Apache Shiro 会话管理

在安全框领域，ApacheShiro提供了一个独一无二的东西：一个完整的企业级Session解决方案，从最简单的命令行及智能手机应用到最大的集群企业Web应用程序。如果你需要session支持，你可以使用Shiro的Session支持，比Web容器或使用EJB有状态会话Bean这两种机制的使用和管理更为简单。

下面是Shiro对Session支持的一些特点：

1） POJO/J2SEbased(IoCfriendly)-Shiro的一切（包括所有Session和SessionManagement方面）都是基于接口和POJO实现。这可以让你轻松地配置所有拥有任何JavaBeans兼容配置格式（如JSON，YAML，SpringXML或类似的机制）的会话组件。你也可以轻松地扩展Shiro的组件或编写你自己所需的来完全自定义sessionmanagement。

2） EasyCustomSessionStorage-因为Shiro的Session对象是基于POJO的，会话数据可以很容易地存储在任意数量的数据源。这允许你自定义你的应用程序会话数据的确切位置——例如，文件系统，联网的分布式缓存，关系数据库，或专有的数据存储。

3） Container-IndependentClustering!-Shiro的会话可以很容易地聚集通过使用任何随手可用的网络缓存产品，像Ehcache+Terracotta，Coherence，GigaSpaces，等等。这意味着你可以为Shiro配置会话群集一次且仅一次，无论你部署到什么容器中，你的会话将以相同的方式聚集。不需要容器的具体配置！

4） HeterogeneousClientAccess-与EJB或web会话不同，Shiro会话可以被各种客户端技术“共享”。例如，一个桌面应用程序可以“看到”和“共享”同一个被使用的物理会话通过在Web应用程序中的同一用户。我们不知道除了Shiro以外的其他框架能够支持这一点。

5） EventListeners-事件监听器允许你在会话生命周期监听生命周期事件。你可以侦听这些事件和对自定义应用程序的行为作出反应——例如，更新用户记录当他们的会话过期时。

6） HostAddressRetention-ShiroSessions从会话发起地方保留IP地址或主机名。这允许你确定用户所在，并作出相应的反应（通常是在IP分配确定的企业内部网络环境）。

7） Inactivity/ExpirationSupport-由于不活动导致会话过期，如果你希望的话，它们可以通过touch()方法来保持它们“活着”。这在RIA(富互联网应用)环境非常有用，用户可能会使用桌面应用程序，但可能不会经常与服务器进行通信，但该服务器的会话不应过期。

8） TransparentWebUse-Shiro的网络支持，充分地实现和支持关于Sessions（HttpSession接口和它的所有相关的API）的Servlet2.5规范.这意味着你可以使用在现有Web应用程序中使用Shiro会话，并且你不需要改变任何现有的Web代码。

9） CanbeusedforSSO-由于Shiro会话是基于POJO的，它们可以很容易地存储在任何数据源，而且它们可以跨程序“共享”。我们称之为"poorman'sSSO"，并且它可以用来提供简单的登录体验，由于共享的会话能够保留身份验证状态。

在Shiro中使用Session非常简单，可以通过与当前执行的Subject交互来获取Session。例如：

SubjectcurrentUser=SecurityUtils.getSubject();

Sessionsession=currentUser.getSession();

session.setAttribute("someKey",someValue);

对于那些熟悉HttpServletRequestAPI的人，Subject.getSession(booleancreate)方法与HttpServletRequest.getSession(booleancreate)方法有着异曲同工之效。

l如果该Subject已经拥有一个Session，则boolean参数被忽略且Session被立即返回。

l如果该Subject还没有一个Session且create参数为true，则创建一个新的会话并返回该会话。

l如果该Subject还没有一个Session且create参数为false，则不会创建新的会话且返回null。

l 当你获取了一个Subject的Session后，你可以用它来做许多事情，像设置或取得attribute，设置其超时时间，等等。