Shiro使用RememberMe添加数据到Session

首先来理清一下session和rememberMe的功能，session是大家比较熟悉的功能，因为HTTP协议是无状态的，网站为了在多个请求之间传递数据就使用了session这个东西，session是存储在网站服务器上的某个地方，比如内存、数据库或者其他的什么东西，在我的配置中是用Ehcache存储的，因为我使用了Shiro的Native Session Manager，替代了Tomcat本身的Session Manager，并且为Shiro的Native Session Manager配置了Ehcache的SessionDAO：

    @Bean
    public SessionDAO sessionDAO() {
        return new EnterpriseCacheSessionDAO();
    }

    //使用Shiro自带的Session管理器
    @Bean
    public WebSessionManager sessionManager() {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionDAO(sessionDAO());
//        sessionManager.setGlobalSessionTimeout(300000);
        //设置Cookie中返回的SessionID的名字，默认是JSESSIONID
          sessionManager.getSessionIdCookie().setName("XXXXXXSESSIONID");
        return sessionManager;
    }

在这种情况下服务器的Session就存储在Ehcache里面，如果某个Session过期（比如关闭了浏览器或者超时），此条Session就会从Ehcache里面永久删除，下次的请求将不能使用Session里面的数据。所以说即使有些url设置的是”user”级别的（也就是说不用登录即可访问，只须设置了rememberMe），但是如果这些url使用了Session里面的数据，就会抛出异常，因为此时这个用户对应的Session已经不存在了。

再来看一下RememberMe的功能是怎样的。RememberMe是用于这样的一种场景：当浏览一个网站的时候，网站返回给你一个Session Cookie和一个RememberMe Cookie，Session Cookie很好理解，就是为了此次的对话，一旦关闭了浏览器或者超时了Session Cookie就没用了。但是RememberMe Cookie不太一样，Shiro默认的RememberMe Cookie的时长是一年，所以不用担心这个Cookie的情况。RememberMe Cookie实际就是Shiro把这个用户的信息加密一下放到cookie里面，下次就可以根据这个cookie来进行判断这是哪个用户。Shiro使用RememberMe功能的方式很简单，这里就不介绍了。

下面讲一下怎么根据这个RememberMe Cookie来向Session里面添加一些数据以便可以在不登录的情况下进行一些操作，方法就是自定义一个Filter：

package com.iot.baobiao.shiro;

import com.iot.baobiao.dao.UserDaoInterface;
import com.iot.baobiao.jooq.tables.pojos.User;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.servlet.OncePerRequestFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.IOException;

/**
 * Created by jia on 16-12-5.
 */

//为了使用RemenberMe Cookie，RememberMe Cookie里面是加密的Principle，
// 所以需要从这个Principle找出对应的user_id和phonenum放到Session里面
public class AddPrincipalToSessionFilter extends OncePerRequestFilter {

    private final Logger logger = LoggerFactory.getLogger(this.getClass());

    @Autowired
    UserDaoInterface userDaoInterface;

    @Override
    protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws ServletException, IOException {
        Subject subject = SecurityUtils.getSubject();
        if (subject.isRemembered()) {
            String phonenum = subject.getPrincipal().toString();
            User user = userDaoInterface.fetchOneByPhonenum(phonenum);
            if (user == null) return;
            Session session = subject.getSession(false);
            session.setAttribute("phonenum", phonenum);
            session.setAttribute("user_id", user.getId());
            logger.debug("Add principal info to session: " + phonenum);
        }
        filterChain.doFilter(servletRequest, servletResponse);
    }
}

Shiro会自动解密RememberMe Cookie里面的Principal，我们只需调用当前Subject的函数就行了。然后在Spring配置文件中添加上这个自定义的Shiro Filter就可以了：

    //Shiro自定义过滤器
    @Bean
    public AddPrincipalToSessionFilter addPrincipalToSessionFilter() {
        return new AddPrincipalToSessionFilter();
    }

    @Bean
    public ShiroFilterFactoryBean shiroFilter(){
        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();

        Map<String, Filter> map = new HashMap<>();
        map.put("addPrincipal", addPrincipalToSessionFilter());
        shiroFilter.setFilters(map);
//        shiroFilter.

        Map<String, String> definitionsMap = new HashMap<String, String>();
        definitionsMap.put("/unauthenticated", "anon");
        definitionsMap.put("/login", "anon");
        definitionsMap.put("/verification", "anon");
        definitionsMap.put("/forgetPassword", "anon");
        definitionsMap.put("/signup", "anon");
        definitionsMap.put("/index.jsp", "anon");
        definitionsMap.put("/", "anon");
        definitionsMap.put("/pay/**", "authc");
        definitionsMap.put("/admin/**", "authc, roles[admin]");
        //在每个可以使用RememberMe功能进行访问的url上面都添加这个自定义的Filter
        definitionsMap.put("/**", "addPrincipal, user");
        shiroFilter.setFilterChainDefinitionMap(definitionsMap);

        shiroFilter.setLoginUrl("/unauthenticated");
        shiroFilter.setUnauthorizedUrl("/unauthorized");
        shiroFilter.setSecurityManager(securityManager());

        logger.info("Shiro Filters: " + shiroFilter.getFilters());
        return shiroFilter;
    }

在Session超时之后再进行访问，即使对应的url使用了session里面的数据也可以正常使用了，比如说使用了Session的getAttribute函数也是可以的，如果没有这个自定义的Filter则会出现空指针错误。查看一下输出的日志，发现有这么一行：

2016-12-06 12:39:31 DEBUG AddPrincipalToSessionFilter:42 - Add principal info to session: 189xxxxxx06

这在手机App上面尤其有用，因为如果每次用户使用手机App都需要登录的话用户体验就会非常差，添加了自定义的Filter之后就可以很长时间不用登录，同时也不用把Session的过期时间设为很长，以免大量占用服务器资源。