shiro 学习之会话管理

摘要

shiro 的会话管理基本都写好了,可以直接用它默认的,也可以关闭它的会话用自己的。这很开放,当然我肯定不会自己写,直接用它的,有个别需求的还可以实现它的接口自己写,对着它的实现去修改,也不是很难。


项目地址:https://github.com/thecattle/spring-mvc-shiro


下面主要从两方面说一下。

  • session 管理
  • cookie 管理(记住我-rememberMe)

session

在 shiro.xml 中,如下 我仅仅是设置超时时间为40分钟,默认30分钟。

  • globalSessionTimeout:全局 session 过期时间,单位是 毫秒
  • cache:对于 session 管理可以配置 cache,可以集成 ehcache,redis 等。不设置默认使用内存作为缓存。
  • sessionDao: 主要实现 session 的增删改查,有个性化需求可以自己实现,在此不多啰嗦,有需要可以自己去看DefaultWebSessionManager。

说到DefaultWebSessionManager这个类,sessionManager的实现类大概有两个:

  • DefaultWebSessionManager:它支持 web 容器的 session 管理,可以满足大多数应用。如果不配置 session 管理,默认就是这货。
  • ServletContainerSessionManager:它只支持Servlet容器的 session 管理,web 的 session 都管理不了,特定需求下可以用这个。具体的可以看这个实现类的说明,英文我怕翻译出歧义。。。

    
        
        

        
        
        
        
    


        ......
        
        
        
        ......
    

        
        
        ......
    

rememberMe

在登录的时候可以看到这句代码:

shiro 学习之会话管理_第1张图片
image.png

说实话这功能看起来挺屌的,知道原理后感觉好 low,但整体来说还是很实用的。
这东西到底是干嘛的呢。引用官方的解释:

假设您正在使用Amazon.com。您已成功登录,并已将几本图书添加到购物车。但是你必须跑出一个会议,但忘记注销。在会议结束的时候,现在是回家,离开办公室的时候了。
第二天,当你上班,你意识到你没有完成你的购买,所以你回到amazon.com。这一次,亚马逊记得“你是谁”,通过名字来迎接你,还给你一些个性化的书籍推荐。进入亚马逊,subject.isRemembered()会返回 true。但是,如果您尝试访问您的帐户以更新信用卡信息以使您的图书购买,会发生什么?
虽然亚马逊记得你(isRemembered()== true),但不能保证你实际上是你(例如,也许同事使用你的电脑)。因此,在您执行敏感操作(如更新信用卡信息)之前,亚马逊将强制您登录,以确保您的身份。登录后,您的身份已经通过验证,isAuthenticated()是true。对于许多类型的应用程序,这种情况发生得如此频繁,因此功能内置于Shiro,因此您可以将其用于自己的应用程序。现在,无论您使用isRemembered()还是isAuthenticated()
自定义您的视图和工作流程都取决于您,但是,如果您需要,Shiro将保持此基本状态。

看完这个故事,应该能猜到,isAuthenticated为 true 说明我在登录状态,isRemembered为 true 说明我登录过,就是这么简单。难怪我上某宝的时候经常看到自己是在线的,下单的时候却还要我登录。我心里无数次骂过这网站是不是有病,老子在线呢你还要我登录,麻不麻烦,现在看到这个才恍然大悟,很惭愧,亏我还是码农。跑题了,说正事

作为码农了解到它的用处之后,而且还这么简单就一句代码,肯定是要看下效果的。

但是都不知道怎么实现的,都不知道怎么样看到效果,我去网上查了很久,没查到。想到是不是 session 过期了就行呢,尝试了下果然成功了。猜到结果是isRemembered是根据 cookie 过没过期来判断的。后来配置 cookie 过期时间的时候发现果然是这样。但我还是不知道,怎么通过源码去知道是通过 cookie过期时间判断,大神可以指点下我,小弟感激不尽。

说说remember的 cookie 的配置:
在 DefaultWebSecurityManager 中注入CookieRememberMeManager这个实现类
CookieRememberMeManager中的参数是 cookie,用SimpleCookie这个实现类

  • maxAge:cookie 的超时时间,单位是 秒
  • SimpleCookie构造函数:要传入这个 cookie 的名字,默认有个名字
 
    
        
            
                
                
                
            
        
    

        ......
        
        
        ......
    

        
        
        ......
    

认证和记住两个状态的区分

说了这么多也都理解了,但是在代码中有个问题是要注意的:
currentUser.isRemembered()和currentUser.isAuthenticated()这个两个状态永远永远都是相反的。一个为 true 一个必定为 false。除非你去重写他们的方法。

shiro 这么做是有道理的。
你是认证状态的时候,去做认证的能做事情。
你是认证记住我的时候,去做记住我能做的事情。
这属于两个权限级别。

测试

通过设置 session 和 cookie 的超时时间,去做这个测试:
session 设置10分钟
cookie 设置20分钟

通过接口可以看到一开始是这样的:
currentUser.isAuthenticated()返回 true
currentUser.isRemembered()返回 false
超过10分钟之后
currentUser.isAuthenticated()返回 false
currentUser.isRemembered()返回 true

在此不上截图,可以自己去测试

你可能感兴趣的:(shiro 学习之会话管理)