Shiro在Spring的会话管理（session）

会话管理
在shiro里面可以发现所有的用户的会话信息都会由Shiro来进行控制，那么也就是说只要是与用户有关的一切的处理信息操作都可以通过Shiro取得，实际上可以取得的信息可以有用户名、主机名称等等，这所有的信息都可以通过Subject接口取得。

System.out.println("SESSION ID = " + SecurityUtils.getSubject().getSession().getId()); System.out.println("用户名：" + SecurityUtils.getSubject().getPrincipal()); System.out.println("HOST：" + SecurityUtils.getSubject().getSession().getHost()); System.out.println("TIMEOUT ：" + SecurityUtils.getSubject().getSession().getTimeout()); System.out.println("START：" + SecurityUtils.getSubject().getSession().getStartTimestamp()); System.out.println("LAST：" + SecurityUtils.getSubject().getSession().getLastAccessTime());

其中“getLastAccessTime()”这个方法表示该用户的最后一次操作时间； 现在这些基础的信息的确都取得了，可是这些都属于Shiro中的默认配置，而用户1、如果有需要也可以使用手工配置的模式完成。

<dependency> 
    <groupId>org.apache.shirogroupId>
    <artifactId>shiro-quartzartifactId> 
dependency>
<dependency> 
    <groupId>commons-collectionsgroupId> 
    <artifactId>commons-collectionsartifactId>
     <version>3.2.2version> 
dependency>

如果要进行session管理，一定要定期释放空间，所以这个时候一定需要定时组件才可以完成。
2、 可以配置一个属于自己的Session ID生成器：

 
<bean id="sessionIdGenerator" class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator" />

3、 随后需要定义有一个会话的DAO处理，指的是你的会话的缓存位置，本次暂时将所有的会话数据保存在内存里面。
· 会话保存处理：org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO

 
<bean id="sessionDAO" class="org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO"> 
     
    <property name="activeSessionsCacheName" value="shiro-activeSessionCache"/> 
     
    <property name="sessionIdGenerator" ref="sessionIdGenerator"/> 
bean>

4、 现在只是定义了缓存所需要的组件，但是并没有定义session与客户端的之间的联系，为了进行有效的session管理所以还需要建立有一个Cookie的操作模版。
· 处理Cookie：org.apache.shiro.web.servlet.SimpleCookie

 
<bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie"> 
     <constructor-arg value="mldn-session-id"/> 
     
    <property name="httpOnly" value="true"/> 
     
    <property name="maxAge" value="-1"/> 
bean>

5、 定义会话管理器（sessionManager）
· 操作类：org.apache.shiro.web.session.mgt.DefaultWebSessionManager；

    <bean id="sessionManager"
        class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        
        <property name="globalSessionTimeout" value="1000000"/>
        
        <property name="deleteInvalidSessions" value="true"/>
        
        <property name="sessionValidationScheduler" ref="sessionValidationScheduler"/>
        
        <property name="sessionValidationSchedulerEnabled" value="true"/>
        
        <property name="sessionDAO" ref="sessionDAO"/>
        
        <property name="sessionIdCookie" ref="sessionIdCookie"/>
        
        <property name="sessionIdCookieEnabled" value="true"/>
    bean> 

6、 所有的session一定要在用户正确离开之后才能够进行资源的释放，但是用户如果不点注销，不能够进行session的清空处理，所以为了防止这样的问题，还需要增加有一个会话的验证调度器。
· 调度器程序类：org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler

    <bean id="sessionValidationScheduler"
        class="org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler">
        
        <property name="sessionValidationInterval" value="100000"/>
        
        <property name="sessionManager" ref="sessionManager"/>
    bean> 

7、 随后需要修改安全管理器：

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        
        <property name="realm" ref="memberRealm"/>
        <property name="cacheManager" ref="cacheManager"/>
        
        <property name="sessionManager" ref="sessionManager"/>
    bean>

此时就表示当前WEB开发中的所有的session的处理操作都交由Shiro来进行操作控制。
8、 另外的方法：
· 更新会话：SecurityUtils.getSubject().getSession().touch()；
停止会话：SecurityUtils.getSubject().getSession().stop()；
|-相当于WEB开发中的：session.invalidate()方法的执行；
|-注销：SecurityUtils.getSubject().logout()。

---

Shiro对于Session管理有自己的实现机制，这些机制如果与WEB的操作重叠了，那么Shiro的配置将起作用。