shiro 学习之会话管理

摘要

shiro 的会话管理基本都写好了，可以直接用它默认的，也可以关闭它的会话用自己的。这很开放，当然我肯定不会自己写，直接用它的，有个别需求的还可以实现它的接口自己写，对着它的实现去修改，也不是很难。

---

项目地址：https://github.com/thecattle/spring-mvc-shiro

---

下面主要从两方面说一下。

• session 管理
• cookie 管理(记住我-rememberMe)

session

在 shiro.xml 中，如下 我仅仅是设置超时时间为40分钟，默认30分钟。

• globalSessionTimeout：全局 session 过期时间，单位是 毫秒
• cache：对于 session 管理可以配置 cache，可以集成 ehcache，redis 等。不设置默认使用内存作为缓存。
• sessionDao： 主要实现 session 的增删改查，有个性化需求可以自己实现，在此不多啰嗦，有需要可以自己去看DefaultWebSessionManager。

说到DefaultWebSessionManager这个类，sessionManager的实现类大概有两个：

• DefaultWebSessionManager：它支持 web 容器的 session 管理，可以满足大多数应用。如果不配置 session 管理，默认就是这货。
• ServletContainerSessionManager：它只支持Servlet容器的 session 管理，web 的 session 都管理不了，特定需求下可以用这个。具体的可以看这个实现类的说明，英文我怕翻译出歧义。。。

    
        
        

        
        
        
        
    


        ......
        
        
        
        ......
    

        
        
        ......
    

rememberMe

在登录的时候可以看到这句代码：

image.png

说实话这功能看起来挺屌的，知道原理后感觉好 low，但整体来说还是很实用的。
这东西到底是干嘛的呢。引用官方的解释：

假设您正在使用Amazon.com。您已成功登录，并已将几本图书添加到购物车。但是你必须跑出一个会议，但忘记注销。在会议结束的时候，现在是回家，离开办公室的时候了。
第二天，当你上班，你意识到你没有完成你的购买，所以你回到amazon.com。这一次，亚马逊记得“你是谁”，通过名字来迎接你，还给你一些个性化的书籍推荐。进入亚马逊，subject.isRemembered()会返回 true。但是，如果您尝试访问您的帐户以更新信用卡信息以使您的图书购买，会发生什么？
虽然亚马逊记得你（isRemembered()== true），但不能保证你实际上是你（例如，也许同事使用你的电脑）。因此，在您执行敏感操作（如更新信用卡信息）之前，亚马逊将强制您登录，以确保您的身份。登录后，您的身份已经通过验证，isAuthenticated()是true。对于许多类型的应用程序，这种情况发生得如此频繁，因此功能内置于Shiro，因此您可以将其用于自己的应用程序。现在，无论您使用isRemembered()还是isAuthenticated()
自定义您的视图和工作流程都取决于您，但是，如果您需要，Shiro将保持此基本状态。

看完这个故事，应该能猜到，isAuthenticated为 true 说明我在登录状态，isRemembered为 true 说明我登录过，就是这么简单。难怪我上某宝的时候经常看到自己是在线的，下单的时候却还要我登录。我心里无数次骂过这网站是不是有病，老子在线呢你还要我登录，麻不麻烦，现在看到这个才恍然大悟，很惭愧，亏我还是码农。跑题了，说正事

作为码农了解到它的用处之后，而且还这么简单就一句代码，肯定是要看下效果的。

但是都不知道怎么实现的，都不知道怎么样看到效果，我去网上查了很久，没查到。想到是不是 session 过期了就行呢，尝试了下果然成功了。猜到结果是isRemembered是根据 cookie 过没过期来判断的。后来配置 cookie 过期时间的时候发现果然是这样。但我还是不知道，怎么通过源码去知道是通过 cookie过期时间判断，大神可以指点下我，小弟感激不尽。

说说remember的 cookie 的配置：
在 DefaultWebSecurityManager 中注入CookieRememberMeManager这个实现类
CookieRememberMeManager中的参数是 cookie，用SimpleCookie这个实现类

• maxAge：cookie 的超时时间，单位是 秒
• SimpleCookie构造函数：要传入这个 cookie 的名字，默认有个名字

 
    
        
            
                
                
                
            
        
    

        ......
        
        
        ......
    

        
        
        ......
    

认证和记住两个状态的区分

说了这么多也都理解了，但是在代码中有个问题是要注意的：
currentUser.isRemembered()和currentUser.isAuthenticated()这个两个状态永远永远都是相反的。一个为 true 一个必定为 false。除非你去重写他们的方法。

shiro 这么做是有道理的。
你是认证状态的时候，去做认证的能做事情。
你是认证记住我的时候，去做记住我能做的事情。
这属于两个权限级别。

测试

通过设置 session 和 cookie 的超时时间，去做这个测试：
session 设置10分钟
cookie 设置20分钟

通过接口可以看到一开始是这样的：
currentUser.isAuthenticated()返回 true
currentUser.isRemembered()返回 false
超过10分钟之后
currentUser.isAuthenticated()返回 false
currentUser.isRemembered()返回 true

在此不上截图，可以自己去测试