`
jinnianshilongnian
  • 浏览: 21514098 次
  • 性别: Icon_minigender_1
博客专栏
5c8dac6a-21dc-3466-8abb-057664ab39c7
跟我学spring3
浏览量:2420554
D659df3e-4ad7-3b12-8b9a-1e94abd75ac3
Spring杂谈
浏览量:3010289
43989fe4-8b6b-3109-aaec-379d27dd4090
跟开涛学SpringMVC...
浏览量:5640622
1df97887-a9e1-3328-b6da-091f51f886a1
Servlet3.1规范翻...
浏览量:260243
4f347843-a078-36c1-977f-797c7fc123fc
springmvc杂谈
浏览量:1597966
22722232-95c1-34f2-b8e1-d059493d3d98
hibernate杂谈
浏览量:250375
45b32b6f-7468-3077-be40-00a5853c9a48
跟我学Shiro
浏览量:5860630
Group-logo
跟我学Nginx+Lua开...
浏览量:702897
5041f67a-12b2-30ba-814d-b55f466529d5
亿级流量网站架构核心技术
浏览量:785763
社区版块
存档分类
最新评论

第十章 会话管理——《跟我学Shiro》

阅读更多

 

目录贴: 跟我学Shiro目录贴

 

Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。即直接使用Shiro的会话管理可以直接替换如Web容器的会话管理。

 

会话

所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。

 

 

Shiro的会话支持不仅可以在普通的JavaSE应用中使用,也可以在JavaEE应用中使用,如web应用。且使用方式是一致的。 

login("classpath:shiro.ini", "zhang", "123");
Subject subject = SecurityUtils.getSubject();
Session session = subject.getSession(); 

登录成功后使用Subject.getSession()即可获取会话;其等价于Subject.getSession(true),即如果当前没有创建Session对象会创建一个;另外Subject.getSession(false),如果当前没有创建Session则返回null(不过默认情况下如果启用会话存储功能的话在创建Subject时会主动创建一个Session)。

 

session.getId();

获取当前会话的唯一标识。

  

session.getHost();

获取当前Subject的主机地址,该地址是通过HostAuthenticationToken.getHost()提供的。 

 

session.getTimeout();
session.setTimeout(毫秒); 

获取/设置当前Session的过期时间;如果不设置默认是会话管理器的全局过期时间。

  

session.getStartTimestamp();
session.getLastAccessTime();

获取会话的启动时间及最后访问时间;如果是JavaSE应用需要自己定期调用session.touch()去更新最后访问时间;如果是Web应用,每次进入ShiroFilter都会自动调用session.touch()来更新最后访问时间。    

 

session.touch();
session.stop(); 

更新会话最后访问时间及销毁会话;当Subject.logout()时会自动调用stop方法来销毁会话。如果在web中,调用javax.servlet.http.HttpSession. invalidate()也会自动调用Shiro Session.stop方法进行销毁Shiro的会话。 

 

session.setAttribute("key", "123");
Assert.assertEquals("123", session.getAttribute("key"));
session.removeAttribute("key");

设置/获取/删除会话属性;在整个会话范围内都可以对这些属性进行操作。 

 

Shiro提供的会话可以用于JavaSE/JavaEE环境,不依赖于任何底层容器,可以独立使用,是完整的会话模块。

 

会话管理器

会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。是Shiro的核心组件,顶层组件SecurityManager直接继承了SessionManager,且提供了SessionsSecurityManager实现直接把会话管理委托给相应的SessionManager,DefaultSecurityManager及DefaultWebSecurityManager默认SecurityManager都继承了SessionsSecurityManager。

 

 

SecurityManager提供了如下接口:

 

Session start(SessionContext context); //启动会话
Session getSession(SessionKey key) throws SessionException; //根据会话Key获取会话 

 

另外用于Web环境的WebSessionManager又提供了如下接口:

 

boolean isServletContainerSessions();//是否使用Servlet容器的会话

 

Shiro还提供了ValidatingSessionManager用于验资并过期会话: 

void validateSessions();//验证所有会话是否过期


 

Shiro提供了三个默认实现:

DefaultSessionManager:DefaultSecurityManager使用的默认实现,用于JavaSE环境;

ServletContainerSessionManager:DefaultWebSecurityManager使用的默认实现,用于Web环境,其直接使用Servlet容器的会话;

DefaultWebSessionManager:用于Web环境的实现,可以替代ServletContainerSessionManager,自己维护着会话,直接废弃了Servlet容器的会话管理。

 

替换SecurityManager默认的SessionManager可以在ini中配置(shiro.ini):

 

[main]
sessionManager=org.apache.shiro.session.mgt.DefaultSessionManager
securityManager.sessionManager=$sessionManager 

 

 

Web环境下的ini配置(shiro-web.ini):

 

<!--EndFragment-->

 

[main]
sessionManager=org.apache.shiro.web.session.mgt.ServletContainerSessionManager
securityManager.sessionManager=$sessionManager

   

 

另外可以设置会话的全局过期时间(毫秒为单位),默认30分钟:

 

sessionManager. globalSessionTimeout=1800000 

 

默认情况下globalSessionTimeout将应用给所有Session。可以单独设置每个Session的timeout属性来为每个Session设置其超时时间。

 

另外如果使用ServletContainerSessionManager进行会话管理,Session的超时依赖于底层Servlet容器的超时时间,可以在web.xml中配置其会话的超时时间(分钟为单位): 

<session-config>
  <session-timeout>30</session-timeout>
</session-config>

  

在Servlet容器中,默认使用JSESSIONID Cookie维护会话,且会话默认是跟容器绑定的;在某些情况下可能需要使用自己的会话机制,此时我们可以使用DefaultWebSessionManager来维护会话:

sessionIdCookie=org.apache.shiro.web.servlet.SimpleCookie
sessionManager=org.apache.shiro.web.session.mgt.DefaultWebSessionManager
sessionIdCookie.name=sid
#sessionIdCookie.domain=sishuok.com
#sessionIdCookie.path=
sessionIdCookie.maxAge=1800
sessionIdCookie.httpOnly=true
sessionManager.sessionIdCookie=$sessionIdCookie
sessionManager.sessionIdCookieEnabled=true
securityManager.sessionManager=$sessionManager 

sessionIdCookie是sessionManager创建会话Cookie的模板:

sessionIdCookie.name:设置Cookie名字,默认为JSESSIONID;

sessionIdCookie.domain:设置Cookie的域名,默认空,即当前访问的域名;

sessionIdCookie.path:设置Cookie的路径,默认空,即存储在域名根下;

sessionIdCookie.maxAge:设置Cookie的过期时间,秒为单位,默认-1表示关闭浏览器时过期Cookie;

sessionIdCookie.httpOnly:如果设置为true,则客户端不会暴露给客户端脚本代码,使用HttpOnly cookie有助于减少某些类型的跨站点脚本攻击;此特性需要实现了Servlet 2.5 MR6及以上版本的规范的Servlet容器支持;

sessionManager.sessionIdCookieEnabled:是否启用/禁用Session Id Cookie,默认是启用的;如果禁用后将不会设置Session Id Cookie,即默认使用了Servlet容器的JSESSIONID,且通过URL重写(URL中的“;JSESSIONID=id”部分)保存Session Id。

 

另外我们可以如“sessionManager. sessionIdCookie.name=sid”这种方式操作Cookie模板。

 

会话监听器

会话监听器用于监听会话创建、过期及停止事件: 

public class MySessionListener1 implements SessionListener {
    @Override
    public void onStart(Session session) {//会话创建时触发
        System.out.println("会话创建:" + session.getId());
    }
    @Override
    public void onExpiration(Session session) {//会话过期时触发
        System.out.println("会话过期:" + session.getId());
    }
    @Override
    public void onStop(Session session) {//退出/会话过期时触发
        System.out.println("会话停止:" + session.getId());
    }  
}

 

如果只想监听某一个事件,可以继承SessionListenerAdapter实现:

public class MySessionListener2 extends SessionListenerAdapter {
    @Override
    public void onStart(Session session) {
        System.out.println("会话创建:" + session.getId());
    }
}

 

在shiro-web.ini配置文件中可以进行如下配置设置会话监听器:

sessionListener1=com.github.zhangkaitao.shiro.chapter10.web.listener.MySessionListener1
sessionListener2=com.github.zhangkaitao.shiro.chapter10.web.listener.MySessionListener2
sessionManager.sessionListeners=$sessionListener1,$sessionListener2

 

会话存储/持久化 

Shiro提供SessionDAO用于会话的CRUD,即DAO(Data Access Object)模式实现:

//如DefaultSessionManager在创建完session后会调用该方法;如保存到关系数据库/文件系统/NoSQL数据库;即可以实现会话的持久化;返回会话ID;主要此处返回的ID.equals(session.getId());
Serializable create(Session session);
//根据会话ID获取会话
Session readSession(Serializable sessionId) throws UnknownSessionException;
//更新会话;如更新会话最后访问时间/停止会话/设置超时时间/设置移除属性等会调用
void update(Session session) throws UnknownSessionException;
//删除会话;当会话过期/会话停止(如用户退出时)会调用
void delete(Session session);
//获取当前所有活跃用户,如果用户量多此方法影响性能
Collection<Session> getActiveSessions(); 

Shiro内嵌了如下SessionDAO实现:

AbstractSessionDAO提供了SessionDAO的基础实现,如生成会话ID等;CachingSessionDAO提供了对开发者透明的会话缓存的功能,只需要设置相应的CacheManager即可;MemorySessionDAO直接在内存中进行会话维护;而EnterpriseCacheSessionDAO提供了缓存功能的会话维护,默认情况下使用MapCache实现,内部使用ConcurrentHashMap保存缓存的会话。

 

可以通过如下配置设置SessionDAO:

sessionDAO=org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
sessionManager.sessionDAO=$sessionDAO 

Shiro提供了使用Ehcache进行会话存储,Ehcache可以配合TerraCotta实现容器无关的分布式集群。

 

首先在pom.xml里添加如下依赖:

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-ehcache</artifactId>
    <version>1.2.2</version>
</dependency> 

 

接着配置shiro-web.ini文件:    

sessionDAO=org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
sessionDAO. activeSessionsCacheName=shiro-activeSessionCache
sessionManager.sessionDAO=$sessionDAO
cacheManager = org.apache.shiro.cache.ehcache.EhCacheManager
cacheManager.cacheManagerConfigFile=classpath:ehcache.xml
securityManager.cacheManager = $cacheManager 

sessionDAO. activeSessionsCacheName:设置Session缓存名字,默认就是shiro-activeSessionCache;

cacheManager:缓存管理器,用于管理缓存的,此处使用Ehcache实现;

cacheManager.cacheManagerConfigFile:设置ehcache缓存的配置文件;

securityManager.cacheManager:设置SecurityManager的cacheManager,会自动设置实现了CacheManagerAware接口的相应对象,如SessionDAO的cacheManager;

 

然后配置ehcache.xml:

<cache name="shiro-activeSessionCache"
       maxEntriesLocalHeap="10000"
       overflowToDisk="false"
       eternal="false"
       diskPersistent="false"
       timeToLiveSeconds="0"
       timeToIdleSeconds="0"
       statistics="true"/> 

Cache的名字为shiro-activeSessionCache,即设置的sessionDAO的activeSessionsCacheName属性值。

 

另外可以通过如下ini配置设置会话ID生成器:

sessionIdGenerator=org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator
sessionDAO.sessionIdGenerator=$sessionIdGenerator 

用于生成会话ID,默认就是JavaUuidSessionIdGenerator,使用java.util.UUID生成。

 

如果自定义实现SessionDAO,继承CachingSessionDAO即可:

public class MySessionDAO extends CachingSessionDAO {
    private JdbcTemplate jdbcTemplate = JdbcTemplateUtils.jdbcTemplate();
     protected Serializable doCreate(Session session) {
        Serializable sessionId = generateSessionId(session);
        assignSessionId(session, sessionId);
        String sql = "insert into sessions(id, session) values(?,?)";
        jdbcTemplate.update(sql, sessionId, SerializableUtils.serialize(session));
        return session.getId();
    }
protected void doUpdate(Session session) {
    if(session instanceof ValidatingSession && !((ValidatingSession)session).isValid()) {
        return; //如果会话过期/停止 没必要再更新了
    }
        String sql = "update sessions set session=? where id=?";
        jdbcTemplate.update(sql, SerializableUtils.serialize(session), session.getId());
    }
    protected void doDelete(Session session) {
        String sql = "delete from sessions where id=?";
        jdbcTemplate.update(sql, session.getId());
    }
    protected Session doReadSession(Serializable sessionId) {
        String sql = "select session from sessions where id=?";
        List<String> sessionStrList = jdbcTemplate.queryForList(sql, String.class, sessionId);
        if(sessionStrList.size() == 0) return null;
        return SerializableUtils.deserialize(sessionStrList.get(0));
    }
} 

doCreate/doUpdate/doDelete/doReadSession分别代表创建/修改/删除/读取会话;此处通过把会话序列化后存储到数据库实现;接着在shiro-web.ini中配置:

sessionDAO=com.github.zhangkaitao.shiro.chapter10.session.dao.MySessionDAO

其他设置和之前一样,因为继承了CachingSessionDAO;所有在读取时会先查缓存中是否存在,如果找不到才到数据库中查找。

 

会话验证

Shiro提供了会话验证调度器,用于定期的验证会话是否已过期,如果过期将停止会话;出于性能考虑,一般情况下都是获取会话时来验证会话是否过期并停止会话的;但是如在web环境中,如果用户不主动退出是不知道会话是否过期的,因此需要定期的检测会话是否过期,Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。

 

可以通过如下ini配置开启会话验证:    

sessionValidationScheduler=org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler
sessionValidationScheduler.interval = 3600000
sessionValidationScheduler.sessionManager=$sessionManager
sessionManager.globalSessionTimeout=1800000
sessionManager.sessionValidationSchedulerEnabled=true
sessionManager.sessionValidationScheduler=$sessionValidationScheduler 

sessionValidationScheduler:会话验证调度器,sessionManager默认就是使用ExecutorServiceSessionValidationScheduler,其使用JDK的ScheduledExecutorService进行定期调度并验证会话是否过期;

sessionValidationScheduler.interval:设置调度时间间隔,单位毫秒,默认就是1小时;

sessionValidationScheduler.sessionManager:设置会话验证调度器进行会话验证时的会话管理器;

sessionManager.globalSessionTimeout:设置全局会话超时时间,默认30分钟,即如果30分钟内没有访问会话将过期;

sessionManager.sessionValidationSchedulerEnabled:是否开启会话验证器,默认是开启的;

sessionManager.sessionValidationScheduler:设置会话验证调度器,默认就是使用ExecutorServiceSessionValidationScheduler。

 

Shiro也提供了使用Quartz会话验证调度器:

sessionValidationScheduler=org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler
sessionValidationScheduler.sessionValidationInterval = 3600000
sessionValidationScheduler.sessionManager=$sessionManager 

使用时需要导入shiro-quartz依赖:

<dependency>
     <groupId>org.apache.shiro</groupId>
     <artifactId>shiro-quartz</artifactId>
     <version>1.2.2</version>
</dependency>

    

如上会话验证调度器实现都是直接调用AbstractValidatingSessionManager 的validateSessions方法进行验证,其直接调用SessionDAO的getActiveSessions方法获取所有会话进行验证,如果会话比较多,会影响性能;可以考虑如分页获取会话并进行验证,如com.github.zhangkaitao.shiro.chapter10.session.scheduler.MySessionValidationScheduler:

//分页获取会话并验证
String sql = "select session from sessions limit ?,?";
int start = 0; //起始记录
int size = 20; //每页大小
List<String> sessionList = jdbcTemplate.queryForList(sql, String.class, start, size);
while(sessionList.size() > 0) {
  for(String sessionStr : sessionList) {
    try {
      Session session = SerializableUtils.deserialize(sessionStr);
      Method validateMethod = 
        ReflectionUtils.findMethod(AbstractValidatingSessionManager.class, 
            "validate", Session.class, SessionKey.class);
      validateMethod.setAccessible(true);
      ReflectionUtils.invokeMethod(validateMethod, 
        sessionManager, session, new DefaultSessionKey(session.getId()));
    } catch (Exception e) {
        //ignore
    }
  }
 start = start + size;
  sessionList = jdbcTemplate.queryForList(sql, String.class, start, size);
} 

其直接改造自ExecutorServiceSessionValidationScheduler,如上代码是验证的核心代码,可以根据自己的需求改造此验证调度器器;ini的配置和之前的类似。

 

如果在会话过期时不想删除过期的会话,可以通过如下ini配置进行设置:

sessionManager.deleteInvalidSessions=false

默认是开启的,在会话过期后会调用SessionDAO的delete方法删除会话:如会话时持久化存储的,可以调用此方法进行删除。

 

如果是在获取会话时验证了会话已过期,将抛出InvalidSessionException;因此需要捕获这个异常并跳转到相应的页面告诉用户会话已过期,让其重新登录,如可以在web.xml配置相应的错误页面:

<error-page>
    <exception-type>org.apache.shiro.session.InvalidSessionException</exception-type>
    <location>/invalidSession.jsp</location>
</error-page>

 

sessionFactory

sessionFactory是创建会话的工厂,根据相应的Subject上下文信息来创建会话;默认提供了SimpleSessionFactory用来创建SimpleSession会话。

 

首先自定义一个Session:

public class OnlineSession extends SimpleSession {
    public static enum OnlineStatus {
        on_line("在线"), hidden("隐身"), force_logout("强制退出");
        private final String info;
        private OnlineStatus(String info) {
            this.info = info;
        }
        public String getInfo() {
            return info;
        }
    }
    private String userAgent; //用户浏览器类型
    private OnlineStatus status = OnlineStatus.on_line; //在线状态
    private String systemHost; //用户登录时系统IP
    //省略其他
} 

OnlineSession用于保存当前登录用户的在线状态,支持如离线等状态的控制。

 

接着自定义SessionFactory:

public class OnlineSessionFactory implements SessionFactory {

    @Override
    public Session createSession(SessionContext initData) {
        OnlineSession session = new OnlineSession();
        if (initData != null && initData instanceof WebSessionContext) {
            WebSessionContext sessionContext = (WebSessionContext) initData;
            HttpServletRequest request = (HttpServletRequest) sessionContext.getServletRequest();
            if (request != null) {
                session.setHost(IpUtils.getIpAddr(request));
                session.setUserAgent(request.getHeader("User-Agent"));
                session.setSystemHost(request.getLocalAddr() + ":" + request.getLocalPort());
            }
        }
        return session;
    }
} 

根据会话上下文创建相应的OnlineSession。

 

最后在shiro-web.ini配置文件中配置:

sessionFactory=org.apache.shiro.session.mgt.OnlineSessionFactory
sessionManager.sessionFactory=$sessionFactory

      

更多请参考https://github.com/zhangkaitao/es/tree/master/web/src/main/java/org/apache/shiro中的相关代码。

 

 

示例源代码:https://github.com/zhangkaitao/shiro-example; 探讨Spring/Shiro技术。

 

32
10
分享到:
评论
41 楼 suntao3215 2017-11-21  
waj_615 写道
请问shiro加入authc权限控制时,为什么postman调用成功,但是angular调用返回302呢

这是异步请求的问题,用postman发的请求实际上是同步请求,同步请求可以做重定向。但是angular用ajax是异步的,ajax是没有办法重定向的,所以就会报302。

建议在shiro中写个过滤器,继承FormAuthenticationFilter类(这个就是authc),重写onAccessDenied方法,在方法里判断请求是否是ajax,如果是ajax就返回一个json数据,前台根据这个json数据做重定向。
40 楼 Amllng 2017-10-25  
gandalf17178 写道
kaitao哥,我想问下我使用shiro配置自定义的sessionManager,用户首次打开页面时没有往客户端写入sessionId及值,刷新下页面发现客户端有sessionid和值了,但是服务器报了个org.apache.shiro.session.UnknownSessionException: There is no session with id [b66eac1e-2f3c-4f39-87a9-21e62214eba6]的错误,再刷新客户端又没有sessionid及值,再刷新页面发现客户端有sessionid和值了,但是服务器报了个org.apache.shiro.session.UnknownSessionException: There is no session with id 的错误...一直这样刷新,客户端又sessionid和没有sessionid循环交替着

这是什么原因呢?

把自定义的sessionManager注释掉不使用就不会出现这样的问题

我也遇到这个问题,sessionManager中设置的globalSessionTimeout过期后,再尝试刷新页面就会报这个错误,并且会为这次会话再重新生成一个id,并没有进行拦截跳转到登录页面,老哥这个是什么原因?求告知,谢谢!
39 楼 ioandy 2017-09-28  
楼主,shiro-web.ini中的online让我有点摸不着头脑,用在什么地方的?
38 楼 sunnyhappylg 2017-09-06  
是否可以结合验证码之类的整体讲下
37 楼 sunnyhappylg 2017-09-06  
jinnianshilongnian 写道
Dead_knight 写道
jinnianshilongnian 写道
Dead_knight 写道
需要做集群的话,就要对session做分布式缓存了

我觉得可以加一章分布式会话的章节(配合多项目权限管理)

是的。因为shiro的官方文档也有专门的章节介绍如何做分布式:
http://shiro.apache.org/session-management.html#SessionManagement-SessionClustering

不过他的分布式主要还是配合ehcache集群,实际做的时候可能存储到memcached/redis之类的db等;所以官网相当于没说; ;可以配合redis讲一个多项目分布式权限管理/会话管理的集成;

实际项目中分布式的时候 是不是都要会话啊 现在好多互联网应用都是就JWT token一类的吧
36 楼 xiajfchina 2017-08-25  
xul0038 写道
amberlike 写道
您好,
我有个问题想要请教您下:
我们公司开发的管理系统分前后台,而且没有分开开发,并要求session不能共享,分别登录
。我不知道shiro该如何处理此问题,您有什么想法或建议吗?

我也遇到了,这个该怎么解决呢?



前后端分离这个解决了吗 同求
35 楼 xiajfchina 2017-08-25  
萌小短 写道
waj_615 写道
请问shiro加入authc权限控制时,为什么postman调用成功,但是angular调用返回302呢
亲,后来问题解决了么


[size=x-large]前后端分离这个问题解决了吗?同求[/size]
34 楼 萌小短 2017-07-04  
waj_615 写道
请问shiro加入authc权限控制时,为什么postman调用成功,但是angular调用返回302呢
亲,后来问题解决了么
33 楼 waj_615 2017-04-01  
请问shiro加入authc权限控制时,为什么postman调用成功,但是angular调用返回302呢
32 楼 xul0038 2017-03-29  
amberlike 写道
您好,
我有个问题想要请教您下:
我们公司开发的管理系统分前后台,而且没有分开开发,并要求session不能共享,分别登录
。我不知道shiro该如何处理此问题,您有什么想法或建议吗?

我也遇到了,这个该怎么解决呢?
31 楼 hui1170907501 2016-12-28  
hz18263896678 写道
我使用redis管理shiro的session,但是出现了一个比较棘手的问题,就是doReadSession()方法执行的特别频繁,每秒接近读取30次,能指导一下怎么调整一下吗

刚看了一个博客说直接继承AbstractSessionDAO时会导致doReadSession方法调用很频繁,可以使用CachingSessionDAO。
30 楼 gandalf17178 2016-12-12  
kaitao哥,我想问下我使用shiro配置自定义的sessionManager,用户首次打开页面时没有往客户端写入sessionId及值,刷新下页面发现客户端有sessionid和值了,但是服务器报了个org.apache.shiro.session.UnknownSessionException: There is no session with id [b66eac1e-2f3c-4f39-87a9-21e62214eba6]的错误,再刷新客户端又没有sessionid及值,再刷新页面发现客户端有sessionid和值了,但是服务器报了个org.apache.shiro.session.UnknownSessionException: There is no session with id 的错误...一直这样刷新,客户端又sessionid和没有sessionid循环交替着

这是什么原因呢?

把自定义的sessionManager注释掉不使用就不会出现这样的问题
29 楼 hz18263896678 2016-01-20  
我使用redis管理shiro的session,但是出现了一个比较棘手的问题,就是doReadSession()方法执行的特别频繁,每秒接近读取30次,能指导一下怎么调整一下吗
28 楼 bmcsy 2016-01-05  
博主,请教下,我继承了SessionListener,也配置了sessionManager,一般什么情况会导致只有onStart被触发,其它两上方法就没动静呢?谢谢
27 楼 schoolgan 2015-12-25  
请问一下,你的UML建模工具叫什么名字?
26 楼 bill1 2015-11-08  
jinnianshilongnian 写道
lyq881209 写道
jinnianshilongnian 写道
lyq881209 写道
jinnianshilongnian 写道
lyq881209 写道
分布式session,只有一台机器上启用会话验证调度器,其他机器不启用,这样可行不?会话验证调度器每次都是调用sessionDao中的getActiveSessions来获取session,session太多会不会有问题。

1、肯定一台机器调度
2、可以禁用会话调度;然后在获取时过期(然后利用如memcached的LRU机制 删除session);如果使用如db存储;可以分页获取并过期

session访问非常频繁,subject.getSession(),doReadSession执行多次。


想办法 每次请求只访问一次啊;这个可以做到的

表达错了,是shiro频繁访问doReadSession方法。

这个没有影响啊;你在这个方法内做些处理;每次请求只读一次远程

用什么方法处理?有没有示例啊?
25 楼 lipingping951462 2015-06-18  
Session getSession(SessionKey key) throws SessionException; //根据会话Key获取会话  

报错如下:java.lang.IllegalArgumentException: SessionKey must be an HTTP compatible implementation.
at org.apache.shiro.web.session.mgt.ServletContainerSessionManager.getSession(ServletContainerSessionManager.java:70)
at org.apache.shiro.mgt.SessionsSecurityManager.getSession(SessionsSecurityManager.java:125)
at qnit.modules.user.service.UserOnlineService.forceLogout(UserOnlineService.java:70)


这是为什么??????????
Session kickoutSession = sessionManager
.getSession(new DefaultSessionKey(sessionid)); sessionid正常
24 楼 amberlike 2014-12-26  
您好,
我有个问题想要请教您下:
我们公司开发的管理系统分前后台,而且没有分开开发,并要求session不能共享,分别登录
。我不知道shiro该如何处理此问题,您有什么想法或建议吗?
23 楼 songofhawk 2014-10-29  
12806474 写道
songofhawk 写道
请问这个“SerializableUtils”是哪里的类啊?怎么搜不出来有这样简单用法的序列化工具。至少apache common里面的SerializationUtils就不支持session对象的序列化

TAO哥自己写的类


哦,在哪篇文章里介绍过呀?这个类不需要输入参数实现过serializable接口么?
22 楼 12806474 2014-10-27  
songofhawk 写道
请问这个“SerializableUtils”是哪里的类啊?怎么搜不出来有这样简单用法的序列化工具。至少apache common里面的SerializationUtils就不支持session对象的序列化

TAO哥自己写的类

相关推荐

    第十七章 OAuth2集成——《跟我学Shiro》 - 开涛的博客 - ITeye技术网站2

    在《跟我学Shiro》的第十七章中,作者开涛介绍了如何集成OAuth2,使用Apache Oltu作为OAuth2服务端的实现。实现中涉及以下关键部分: 1. **依赖**:引入了`authzserver`(授权服务器依赖)和`resourceserver`(资源...

    [资料][Java]跟我学Shiro教程_Java跟我学Shiro教程_shiro_

    Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。...阅读 "[资料][Java]跟我学Shiro教程.pdf",你将得到更详细的步骤指导和实践案例。

    跟我一起学shiro 张开涛

    《跟我一起学Shiro——张开涛》这本书是针对初学者的优秀教程,旨在帮助读者快速理解和掌握Shiro的基本用法和核心概念。 **1. Shiro基础** Shiro的基础概念包括Subject、Realms、Cryptography和Session。Subject是...

    跟我学Shiro

    通过《跟我学Shiro》.pdf,你将学习到如何创建 Realm 实现数据源连接、配置 Shiro 安全框架、处理登录和登出逻辑、实现权限控制以及在实际项目中部署和调优 Shiro。 10. **最佳实践** 学习 Shiro 的过程中,了解...

    跟我学Shiro教程.rar

    "跟我学Shiro教程"这个资源显然是为了帮助学习者深入理解并掌握Shiro的核心概念和实际应用。 在Shiro的认证服务中,其主要目标是确认用户身份。这通常涉及用户登录过程,其中用户提供的凭证(如用户名和密码)被...

    跟我学Shiro教程及其课程分章节源码

    Apache Shiro是一个强大易用的Java安全框架,...我找了一版 跟我学Shiro教程PDF,里面讲的很详细.里面还附带了每个章节的源码.值得你收藏哟!饮水思源——原文出自:http://jinnianshilongnian.iteye.com/blog/2049092

    《跟我学Shiro》- 张开涛.txt

    ***txt文件中含有下载地址** 《跟我学Shiro》- 张开涛,PDF版本,带目录,清晰。 示例源代码:https://github.com/zhangkaitao/shiro-example; 加qun 231889722 探讨Spring/Shiro技术。

    跟我学Shiro-java开发+spring开发

    《跟我学Shiro-java开发+spring开发》是一个深入学习Java安全框架Shiro和Spring集成的教程,旨在帮助开发者掌握这两个关键技术在实际项目中的应用。Shiro是一个强大的且易用的Java安全框架,提供了认证、授权、加密...

    跟我学shiro

    - **背景**:Apache Shiro 是一个强大且易于使用的 Java 安全框架,为开发者提供了一站式的安全解决方案,涵盖了认证、授权、加密以及会话管理等多个方面。 - **特性**: - **易用性**:相比其他复杂的安全框架,...

    shiro教程 跟我学Shiro教程

    "跟我学Shiro教程"资源包包含了全面学习Shiro所需的重要材料,包括文档和实践示例。 首先,我们来看《Apache_Shiro参考手册中文版.pdf》。这本书籍详细介绍了Shiro框架的各个组件和使用方法。通过阅读,你可以了解...

    跟我学Shiro教程 pdf

    《跟我学Shiro》PDF完结版下载, Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不...

    跟我学Shiro第11章Demo

    在"跟我学Shiro第11章Demo"中,我们将深入探讨Shiro的核心组件,特别是其在缓存管理和会话管理中的应用。 首先,我们关注的是Cache缓存。Shiro支持缓存来提高性能,避免频繁的数据库查询。它允许开发者将敏感操作的...

    跟我学shiro源代码

    "跟我学Shiro源代码"是一份针对Shiro框架的详细教程,通过这本书,读者能够深入理解Shiro的核心概念和用法,并通过实际的代码示例来提升自己的技能。 1. **身份验证(Authentication)**:Shiro提供了一套完善的...

    跟我学shiro文档及源码

    在《跟我学Shiro》这本书中,作者深入浅出地讲解了 Shiro 的核心概念与实际应用场景,配合源码分析,有助于读者更好地理解和掌握 Shiro 的工作原理。 1. **Shiro 概述** - Shiro 的设计目标是简化应用安全开发,它...

    跟我学 Shiro - v1.1.rar

    Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Sp ring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所 ...

    跟我学Shiro源码

    "跟我学Shiro源码"这个主题旨在深入理解Shiro的工作原理,通过分析源码来提升我们对安全编程的认知。 1. **Shiro架构** Shiro 的核心组件包括 Realm(认证与授权信息源)、SecurityManager(安全管理器)、Subject...

Global site tag (gtag.js) - Google Analytics