第二十四章 在线会话管理——《跟我学Shiro》

 

目录贴： 跟我学Shiro目录贴

 

有时候需要显示当前在线人数、当前在线用户，有时候可能需要强制某个用户下线等；此时就需要获取相应的在线用户并进行一些操作。

 

本章基于《第十六章 综合实例》代码构建。 

 

会话控制器

@RequiresPermissions("session:*")
@Controller
@RequestMapping("/sessions")
public class SessionController {
    @Autowired
    private SessionDAO sessionDAO;
    @RequestMapping()
    public String list(Model model) {
        Collection<Session> sessions =  sessionDAO.getActiveSessions();
        model.addAttribute("sessions", sessions);
        model.addAttribute("sesessionCount", sessions.size());
        return "sessions/list";
    }
    @RequestMapping("/{sessionId}/forceLogout")
    public String forceLogout(@PathVariable("sessionId") String sessionId, 
        RedirectAttributes redirectAttributes) {
        try {
            Session session = sessionDAO.readSession(sessionId);
            if(session != null) {
                session.setAttribute(
                    Constants.SESSION_FORCE_LOGOUT_KEY, Boolean.TRUE);
            }
        } catch (Exception e) {/*ignore*/}
        redirectAttributes.addFlashAttribute("msg", "强制退出成功！");
        return "redirect:/sessions";
    }
} 

1、list方法：提供了展示所有在线会话列表，通过sessionDAO.getActiveSessions()获取所有在线的会话。

2、forceLogout方法：强制退出某一个会话，此处只在指定会话中设置Constants.SESSION_FORCE_LOGOUT_KEY属性，之后通过ForceLogoutFilter判断并进行强制退出。

 

此处展示会话列表的缺点是：sessionDAO.getActiveSessions()提供了获取所有活跃会话集合，如果做一般企业级应用问题不大，因为在线用户不多；但是如果应用的在线用户非常多，此种方法就不适合了，解决方案就是分页获取： 

Page<Session> getActiveSessions(int pageNumber, int pageSize);

Page对象除了包含pageNumber、pageSize属性之外，还包含totalSessions（总会话数）、Collection<Session> （当前页的会话）。

 

分页获取时，如果是MySQL这种关系数据库存储会话比较好办，如果使用Redis这种数据库可以考虑这样存储：

session.id=会话序列化数据
session.ids=会话id Set列表（接着可以使用LLEN获取长度，LRANGE分页获取） 

 

会话创建时（如sessionId=123），那么redis命令如下所示：   

SET session.123 "Session序列化数据"
LPUSH session.ids 123    

 

会话删除时（如sessionId=123），那么redis命令如下所示： 

DEL session.123
LREM session.ids 123    

 

获取总活跃会话：

LLEN session.ids

 

分页获取活跃会话： 

LRANGE key 0 10 #获取到会话ID
MGET session.1 session.2……  #根据第一条命令获取的会话ID获取会话数据 

 

ForceLogoutFilter

public class ForceLogoutFilter extends AccessControlFilter {
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
        Session session = getSubject(request, response).getSession(false);
        if(session == null) {
            return true;
        }
        return session.getAttribute(Constants.SESSION_FORCE_LOGOUT_KEY) == null;
    }
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        try {
            getSubject(request, response).logout();//强制退出
        } catch (Exception e) {/*ignore exception*/}
        String loginUrl = getLoginUrl() + (getLoginUrl().contains("?") ? "&" : "?") + "forceLogout=1";
        WebUtils.issueRedirect(request, response, loginUrl);
        return false;
    }
} 

强制退出拦截器，如果用户会话中存在Constants.SESSION_FORCE_LOGOUT_KEY属性，表示被管理员强制退出了；然后调用Subject.logout()退出，且重定向到登录页面（自动拼上fourceLogout请求参数）。

 

登录控制器

在LoginController类的showLoginForm方法中最后添加如下代码： 

if(req.getParameter("forceLogout") != null) {
    model.addAttribute("error", "您已经被管理员强制退出，请重新登录");
} 

即如果有请求参数forceLogout表示是管理员强制退出的，在界面上显示相应的信息。

 

Shiro配置spring-config-shiro.xml

和之前的唯一区别是在shiroFilter中的filterChainDefinitions拦截器链定义中添加了forceLogout拦截器： 

/** = forceLogout,user,sysUser

测试

1、首先输入http://localhost:8080/chapter24/跳转到登录页面输入admin/123456登录；

2、登录成功后，点击菜单的“会话管理”，可以看到当前在线会话列表： 

3、点击“强制退出”按钮，会话相应的用户再点击界面的话会看到如下界面，表示已经被强制退出了： 

 

另外可参考我的ES中的在线会话管理功能：UserOnlineController.java，其使用数据库存储会话，并分页获取在线会话。

 

        

 

 

示例源代码：https://github.com/zhangkaitao/shiro-example；可加群 231889722 探讨Spring/Shiro技术。

        

  

评论

11 楼 sjzcmlt 2018-08-22  

t哥，已经读完，想要跪地膜拜

10 楼 流不驻的记忆 2018-05-08  

       

9 楼 Aries穆 2016-07-01  

为什么我的sessionDAO.getActiveSessions为空呢

8 楼 ruiliang1988 2016-03-29  

这里写错了？你妺，又在忽悠我。
session.ids=会话id Set列表（接着可以使用LLEN获取长度，LRANGE分页获取）  

你这是list列表的命令啊，set是集合，

这里用list还有一个不足，我记得list是不能判断元素是否存在

7 楼 bill1 2015-10-28  

请教一个问题，如果用户没有退出，只有浏览器关闭了，为什么session中还是有用户啊？

6 楼 酒意hn 2015-09-22  

为啥登陆控制器是这样的呢
@RequestMapping(value = "/login"    )
    public String showLoginForm(HttpServletRequest req, Model model) {
        String exceptionClassName = (String)req.getAttribute("shiroLoginFailure");
        System.out.println("exceptionClassName="+exceptionClassName);
        String error = null;
        if(UnknownAccountException.class.getName().equals(exceptionClassName)) {
            error = "用户名/密码错误1";
        } else if(IncorrectCredentialsException.class.getName().equals(exceptionClassName)) {
            error = "用户名/密码错误2";
        } else if(exceptionClassName != null) {
            error = "其他错误：" + exceptionClassName;
        }
        model.addAttribute("error", error);
        if(req.getParameter("forceLogout") != null) {
            model.addAttribute("error", "您已经被管理员强制退出，请重新登录");
        }
        return "login";
    }
这岂不是一直都是错误，永远登不上去吗。。。

5 楼 liuwenjie517333 2015-06-30  

一直想写篇文章。文章的名字就叫一次“http登录”，所发生的故事。把登录相关的安全性东西：比如通信安全用的https，防机器登录的验证码技术，密码在后台的加密存储，加密比较，登录失败策越等全部写出来。开涛能开篇文章介绍下登录业务不，随着知识的认识加深，感觉要做好登录业务，也不是件简单的事。

4 楼 liuwenjie517333 2015-06-30  

一直想写篇文章。文章的名字就叫一次“http登录”，所发生的故事。把登录相关的安全性东西：比如通信安全用的https，防机器登录的验证码技术，密码在后台的加密存储，加密比较，登录失败策越等全部写出来。涛+哥能开篇文章介绍下登录业务不，随着知识的认识加深，感觉要做好登录业务，也不是件简单的事。

3 楼 liuwenjie517333 2015-06-30  

一直想写篇文章。文章的名字就叫一次“http登录”，所发生的故事。把登录相关的安全性东西：比如通信安全用的https，防机器登录的验证码技术，密码在后台的加密存储，加密比较，登录失败策越等全部写出来。涛 哥能开篇文章介绍下登录业务不，随着知识的认识加深，感觉要做好登录业务，也不是件简单的事。

2 楼 560130911 2014-04-21  

560130911 写道

存在一个问题呢，如果同时使用并发人数控制功能，在线人数统计将会出现问题，即踢出的人的session还存在，但是取不到用户登入信息

没有问题了，是我搞错了

1 楼 560130911 2014-04-21  

存在一个问题呢，如果同时使用并发人数控制功能，在线人数统计将会出现问题，即踢出的人的session还存在，但是取不到用户登入信息