会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。是Shiro 的核心组件,顶层组件SecurityManager 直接继承了SessionManager,且提供了SessionsSecurityManager 实现直接把会话管理委托给相应的SessionManager ,DefaultSecurityManager 及DefaultWebSecurityManager 默认SecurityManager 都继承了SessionsSecurityManager。
SecurityManager提供了如下接口:
Session start(SessionContext context); //启动会话
Session getSession(SessionKey key) throws SessionException; //根据会话Key获取会话
另外用于Web环境的WebSessionManager又提供了如下接口:
boolean isServletContainerSessions();//是否使用Servlet容器的会话
Shiro 还提供了ValidatingSessionManager用于验资并过期会话:
void validateSessions();//验证所有会话是否过期
Shiro 提供了三个默认实现:
DefaultSessionManager:DefaultSecurityManager使用的默认实现,用于JavaSE 环境;
ServletContainerSessionManager:DefaultWebSecurityManager使用的默认实现,用于Web环境,其直接使用Servlet 容器的会话;
DefaultWebSessionManager : 用于Web 环境的实现, 可以替代ServletContainerSessionManager,自己维护着会话,直接废弃了Servlet容器的会话管理。
JavaEE环境替换SecurityManager默认的SessionManager可以在ini中配置(shiro.ini),:
[main]
sessionManager=org.apache.shiro.session.mgt.DefaultSessionManager
securityManager.sessionManager=$sessionManager
另外可以设置会话的全局过期时间(毫秒为单位),默认30分钟:
sessionManager.globalSessionTimeout=1800000
默认情况下globalSessionTimeout 将应用给所有Session。可以单独设置每个Session 的timeout属性来为每个Session设置其超时时间。
Web 环境下的ini配置(shiro-web.ini):
[main]
sessionManager=org.apache.shiro.web.session.mgt.ServletContainerSessionManager
securityManager.sessionManager=$sessionManager
另外如果使用ServletContainerSessionManager 进行会话管理,Session 的超时依赖于底层Servlet容器的超时时间,可以在web.xml中配置其会话的超时时间(分钟为单位):
20
在 Servlet容器中,默认使用JSESSIONID Cookie 维护会话,且会话默认是跟容器绑定的;
在某些情况下可能需要使用自己的会话机制,此时我们可以使用DefaultWebSessionManager来维护会话:
sessionIdCookie=org.apache.shiro.web.servlet.SimpleCookie
sessionManager=org.apache.shiro.web.session.mgt.DefaultWebSessionManager
sessionIdCookie.name=sid
#sessionIdCookie.domain=sishuok.com
#sessionIdCookie.path=
sessionIdCookie.maxAge=1800
sessionIdCookie.httpOnly=true
sessionManager.sessionIdCookie=$sessionIdCookie
sessionManager.sessionIdCookieEnabled=true
securityManager.sessionManager=$sessionManager
sessionIdCookie是sessionManager创建会话Cookie的模板:
sessionIdCookie.name:设置Cookie 名字,默认为JSESSIONID;
sessionIdCookie.domain:设置Cookie的域名,默认空,即当前访问的域名;
sessionIdCookie.path:设置Cookie 的路径,默认空,即存储在域名根下;
sessionIdCookie.maxAge:设置Cookie 的过期时间,秒为单位,默认-1 表示关闭浏览器时过期Cookie;
sessionIdCookie.httpOnly:如果设置为true,则客户端不会暴露给客户端脚本代码,使用HttpOnly cookie有助于减少某些类型的跨站点脚本攻击;此特性需要实现了Servlet 2.5 MR6及以上版本的规范的Servlet容器支持;
sessionManager.sessionIdCookieEnabled:是否启用/禁用Session Id Cookie,默认是启用的;如果禁用后将不会设置Session Id Cookie,即默认使用了Servlet容器的JSESSIONID,且通过URL重写(URL中的“;JSESSIONID=id”部分)保存Session Id。
另外我们可以如“sessionManager. sessionIdCookie.name=sid”这种方式操作Cookie 模板。