shiro，redis，cache实现共享session代码中几个注意的地方改进

y806839048

浏览: 1118460 次
性别:
来自: 上海

最近访客更多访客>>

Jamnsin

mengqingyu

一往无前bhz

VeChar

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

2019-12 ( 14)
2019-11 ( 18)
2019-10 ( 29)
更多存档...

博客分类：

shiro

shiro

shiro，redis，cache实现共享session代码中几个注意的地方改进

即shiro把session部分交给我redis管理：注意：

token.setRememberMe(true);// 设计记住用户，这样才能机器转义后cookie-->session的反向生成

shiro集成cas就是把认证这块交给了cas

1, setExtNo 就这个特殊还没跳转完，还没写好cookie就用了（判断没有就用shiro自己的）

2，在登录的时候没有当前的cookie就用来存 websession -->LoginFilter

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

throws IOException, ServletException {

Subject currentUser = SecurityUtils.getSubject(); // 获取当前的Subject

// 验证是否登录成功

String resultPageURL = "/flex/rbac/preLogin.action";// InternalResourceViewResolver.FORWARD_URL_PREFIX

// + "/";

String username = request.getParameter("j_username");

String password = request.getParameter("j_password");

RequestDispatcher rd = null;

HttpServletRequest request1 =(HttpServletRequest) ((WebSubject)SecurityUtils.getSubject()).getServletRequest(); //ServletActionContext.getRequest();

Cookie[] cookies = request1.getCookies();

String username1=getCookieValue(cookies, "username");

//此时还没有就用shrio自己的，后续生成cookie,username1此时还是上一次的就用shiro自己的

if(username!=null&&((username1==null||username1=="")||!username.equals(username1))){

username1=username;

}

WebSession webSession= WebSessionManager.getInstance().getSession(username1);

if(webSession==null){

webSession=WebSessionManager.getInstance().createSession(username1);

}

String uk="Subject"+username1;

Subject currentUserrds=(Subject)webSession.getAttribute(uk);

if(currentUserrds!=null&&currentUserrds.getSession()!=null){

currentUser=currentUserrds;

}

// 验证是否登录成功

if (currentUser.isAuthenticated()) {

System.out.println("用户[" + currentUser.getSession().getAttribute("j_username") + "]登录认证通过");

authenticationFilter.setLoginSession(request, response);

rd = request.getRequestDispatcher("/flex/rbac/getLoginIndex.action");

// response.setBufferSize(1024000000);

rd.forward(request, response);

return;

// chain.doFilter(request, response);

} else {

if (StringUtils.isEmpty(username) || StringUtils.isEmpty(password)) {

HttpServletResponse res = (HttpServletResponse)response;

request.setAttribute("msg", "您的账号存在信息不全的问题，请联系管理员完善信息!");

System.out.println("登录过滤器@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@");

rd = request.getRequestDispatcher("/flex/rbac/preLogin.action");

rd.forward(request, response);

return;

}

// password = MD5.encryptMD5(Base64.encode(password));

/* password = MD5.encryptMD5(Base64.encode("111111")); */

UsernamePasswordToken token = new UsernamePasswordToken(username, password); // 为了验证登录用户而封装的token

token.setRememberMe(true);// 设计记住用户

try {

// 在调用了login方法后,SecurityManager会收到AuthenticationToken,并将其发送给已配置的Realm执行必须的认证检查

// 每个Realm都能在必要时对提交的AuthenticationTokens作出反应

// 所以这一步在调用login(token)方法时,它会走到AuthenticationRealm.doGetAuthenticationInfo()方法中,具体验证方式详见此方法

currentUser.login(token);

resultPageURL = "/flex/rbac/preLogin.action";

} catch (UnknownAccountException uae) {

System.out.println("对用户[" + username + "]进行登录验证..验证未通过,未知账户");

request.setAttribute("msg", "未知账户");//message_login

} catch (IncorrectCredentialsException ice) {

System.out.println("对用户[" + username + "]进行登录验证..验证未通过,错误的凭证");

request.setAttribute("msg", "密码不正确");

} catch (LockedAccountException lae) {

System.out.println("对用户[" + username + "]进行登录验证..验证未通过,账户已锁定");

request.setAttribute("msg", "账户已锁定");

} catch (ExcessiveAttemptsException eae) {

System.out.println("对用户[" + username + "]进行登录验证..验证未通过,错误次数过多");

request.setAttribute("msg", "用户名或密码错误次数过多");

} catch (AuthenticationException ae) {

// 通过处理Shiro的运行时AuthenticationException就可以控制用户登录失败或密码错误时的情景

System.out.println("对用户[" + username + "]进行登录验证..验证未通过,堆栈轨迹如下");

ae.printStackTrace();

request.setAttribute("msg", "用户名或密码不正确");

}

if (currentUser.isAuthenticated()) {

System.out.println("用户[" + username + "]登录认证通过");

authenticationFilter.setLoginSession(request, response);

rd = request.getRequestDispatcher("/flex/rbac/getLoginIndex.action");

rd.forward(request, response);

return;

// chain.doFilter(request, response);

} else {

token.clear();

}

// chain.doFilter(request, response);

// HttpServletResponse res = (HttpServletResponse)response;

// request.setAttribute("msg", "您的账号存在信息不全的问题，请联系管理员完善信息!");

// System.out.println("登录过滤器@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@");

rd = request.getRequestDispatcher(resultPageURL);

rd.forward(request, response);

return;

}

之前保存的是其他账户（紧上次）

String username1=getCookieValue(cookies, "username");同一个浏览器切换账户时，用的是上次成功的（只有登录完成之后有response才cookie记录）

没设置cooking共享成功但是登录成功（浏览器记住了缓存的缘故），后面用共享session的时候就出错（所以要清缓存）

Subject currentUser = SecurityUtils.getSubject(); // 获取当前的Subject 这个直接根据cookie获取，对比session 判断状态// 验证是否登录成功，和输入框五个

if (currentUser.isAuthenticated())

j_acegi_security_check这就就是优先走isAuthenticated校验

3，

在认证通过之后才setcookies--》走完loginfilter调用MyAuthenticationFilter这里的savecooike方法

MyAuthenticationFilter

ShiroDbRealm(这时就用了)，没设置cooking共享成功但是登录成功（浏览器记住了缓存的缘故），后面用共享session的时候就出错（所以要清缓存）

loginfilt还是拿到了以前的用户（没有正常退出（浏览器记住了缓存的缘故））

就不走ShiroDbRealm就无法记录共享的session信息

1ShiroDbRealm

2MyAuthenticationFilter

跳转以后才有cookie

private void userRolesInit(){

//Subject currentUser = SecurityUtils.getSubject();

//UserDetailsBean shiroUser = (UserDetailsBean) currentUser.getPrincipal();//userDetailsSessionService.getUserId();

HttpServletRequest request1 =(HttpServletRequest) ((WebSubject)SecurityUtils.getSubject()).getServletRequest();

Cookie[] cookies = request1.getCookies();

String username=getCookieValue(cookies, "username");

WebSession webSession= WebSessionManager.getInstance().getSession(username);

ie浏览器的时候，cookie会比chrome写的慢，这就出现chrome可以拿到，ie还是拿不到，要比较久，这时需处理拿不到的时候用shiro自带的

Cookie[] cookies = request1.getCookies();

String username=getCookieValue(cookies, "username");

Subject currentUser = SecurityUtils.getSubject();

UserDetailsBean shiroUser = (currentUser==null?new UserDetailsBean():(UserDetailsBean)currentUser.getPrincipal());

logger.info("username=========="+username);

logger.info("shiroUser=========="+shiroUser);

logger.info("shiroUser.getUserId()=========="+shiroUser.getUserId());

if(username!=null&&(shiroUser==null||shiroUser.getUserId()==null||username.equals(shiroUser.getUserId()))){

WebSession webSession= WebSessionManager.getInstance().getSession(username);

shiroUser = (UserDetailsBean) webSession.getAttribute(username);

}

================================

上述用到的自己利用cookie不需要

其实shiro实现了session的共享之后切换

Subject currentUser = SecurityUtils.getSubject();

UserDetailsBean shiroUser = (UserDetailsBean)currentUser.getPrincipal();

这个方法的值也是利用cookie中的sessionid从cookie中获取，然后直接从共享缓存获取

不需要如下代码自己把客户信息缓存到一个session（自定义的和shiro无关的）中。这也就不需要自己向cookie写入键值，然后拿出用其setvalue,getvalue

public String getUserId()

{

try {

InetAddress address = InetAddress.getLocalHost();//获取的是本地的IP地址 //PC-20140317PXKX/192.168.0.121

String hostAddress = address.getHostAddress();

logger.info("============ip地址==================="+hostAddress);

System.out.println(hostAddress);

}catch (Exception e){

}

HttpServletRequest request1 =(HttpServletRequest) ((WebSubject)SecurityUtils.getSubject()).getServletRequest();

Cookie[] cookies = request1.getCookies();

String username=getCookieValue(cookies, "username");

Subject currentUser = SecurityUtils.getSubject();

UserDetailsBean shiroUser = (currentUser==null?new UserDetailsBean():(UserDetailsBean)currentUser.getPrincipal());

// logger.info("username=========="+username);

// logger.info("shiroUser=========="+shiroUser);

// logger.info("shiroUser.getUserId()==========");

// if(username!=null&&(shiroUser==null||shiroUser.getUserId()==null||username.equals(shiroUser.getUserId()))){

// WebSession webSession= WebSessionManager.getInstance().getSession(username);

// if(webSession!=null){

// UserDetailsBean shiroUser1 = (UserDetailsBean) webSession.getAttribute(username);

// if(shiroUser1!=null){

// logger.info("shiroUser1=========="+shiroUser1);

// shiroUser =shiroUser1;

// }else{

// shiroUser =(UserDetailsBean)currentUser.getPrincipal();

// }

// logger.info("shiroUser2=========="+shiroUser);

// }else{

// shiroUser =(UserDetailsBean)currentUser.getPrincipal();

// }

logger.info("shiroUser3=========="+shiroUser);

String ccidExtno= request1.getParameter("j_extno");

shiroUser.setExtNo(ccidExtno==null?"":ccidExtno);

// Subject currentUser = SecurityUtils.getSubject();

// UserDetailsBean shiroUser = (UserDetailsBean) currentUser.getPrincipal();//userDetailsSessionService.getUserId();

//UserDetailsBean agentUser = (UserDetailsBean)SecurityContextHolder.getContext().getAuthentication().getPrincipal();

return shiroUser.getUserId();

}

注意

MyAuthenticationFilter中onLoginSuccess中的session.stop();需要注掉，否则用框架的登陆走了onLoginSuccess然后又清了session会报错

shiro.rar (67.6 KB)
下载次数: 1

MyAuthenticationFilter.rar (3.1 KB)
下载次数: 1

分享到：

内存生成公用的订单编号序列号 | shrio redis cacahe三者结合减少用cacahe ...

2017-11-28 14:03
浏览 852
评论(0)
分类:行业应用
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论