sgq0085

浏览: 439563 次
性别:
来自: 吉林→上海

最近访客更多访客>>

sinkiangscorpio

yunzhu

angle_hxz

zenmash

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

Shiro一些补充

博客分类：

权限控制和单点登陆

shiro memcached-session-manager 会话管理

该文只是对Shiro有一定程度了解之后的补充，基础部分需要自己找相关资料了解

securityManager是Shiro配置的核心，一般情况下可以做如下配置，其中只有realm是必须配置的

<!-- 安全管理器 --> 
<!-- Shiro's main business-tier object for web-enabled applications -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	<property name="realm" ref="shiroDbRealm" />
	<property name="sessionManager" ref="sessionManager"/> 
	<property name="cacheManager" ref="shiroEhcacheManager" />
</bean>

1.realm

realm中两个方法 AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken)登陆认证和 AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals)权限验证的实现位置，基本上都需要自己实现

个别情况下，比如当使用Shiro-Cas的时候，doGetAuthenticationInfo方法不需要自己实现

2.SessionManager

SessionManager默认是 ServletContainerSessionManager

当使用ServletContainerSessionManager时，验证登陆返回值AuthenticationInfo，中的Principal会被保存到HttpSession中，最后构造的shiro.session接口实现类中一个属性为HttpSession

如果使用DefaultWebSessionManager时，会用到SessionDAO，默认的实现是MemorySessionDAO（在其父类DefaultSessionManager中可以看到），如果使用MemorySessionDAO，Principal信息会被保存到MemorySessionDAO维护的一个 ConcurrentMap<Serializable, Session> sessions 中，如果要自己实现中央缓存，就重写该一个AbstractSessionDAO的子类并实现相关方法。

这里有个可能出现bug的地方，可以通过配置sessionIdCookie属性，解决被服务器重写cookie中会话ID，导致会话丢失的问题(默认是“JSESSIONID”，跟tomcat和jetty一样)

<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
    <property name="globalSessionTimeout" value="1800000"/>
    <property name="deleteInvalidSessions" value="true"/>
    <property name="sessionValidationSchedulerEnabled" value="true"/>
    <property name="sessionValidationInterval" value="1800000"/>
    <property name="sessionIdCookie" ref="sessionIdCookie"/>
</bean>

<bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
    <constructor-arg name="name" value="SHRIOSESSIONID"/>
</bean>

所以memcached-session-manager做负载均衡和 DefaultWebSessionManager 是冲突的，可以考虑自己实现一个SessionDAO来完成负载均衡中会话管理功能

3.CacheManager

cacheManager的作用是保存doGetAuthorizationInfo（权限验证）中的返回结果，如果没有配置cacheManager，每一次权限认证都需要重新调用该方法。

4.Filter有很多

灵活的登陆可以采用继承AuthenticationFilter来实现

其中onAccessDenied实现调用登录态验证，或验证通过后跳转页面，返回值可以直接用false，表示不需要框架继续处理了，该方法中全部处理了。

5.自定义SessionId

需要同时启用sessionIdCookie 和 <property name="sessionIdUrlRewritingEnabled" value="false" /> ，sessionIdUrlRewritingEnabled代表不在URL后追加JessionId

分享到：

2.Jedis对Redis数据的读取操作 | flyway 3.0 3.1配置指南

2014-12-05 16:57
浏览 4643
评论(1)
论坛回复 / 浏览 (0 / 8496)
分类:企业架构
查看更多

1 楼 sgq0085 2014-12-10

xfxpeter 写道

转载你一篇文章到我网站上

http://www.zyiqibook.com

注明原帖地址

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

Shiro一些补充

该文只是对Shiro有一定程度了解之后的补充，基础部分需要自己找相关资料了解

1.realm

2.SessionManager

3.CacheManager

4.Filter有很多

5.自定义SessionId

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

Shiro一些补充

该文只是对Shiro有一定程度了解之后的补充，基础部分需要自己找相关资料了解

1.realm

2.SessionManager

3.CacheManager

4.Filter有很多

5.自定义SessionId

评论

发表评论

相关推荐

cas client 4.0 整合 shiro

Shiro通过Redis管理会话实现集群

cas server 4.0深度研究

yale-cas 与 shiro进行整合

yale-cas服务器端深度定制

简单的Spring整合Shiro

keytool+tomcat 单向/双向认证的配置

最近访客更多访客>>