shiro 学习之会话管理
摘要
shiro 的会话管理基本都写好了,可以直接用它默认的,也可以关闭它的会话用自己的。这很开放,当然我肯定不会自己写,直接用它的,有个别需求的还可以实现它的接口自己写,对着它的实现去修改,也不是很难。
项目地址:https://github.com/thecattle/spring-mvc-shiro
下面主要从两方面说一下。
- session 管理
- cookie 管理(记住我-rememberMe)
session
在 shiro.xml 中,如下 我仅仅是设置超时时间为40分钟,默认30分钟。
- globalSessionTimeout:全局 session 过期时间,单位是 毫秒
- cache:对于 session 管理可以配置 cache,可以集成 ehcache,redis 等。不设置默认使用内存作为缓存。
- sessionDao: 主要实现 session 的增删改查,有个性化需求可以自己实现,在此不多啰嗦,有需要可以自己去看DefaultWebSessionManager。
说到DefaultWebSessionManager这个类,sessionManager的实现类大概有两个:
- DefaultWebSessionManager:它支持 web 容器的 session 管理,可以满足大多数应用。如果不配置 session 管理,默认就是这货。
- ServletContainerSessionManager:它只支持Servlet容器的 session 管理,web 的 session 都管理不了,特定需求下可以用这个。具体的可以看这个实现类的说明,英文我怕翻译出歧义。。。
<!--session管理 配置-->
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
<!--session 过期时间 单位 毫秒,2400000=40min-->
<property name="globalSessionTimeout" value="2400000"></property>
<!--有需要可以自行配置-->
<!--<property name="cacheManager" ref="xxxx"></property>-->
<!--有需要可以自行配置-->
<!--<property name="sessionDAO" ref="xxx"></property>-->
</bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
......
<!--配置 session 管理-->
<property name="sessionManager" ref="sessionManager"></property>
</property>
......
</bean>
<bean id="shiroFilter" class="com.sunp.shiro.MyShiroFilterFactoryBean">
<!-- Shiro的核心安全接口,这个属性是必须的 -->
<property name="securityManager" ref="securityManager"/>
......
</bean>
rememberMe
在登录的时候可以看到这句代码:
image.png
说实话这功能看起来挺屌的,知道原理后感觉好 low,但整体来说还是很实用的。
这东西到底是干嘛的呢。引用官方的解释:
假设您正在使用Amazon.com。您已成功登录,并已将几本图书添加到购物车。但是你必须跑出一个会议,但忘记注销。在会议结束的时候,现在是回家,离开办公室的时候了。
第二天,当你上班,你意识到你没有完成你的购买,所以你回到amazon.com。这一次,亚马逊记得“你是谁”,通过名字来迎接你,还给你一些个性化的书籍推荐。进入亚马逊,subject.isRemembered()会返回 true。但是,如果您尝试访问您的帐户以更新信用卡信息以使您的图书购买,会发生什么?
虽然亚马逊记得你(isRemembered()== true),但不能保证你实际上是你(例如,也许同事使用你的电脑)。因此,在您执行敏感操作(如更新信用卡信息)之前,亚马逊将强制您登录,以确保您的身份。登录后,您的身份已经通过验证,isAuthenticated()是true。对于许多类型的应用程序,这种情况发生得如此频繁,因此功能内置于Shiro,因此您可以将其用于自己的应用程序。现在,无论您使用isRemembered()还是isAuthenticated()
自定义您的视图和工作流程都取决于您,但是,如果您需要,Shiro将保持此基本状态。
看完这个故事,应该能猜到,isAuthenticated为 true 说明我在登录状态,isRemembered为 true 说明我登录过,就是这么简单。难怪我上某宝的时候经常看到自己是在线的,下单的时候却还要我登录。我心里无数次骂过这网站是不是有病,老子在线呢你还要我登录,麻不麻烦,现在看到这个才恍然大悟,很惭愧,亏我还是码农。跑题了,说正事
作为码农了解到它的用处之后,而且还这么简单就一句代码,肯定是要看下效果的。
但是都不知道怎么实现的,都不知道怎么样看到效果,我去网上查了很久,没查到。想到是不是 session 过期了就行呢,尝试了下果然成功了。猜到结果是isRemembered是根据 cookie 过没过期来判断的。后来配置 cookie 过期时间的时候发现果然是这样。但我还是不知道,怎么通过源码去知道是通过 cookie过期时间判断,大神可以指点下我,小弟感激不尽。
说说remember的 cookie 的配置:
在 DefaultWebSecurityManager 中注入CookieRememberMeManager这个实现类
CookieRememberMeManager中的参数是 cookie,用SimpleCookie这个实现类
- maxAge:cookie 的超时时间,单位是 秒
- SimpleCookie构造函数:要传入这个 cookie 的名字,默认有个名字
<!--rememberMeManager管理 配置-->
<bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager">
<property name="cookie">
<bean class="org.apache.shiro.web.servlet.SimpleCookie">
<!--设置超时时间 单位 秒,一天=86400-->
<constructor-arg value="shiro-cookie"></constructor-arg>
<property name="maxAge" value="86400"></property>
</bean>
</property>
</bean>
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
......
<!--配置 记住我-->
<property name="rememberMeManager" ref="rememberMeManager"></property>
......
</bean>
<bean id="shiroFilter" class="com.sunp.shiro.MyShiroFilterFactoryBean">
<!-- Shiro的核心安全接口,这个属性是必须的 -->
<property name="securityManager" ref="securityManager"/>
......
</bean>
认证和记住两个状态的区分
说了这么多也都理解了,但是在代码中有个问题是要注意的:
currentUser.isRemembered()和currentUser.isAuthenticated()这个两个状态永远永远都是相反的。一个为 true 一个必定为 false。除非你去重写他们的方法。
shiro 这么做是有道理的。
你是认证状态的时候,去做认证的能做事情。
你是认证记住我的时候,去做记住我能做的事情。
这属于两个权限级别。
测试
通过设置 session 和 cookie 的超时时间,去做这个测试:
session 设置10分钟
cookie 设置20分钟
通过接口可以看到一开始是这样的:
currentUser.isAuthenticated()返回 true
currentUser.isRemembered()返回 false
超过10分钟之后
currentUser.isAuthenticated()返回 false
currentUser.isRemembered()返回 true
在此不上截图,可以自己去测试
