into sessions(id, session) values(?,?)" ; jdbctemplate.update(sql, sessionid, serializableutils.serialize(session)); return session.getid(); } protected void doupdate(session session) { if (session instanceof validatingsession && !((validatingsession)session).isvalid()) { return ; //如果会话过期/停止没必要再更新了 } string sql = "update sessions set session=? where id=?" ; jdbctemplate.update(sql, serializableutils.serialize(session), session.getid()); } protected void dodelete(session session) { string sql = "delete from sessions where id=?" ; jdbctemplate.update(sql, session.getid()); } protected session doreadsession(serializable sessionid) { string sql = "select session from sessions where id=?" ; list<string> sessionstrlist = jdbctemplate.queryforlist(sql, string. class , sessionid); if (sessionstrlist.size() == 0 ) return null ; return serializableutils.deserialize(sessionstrlist.get( 0 )); } }

docreate/doupdate/dodelete/doreadsession分别代表创建/修改/删除/读取会话；此处通过把会话序列化后存储到数据库实现；接着在shiro-web.ini中配置：

java代码

1	`sessiondao=com.github.zhangkaitao.shiro.chapter10.session.dao.mysessiondao`

其他设置和之前一样，因为继承了cachingsessiondao；所有在读取时会先查缓存中是否存在，如果找不到才到数据库中查找。

会话验证

shiro提供了会话验证调度器，用于定期的验证会话是否已过期，如果过期将停止会话；出于性能考虑，一般情况下都是获取会话时来验证会话是否过期并停止会话的；但是如在web环境中，如果用户不主动退出是不知道会话是否过期的，因此需要定期的检测会话是否过期，shiro提供了会话验证调度器sessionvalidationscheduler来做这件事情。

可以通过如下ini配置开启会话验证：

java代码

1 2 3 4 5 6 sessionvalidationscheduler=org.apache.shiro.session.mgt.executorservicesessionvalidationscheduler sessionvalidationscheduler.interval = 3600000 sessionvalidationscheduler.sessionmanager=$sessionmanager sessionmanager.globalsessiontimeout= 1800000 sessionmanager.sessionvalidationschedulerenabled= true sessionmanager.sessionvalidationscheduler=$sessionvalidationscheduler

sessionvalidationscheduler：会话验证调度器，sessionmanager默认就是使用executorservicesessionvalidationscheduler，其使用jdk的scheduledexecutorservice进行定期调度并验证会话是否过期；

sessionvalidationscheduler.interval：设置调度时间间隔，单位毫秒，默认就是1小时；

sessionvalidationscheduler.sessionmanager：设置会话验证调度器进行会话验证时的会话管理器；

sessionmanager.globalsessiontimeout：设置全局会话超时时间，默认30分钟，即如果30分钟内没有访问会话将过期；

sessionmanager.sessionvalidationschedulerenabled：是否开启会话验证器，默认是开启的；

sessionmanager.sessionvalidationscheduler：设置会话验证调度器，默认就是使用executorservicesessionvalidationscheduler。

shiro也提供了使用quartz会话验证调度器：

java代码

1 2 3 sessionvalidationscheduler=org.apache.shiro.session.mgt.quartz.quartzsessionvalidationscheduler sessionvalidationscheduler.sessionvalidationinterval = 3600000 sessionvalidationscheduler.sessionmanager=$sessionmanager

使用时需要导入shiro-quartz依赖：

java代码

1 2 3 4 5 <dependency> <groupid>org.apache.shiro</groupid> <artifactid>shiro-quartz</artifactid> <version> 1.2 . 2 </version> </dependency>

如上会话验证调度器实现都是直接调用abstractvalidatingsessionmanager 的validatesessions方法进行验证，其直接调用sessiondao的getactivesessions方法获取所有会话进行验证，如果会话比较多，会影响性能；可以考虑如分页获取会话并进行验证，如com.github.zhangkaitao.shiro.chapter10.session.scheduler.mysessionvalidationscheduler：

java代码

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 //分页获取会话并验证 string sql = "select session from sessions limit ?,?" ; int start = 0 ; //起始记录 int size = 20 ; //每页大小 list<string> sessionlist = jdbctemplate.queryforlist(sql, string. class , start, size); while (sessionlist.size() > 0 ) { for (string sessionstr : sessionlist) { try { session session = serializableutils.deserialize(sessionstr); method validatemethod = reflectionutils.findmethod(abstractvalidatingsessionmanager. class , "validate" , session. class , sessionkey. class ); validatemethod.setaccessible( true ); reflectionutils.invokemethod(validatemethod, sessionmanager, session, new defaultsessionkey(session.getid())); } catch (exception e) { //ignore } } start = start + size; sessionlist = jdbctemplate.queryforlist(sql, string. class , start, size); }

其直接改造自executorservicesessionvalidationscheduler，如上代码是验证的核心代码，可以根据自己的需求改造此验证调度器器；ini的配置和之前的类似。

如果在会话过期时不想删除过期的会话，可以通过如下ini配置进行设置：

java代码

1	`sessionmanager.deleteinvalidsessions=` `false`

默认是开启的，在会话过期后会调用sessiondao的delete方法删除会话：如会话时持久化存储的，可以调用此方法进行删除。

如果是在获取会话时验证了会话已过期，将抛出invalidsessionexception；因此需要捕获这个异常并跳转到相应的页面告诉用户会话已过期，让其重新登录，如可以在web.xml配置相应的错误页面：

java代码

1 2 3 4 <error-page> <exception-type>org.apache.shiro.session.invalidsessionexception</exception-type> <location>/invalidsession.jsp</location> </error-page>

sessionfactory

sessionfactory是创建会话的工厂，根据相应的subject上下文信息来创建会话；默认提供了simplesessionfactory用来创建simplesession会话。

首先自定义一个session：

java代码

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 public class onlinesession extends simplesession { public static enum onlinestatus { on_line( "在线" ), hidden( "隐身" ), force_logout( "强制退出" ); private final string info; private onlinestatus(string info) { this .info = info; } public string getinfo() { return info; } } private string useragent; //用户浏览器类型 private onlinestatus status = onlinestatus.on_line; //在线状态 private string systemhost; //用户登录时系统ip //省略其他 }

onlinesession用于保存当前登录用户的在线状态，支持如离线等状态的控制。

接着自定义sessionfactory：

java代码

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 public class onlinesessionfactory implements sessionfactory { @override public session createsession(sessioncontext initdata) { onlinesession session = new onlinesession(); if (initdata != null && initdata instanceof websessioncontext) { websessioncontext sessioncontext = (websessioncontext) initdata; httpservletrequest request = (httpservletrequest) sessioncontext.getservletrequest(); if (request != null ) { session.sethost(iputils.getipaddr(request)); session.setuseragent(request.getheader( "user-agent" )); session.setsystemhost(request.getlocaladdr() + ":" + request.getlocalport()); } } return session; } }