Apache Shiro 使用手册（三）Shiro 授权 - kdboy - ITeye技术网站
博客分类：
授权即访问控制，它将判断用户在应用程序中对资源是否拥有相应的访问权限。
如，判断一个用户有查看页面的权限，编辑数据的权限，拥有某一按钮的权限，以及是否拥有打印的权限等等。
一、授权的三要素
授权有着三个核心元素：权限、角色和用户。
权限
权限是Apache Shiro安全机制最核心的元素。它在应用程序中明确声明了被允许的行为和表现。一个格式良好好的权限声明可以清晰表达出用户对该资源拥有的权限。
大多数的资源会支持典型的CRUD操作（create,read,update,delete）,但是任何操作建立在特定的资源上才是有意义的。因此，权限声明的根本思想就是建立在资源以及操作上。
而我们通过权限声明仅仅能了解这个权限可以在应用程序中做些什么，而不能确定谁拥有此权限。
于是，我们就需要在应用程序中对用户和权限建立关联。
通常的做法就是将权限分配给某个角色，然后将这个角色关联一个或多个用户。
权限声明及粒度
Shiro权限声明通常是使用以冒号分隔的表达式。就像前文所讲，一个权限表达式可以清晰的指定资源类型，允许的操作，可访问的数据。同时，Shiro权限表达式支持简单的通配符，可以更加灵活的进行权限设置。
下面以实例来说明权限表达式。
可查询用户数据
User:view
可查询或编辑用户数据
User:view,edit
可对用户数据进行所有操作
User:* 或 user
可编辑id为123的用户数据
User:edit:123
角色
Shiro支持两种角色模式：
1、传统角色：一个角色代表着一系列的操作，当需要对某一操作进行授权验证时，只需判断是否是该角色即可。这种角色权限相对简单、模糊，不利于扩展。
2、权限角色：一个角色拥有一个权限的集合。授权验证时，需要判断当前角色是否拥有该权限。这种角色权限可以对该角色进行详细的权限描述，适合更复杂的权限设计。
下面将详细描述对两种角色模式的授权实现。
二、授权实现
Shiro支持三种方式实现授权过程：
编码实现
注解实现
JSP Taglig实现
1、基于编码的授权实现
1.1基于传统角色授权实现
当需要验证用户是否拥有某个角色时，可以调用Subject 实例的hasRole*方法验证。
Subject currentUser = SecurityUtils.getSubject();
if (currentUser.hasRole("administrator")) {
//show the admin button
//don't show the button?
Grey it out?
}
相关验证方法如下：
Subject方法描述hasRole(String roleName)当用户拥有指定角色时，返回truehasRoles(List&String& roleNames)按照列表顺序返回相应的一个boolean值数组hasAllRoles(Collection&String& roleNames)如果用户拥有所有指定角色时，返回true
断言支持
Shiro还支持以断言的方式进行授权验证。断言成功，不返回任何值，程序继续执行；断言失败时，将抛出异常信息。使用断言，可以使我们的代码更加简洁。
Subject currentUser = SecurityUtils.getSubject();
//guarantee that the current user is a bank teller and
//therefore allowed to open the account:
currentUser.checkRole("bankTeller");
openBankAccount();
断言的相关方法：
Subject方法描述checkRole(String roleName)断言用户是否拥有指定角色checkRoles(Collection&String& roleNames)断言用户是否拥有所有指定角色checkRoles(String... roleNames)对上一方法的方法重载
1.2 基于权限角色授权实现
相比传统角色模式，基于权限的角色模式耦合性要更低些，它不会因角色的改变而对源代码进行修改，因此，基于权限的角色模式是更好的访问控制方式。
它的代码实现有以下几种实现方式：
1、基于权限对象的实现
创建org.apache.shiro.authz.Permission的实例，将该实例对象作为参数传递给Subject.isPermitted（）进行验证。
Permission printPermission = new PrinterPermission("laserjet4400n", "print");
Subject currentUser = SecurityUtils.getSubject();
if (currentUser.isPermitted(printPermission)) {
//show the Print button
//don't show the button?
Grey it out?
Permission printPermission = new PrinterPermission("laserjet4400n", "print");
Subject currentUser = SecurityUtils.getSubject();
if (currentUser.isPermitted(printPermission)) {
//show the Print button
//don't show the button?
Grey it out?
}
相关方法如下：
Subject方法描述isPermitted(Permission p)Subject拥有制定权限时，返回treuisPermitted(List&Permission& perms)返回对应权限的boolean数组isPermittedAll(Collection&Permission& perms)Subject拥有所有制定权限时，返回true
2、 基于字符串的实现
相比笨重的基于对象的实现方式，基于字符串的实现便显得更加简洁。
Subject currentUser = SecurityUtils.getSubject();
if (currentUser.isPermitted("printer:print:laserjet4400n")) {
//show the Print button
//don't show the button?
Grey it out?
}
使用冒号分隔的权限表达式是org.apache.shiro.authz.permission.WildcardPermission 默认支持的实现方式。
这里分别代表了 资源类型：操作：资源ID
类似基于对象的实现相关方法，基于字符串的实现相关方法：
isPermitted(String perm)、isPermitted(String... perms)、isPermittedAll(String... perms)
基于权限对象的断言实现
Subject currentUser = SecurityUtils.getSubject();
//guarantee that the current user is permitted
//to open a bank account:
Permission p = new AccountPermission("open");
currentUser.checkPermission(p);
openBankAccount();
基于字符串的断言实现
Subject currentUser = SecurityUtils.getSubject();
//guarantee that the current user is permitted
//to open a bank account:
currentUser.checkPermission("account:open");
openBankAccount();
断言实现的相关方法
Subject方法说明checkPermission(Permission p)断言用户是否拥有制定权限checkPermission(String perm)断言用户是否拥有制定权限checkPermissions(Collection&Permission& perms)断言用户是否拥有所有指定权限checkPermissions(String... perms)断言用户是否拥有所有指定权限
2、基于注解的授权实现
Shiro注解支持AspectJ、Spring、Google-Guice等，可根据应用进行不同的配置。
相关的注解：
@ RequiresAuthentication
可以用户类/属性/方法，用于表明当前用户需是经过认证的用户。
@RequiresAuthentication
public void updateAccount(Account userAccount) {
//this method will only be invoked by a
//Subject that is guaranteed authenticated
}
@ RequiresGuest
表明该用户需为”guest”用户
@ RequiresPermissions
当前用户需拥有制定权限
@RequiresPermissions("account:create")
public void createAccount(Account account) {
//this method will only be invoked by a Subject
//that is permitted to create an account
}
@RequiresRoles
当前用户需拥有制定角色
@ RequiresUser
当前用户需为已认证用户或已记住用户
3、基于JSP& TAG的授权实现
Shiro提供了一套JSP标签库来实现页面级的授权控制。
在使用Shiro标签库前，首先需要在JSP引入shiro标签：
&%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %&
下面一一介绍Shiro的标签：
guest标签
验证当前用户是否为“访客”，即未认证（包含未记住）的用户
&shiro:guest&
Please &a href="login.jsp"&Login&/a& or &a href="signup.jsp"&Signup&/a& today!
&/shiro:guest&
user标签
认证通过或已记住的用户
&shiro:user&
Welcome back John!
Not John? Click &a href="login.jsp"&here&a& to login.
&/shiro:user&
authenticated标签
已认证通过的用户。不包含已记住的用户，这是与user标签的区别所在。
&shiro:authenticated&
&a href="updateAccount.jsp"&Update your contact information&/a&.
&/shiro:authenticated&
notAuthenticated标签
未认证通过用户，与authenticated标签相对应。与guest标签的区别是，该标签包含已记住用户。
&shiro:notAuthenticated&
Please &a href="login.jsp"&login&/a& in order to update your credit card information.
&/shiro:notAuthenticated&
principal 标签
输出当前用户信息，通常为登录帐号信息
Hello, &shiro:principal/&, how are you today?
hasRole标签
验证当前用户是否属于该角色
&shiro:hasRole name="administrator"&
&a href="admin.jsp"&Administer the system&/a&
&/shiro:hasRole&
lacksRole标签
与hasRole标签逻辑相反，当用户不属于该角色时验证通过
&shiro:lacksRole name="administrator"&
Sorry, you are not allowed to administer the system.
&/shiro:lacksRole&
hasAnyRole标签
验证当前用户是否属于以下任意一个角色。
&shiro:hasAnyRoles name="developer, project manager, administrator"&
You are either a developer, project manager, or administrator.
&/shiro:lacksRole&
hasPermission标签
验证当前用户是否拥有制定权限
&shiro:hasPermission name="user:create"&
&a href="createUser.jsp"&Create a new User&/a&
&/shiro:hasPermission&
lacksPermission标签
与hasPermission标签逻辑相反，当前用户没有制定权限时，验证通过
&shiro:hasPermission name="user:create"&
&a href="createUser.jsp"&Create a new User&/a&
&/shiro:hasPermission&
三、Shiro授权的内部处理机制
1、在应用程序中调用授权验证方法(Subject的isPermitted*或hasRole*等)
2、Sbuject的实例通常是DelegatingSubject类（或子类）的实例对象，在认证开始时，会委托应用程序设置的securityManager实例调用相应的isPermitted*或hasRole*方法。
3、接下来SecurityManager会委托内置的Authorizer的实例（默认是ModularRealmAuthorizer 类的实例，类似认证实例，它同样支持一个或多个Realm实例认证）调用相应的授权方法。
4、每一个Realm将检查是否实现了相同的 Authorizer 接口。然后，将调用Reaml自己的相应的授权验证方法。
当使用多个Realm时，不同于认证策略处理方式，授权处理过程中：
1、当调用Realm出现异常时，将立即抛出异常，结束授权验证。
2、只要有一个Realm验证成功，那么将认为授权成功，立即返回，结束认证。
浏览 72554
shiro 在权限声明的时候是不是一定要User:view,Customer:edit等等这样的写法？比如随便一个单词作为权限是不是也可以，比如 直接只写一个userEdit，customerEdit？可以自定义的，不需要那么写，stringpermission对应的就是字符串
浏览: 638574 次
来自: 北京
我是用grails架构，有没有一起学习的加我qq1270858 ...
看了文章写的非常好，最近也在看源码，看到底下发现日期是11年写 ...
apache-shiro-1.2.x-reference
实现多个realm时，能不能让程序在运行时指定只走一个real ...
请教一个问题：
我在 shiro－spring 与异步通信 ...shiro标签&@shiro.principal/&怎么显示model对象
请教詹总：用户登陆成功后进入系统，我需要在页面上显示用户姓名，我是用shiro中的&@shiro.principal/&在freemarker页面显示字符串或整个对象显示没有问题，但我要通过&shiro:principal property="userName"/&显示对象中指定的userName属性就怎么也显示不出来。请问这是为什么？需要怎么解决？
有答案了告诉我，我也要用这个，跪谢会话管理——《跟我学Shiro》 - 开涛的博客—公众号：kaitao-1234567，一如既往的干货分享 - ITeye技术网站
博客分类：
Shiro提供了完整的企业级会话管理功能，不依赖于底层容器（如web容器tomcat），不管JavaSE还是JavaEE环境都可以使用，提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。即直接使用Shiro的会话管理可以直接替换如Web容器的会话管理。
所谓会话，即用户访问应用时保持的连接关系，在多次交互中应用能够识别出当前访问的用户是谁，且可以在多次交互中保存一些数据。如访问一些网站时登录成功后，网站可以记住用户，且在退出之前都可以识别当前用户是谁。
Shiro的会话支持不仅可以在普通的JavaSE应用中使用，也可以在JavaEE应用中使用，如web应用。且使用方式是一致的。
login("classpath:shiro.ini", "zhang", "123");
Subject subject = SecurityUtils.getSubject();
Session session = subject.getSession();
登录成功后使用Subject.getSession()即可获取会话；其等价于Subject.getSession(true)，即如果当前没有创建Session对象会创建一个；另外Subject.getSession(false)，如果当前没有创建Session则返回null（不过默认情况下如果启用会话存储功能的话在创建Subject时会主动创建一个Session）。
session.getId();
获取当前会话的唯一标识。
session.getHost();
获取当前Subject的主机地址，该地址是通过HostAuthenticationToken.getHost()提供的。
session.getTimeout();
session.setTimeout(毫秒);
获取/设置当前Session的过期时间；如果不设置默认是会话管理器的全局过期时间。
session.getStartTimestamp();
session.getLastAccessTime();
获取会话的启动时间及最后访问时间；如果是JavaSE应用需要自己定期调用session.touch()去更新最后访问时间；如果是Web应用，每次进入ShiroFilter都会自动调用session.touch()来更新最后访问时间。
session.touch();
session.stop();
更新会话最后访问时间及销毁会话；当Subject.logout()时会自动调用stop方法来销毁会话。如果在web中，调用javax.servlet.http.HttpSession. invalidate()也会自动调用Shiro Session.stop方法进行销毁Shiro的会话。
session.setAttribute("key", "123");
Assert.assertEquals("123", session.getAttribute("key"));
session.removeAttribute("key");
设置/获取/删除会话属性；在整个会话范围内都可以对这些属性进行操作。
Shiro提供的会话可以用于JavaSE/JavaEE环境，不依赖于任何底层容器，可以独立使用，是完整的会话模块。
会话管理器
会话管理器管理着应用中所有Subject的会话的创建、维护、删除、失效、验证等工作。是Shiro的核心组件，顶层组件SecurityManager直接继承了SessionManager，且提供了SessionsSecurityManager实现直接把会话管理委托给相应的SessionManager，DefaultSecurityManager及DefaultWebSecurityManager默认SecurityManager都继承了SessionsSecurityManager。
SecurityManager提供了如下接口：
Session start(SessionContext context); //启动会话
Session getSession(SessionKey key) throws SessionE //根据会话Key获取会话
另外用于Web环境的WebSessionManager又提供了如下接口：
boolean isServletContainerSessions();//是否使用Servlet容器的会话
Shiro还提供了ValidatingSessionManager用于验资并过期会话：
void validateSessions();//验证所有会话是否过期
Shiro提供了三个默认实现：
DefaultSessionManager：DefaultSecurityManager使用的默认实现，用于JavaSE环境；
ServletContainerSessionManager：DefaultWebSecurityManager使用的默认实现，用于Web环境，其直接使用Servlet容器的会话；
DefaultWebSessionManager：用于Web环境的实现，可以替代ServletContainerSessionManager，自己维护着会话，直接废弃了Servlet容器的会话管理。
替换SecurityManager默认的SessionManager可以在ini中配置（shiro.ini）：
sessionManager=org.apache.shiro.session.mgt.DefaultSessionManager
securityManager.sessionManager=$sessionManager
Web环境下的ini配置(shiro-web.ini)：
&!--EndFragment--&
sessionManager=org.apache.shiro.web.session.mgt.ServletContainerSessionManager
securityManager.sessionManager=$sessionManager
另外可以设置会话的全局过期时间（毫秒为单位），默认30分钟：
sessionManager. globalSessionTimeout=1800000
默认情况下globalSessionTimeout将应用给所有Session。可以单独设置每个Session的timeout属性来为每个Session设置其超时时间。
另外如果使用ServletContainerSessionManager进行会话管理，Session的超时依赖于底层Servlet容器的超时时间，可以在web.xml中配置其会话的超时时间（分钟为单位）：
&session-config&
&session-timeout&30&/session-timeout&
&/session-config&
在Servlet容器中，默认使用JSESSIONID Cookie维护会话，且会话默认是跟容器绑定的；在某些情况下可能需要使用自己的会话机制，此时我们可以使用DefaultWebSessionManager来维护会话：
sessionIdCookie=org.apache.shiro.web.servlet.SimpleCookie
sessionManager=org.apache.shiro.web.session.mgt.DefaultWebSessionManager
sessionIdCookie.name=sid
#sessionIdCookie.
#sessionIdCookie.path=
sessionIdCookie.maxAge=1800
sessionIdCookie.httpOnly=true
sessionManager.sessionIdCookie=$sessionIdCookie
sessionManager.sessionIdCookieEnabled=true
securityManager.sessionManager=$sessionManager
sessionIdCookie是sessionManager创建会话Cookie的模板：
sessionIdCookie.name：设置Cookie名字，默认为JSESSIONID；
sessionIdCookie.domain：设置Cookie的域名，默认空，即当前访问的域名；
sessionIdCookie.path：设置Cookie的路径，默认空，即存储在域名根下；
sessionIdCookie.maxAge：设置Cookie的过期时间，秒为单位，默认-1表示关闭浏览器时过期Cookie；
sessionIdCookie.httpOnly：如果设置为true，则客户端不会暴露给客户端脚本代码，使用HttpOnly cookie有助于减少某些类型的跨站点脚本攻击；此特性需要实现了Servlet 2.5 MR6及以上版本的规范的Servlet容器支持；
sessionManager.sessionIdCookieEnabled：是否启用/禁用Session Id Cookie，默认是启用的；如果禁用后将不会设置Session Id Cookie，即默认使用了Servlet容器的JSESSIONID，且通过URL重写（URL中的“;JSESSIONID=id”部分）保存Session Id。
另外我们可以如“sessionManager. sessionIdCookie.name=sid”这种方式操作Cookie模板。
会话监听器
会话监听器用于监听会话创建、过期及停止事件：
public class MySessionListener1 implements SessionListener {
public void onStart(Session session) {//会话创建时触发
System.out.println("会话创建：" + session.getId());
public void onExpiration(Session session) {//会话过期时触发
System.out.println("会话过期：" + session.getId());
public void onStop(Session session) {//退出/会话过期时触发
System.out.println("会话停止：" + session.getId());
如果只想监听某一个事件，可以继承SessionListenerAdapter实现：
public class MySessionListener2 extends SessionListenerAdapter {
public void onStart(Session session) {
System.out.println("会话创建：" + session.getId());
在shiro-web.ini配置文件中可以进行如下配置设置会话监听器：
sessionListener1=com.github.zhangkaitao.shiro.chapter10.web.listener.MySessionListener1
sessionListener2=com.github.zhangkaitao.shiro.chapter10.web.listener.MySessionListener2
sessionManager.sessionListeners=$sessionListener1,$sessionListener2
会话存储/持久化
Shiro提供SessionDAO用于会话的CRUD，即DAO（Data Access Object）模式实现：
//如DefaultSessionManager在创建完session后会调用该方法；如保存到关系数据库/文件系统/NoSQL数据库；即可以实现会话的持久化；返回会话ID；主要此处返回的ID.equals(session.getId())；
Serializable create(Session session);
//根据会话ID获取会话
Session readSession(Serializable sessionId) throws UnknownSessionE
//更新会话；如更新会话最后访问时间/停止会话/设置超时时间/设置移除属性等会调用
void update(Session session) throws UnknownSessionE
//删除会话；当会话过期/会话停止（如用户退出时）会调用
void delete(Session session);
//获取当前所有活跃用户，如果用户量多此方法影响性能
Collection&Session& getActiveSessions();
Shiro内嵌了如下SessionDAO实现：
AbstractSessionDAO提供了SessionDAO的基础实现，如生成会话ID等；CachingSessionDAO提供了对开发者透明的会话缓存的功能，只需要设置相应的CacheManager即可；MemorySessionDAO直接在内存中进行会话维护；而EnterpriseCacheSessionDAO提供了缓存功能的会话维护，默认情况下使用MapCache实现，内部使用ConcurrentHashMap保存缓存的会话。
可以通过如下配置设置SessionDAO：
sessionDAO=org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
sessionManager.sessionDAO=$sessionDAO
Shiro提供了使用Ehcache进行会话存储，Ehcache可以配合TerraCotta实现容器无关的分布式集群。
首先在pom.xml里添加如下依赖：
&dependency&
&groupId&org.apache.shiro&/groupId&
&artifactId&shiro-ehcache&/artifactId&
&version&1.2.2&/version&
&/dependency&
接着配置shiro-web.ini文件：
sessionDAO=org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
sessionDAO. activeSessionsCacheName=shiro-activeSessionCache
sessionManager.sessionDAO=$sessionDAO
cacheManager = org.apache.shiro.cache.ehcache.EhCacheManager
cacheManager.cacheManagerConfigFile=classpath:ehcache.xml
securityManager.cacheManager = $cacheManager
sessionDAO. activeSessionsCacheName：设置Session缓存名字，默认就是shiro-activeSessionCache；
cacheManager：缓存管理器，用于管理缓存的，此处使用Ehcache实现；
cacheManager.cacheManagerConfigFile：设置ehcache缓存的配置文件；
securityManager.cacheManager：设置SecurityManager的cacheManager，会自动设置实现了CacheManagerAware接口的相应对象，如SessionDAO的cacheManager；
然后配置ehcache.xml：
&cache name="shiro-activeSessionCache"
maxEntriesLocalHeap="10000"
overflowToDisk="false"
eternal="false"
diskPersistent="false"
timeToLiveSeconds="0"
timeToIdleSeconds="0"
statistics="true"/&
Cache的名字为shiro-activeSessionCache，即设置的sessionDAO的activeSessionsCacheName属性值。
另外可以通过如下ini配置设置会话ID生成器：
sessionIdGenerator=org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator
sessionDAO.sessionIdGenerator=$sessionIdGenerator
用于生成会话ID，默认就是JavaUuidSessionIdGenerator，使用java.util.UUID生成。
如果自定义实现SessionDAO，继承CachingSessionDAO即可：
public class MySessionDAO extends CachingSessionDAO {
private JdbcTemplate jdbcTemplate = JdbcTemplateUtils.jdbcTemplate();
protected Serializable doCreate(Session session) {
Serializable sessionId = generateSessionId(session);
assignSessionId(session, sessionId);
String sql = "insert into sessions(id, session) values(?,?)";
jdbcTemplate.update(sql, sessionId, SerializableUtils.serialize(session));
return session.getId();
protected void doUpdate(Session session) {
if(session instanceof ValidatingSession && !((ValidatingSession)session).isValid()) {
//如果会话过期/停止 没必要再更新了
String sql = "update sessions set session=? where id=?";
jdbcTemplate.update(sql, SerializableUtils.serialize(session), session.getId());
protected void doDelete(Session session) {
String sql = "delete from sessions where id=?";
jdbcTemplate.update(sql, session.getId());
protected Session doReadSession(Serializable sessionId) {
String sql = "select session from sessions where id=?";
List&String& sessionStrList = jdbcTemplate.queryForList(sql, String.class, sessionId);
if(sessionStrList.size() == 0)
return SerializableUtils.deserialize(sessionStrList.get(0));
doCreate/doUpdate/doDelete/doReadSession分别代表创建/修改/删除/读取会话；此处通过把会话序列化后存储到数据库实现；接着在shiro-web.ini中配置：
sessionDAO=com.github.zhangkaitao.shiro.chapter10.session.dao.MySessionDAO
其他设置和之前一样，因为继承了CachingSessionDAO；所有在读取时会先查缓存中是否存在，如果找不到才到数据库中查找。
Shiro提供了会话验证调度器，用于定期的验证会话是否已过期，如果过期将停止会话；出于性能考虑，一般情况下都是获取会话时来验证会话是否过期并停止会话的；但是如在web环境中，如果用户不主动退出是不知道会话是否过期的，因此需要定期的检测会话是否过期，Shiro提供了会话验证调度器SessionValidationScheduler来做这件事情。
可以通过如下ini配置开启会话验证：
sessionValidationScheduler=org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler
sessionValidationScheduler.interval = 3600000
sessionValidationScheduler.sessionManager=$sessionManager
sessionManager.globalSessionTimeout=1800000
sessionManager.sessionValidationSchedulerEnabled=true
sessionManager.sessionValidationScheduler=$sessionValidationScheduler
sessionValidationScheduler：会话验证调度器，sessionManager默认就是使用ExecutorServiceSessionValidationScheduler，其使用JDK的ScheduledExecutorService进行定期调度并验证会话是否过期；
sessionValidationScheduler.interval：设置调度时间间隔，单位毫秒，默认就是1小时；
sessionValidationScheduler.sessionManager：设置会话验证调度器进行会话验证时的会话管理器；
sessionManager.globalSessionTimeout：设置全局会话超时时间，默认30分钟，即如果30分钟内没有访问会话将过期；
sessionManager.sessionValidationSchedulerEnabled：是否开启会话验证器，默认是开启的；
sessionManager.sessionValidationScheduler：设置会话验证调度器，默认就是使用ExecutorServiceSessionValidationScheduler。
Shiro也提供了使用Quartz会话验证调度器：
sessionValidationScheduler=org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler
sessionValidationScheduler.sessionValidationInterval = 3600000
sessionValidationScheduler.sessionManager=$sessionManager
使用时需要导入shiro-quartz依赖：
&dependency&
&groupId&org.apache.shiro&/groupId&
&artifactId&shiro-quartz&/artifactId&
&version&1.2.2&/version&
&/dependency&
如上会话验证调度器实现都是直接调用AbstractValidatingSessionManager 的validateSessions方法进行验证，其直接调用SessionDAO的getActiveSessions方法获取所有会话进行验证，如果会话比较多，会影响性能；可以考虑如分页获取会话并进行验证，如com.github.zhangkaitao.shiro.chapter10.session.scheduler.MySessionValidationScheduler：
//分页获取会话并验证
String sql = "select session from sessions limit ?,?";
int start = 0; //起始记录
int size = 20; //每页大小
List&String& sessionList = jdbcTemplate.queryForList(sql, String.class, start, size);
while(sessionList.size() & 0) {
for(String sessionStr : sessionList) {
Session session = SerializableUtils.deserialize(sessionStr);
Method validateMethod =
ReflectionUtils.findMethod(AbstractValidatingSessionManager.class,
"validate", Session.class, SessionKey.class);
validateMethod.setAccessible(true);
ReflectionUtils.invokeMethod(validateMethod,
sessionManager, session, new DefaultSessionKey(session.getId()));
} catch (Exception e) {
start = start +
sessionList = jdbcTemplate.queryForList(sql, String.class, start, size);
其直接改造自ExecutorServiceSessionValidationScheduler，如上代码是验证的核心代码，可以根据自己的需求改造此验证调度器器；ini的配置和之前的类似。
如果在会话过期时不想删除过期的会话，可以通过如下ini配置进行设置：
sessionManager.deleteInvalidSessions=false
默认是开启的，在会话过期后会调用SessionDAO的delete方法删除会话：如会话时持久化存储的，可以调用此方法进行删除。
如果是在获取会话时验证了会话已过期，将抛出InvalidSessionException；因此需要捕获这个异常并跳转到相应的页面告诉用户会话已过期，让其重新登录，如可以在web.xml配置相应的错误页面：
&error-page&
&exception-type&org.apache.shiro.session.InvalidSessionException&/exception-type&
&location&/invalidSession.jsp&/location&
&/error-page&
sessionFactory
sessionFactory是创建会话的工厂，根据相应的Subject上下文信息来创建会话；默认提供了SimpleSessionFactory用来创建SimpleSession会话。
首先自定义一个Session：
public class OnlineSession extends SimpleSession {
public static enum OnlineStatus {
on_line("在线"), hidden("隐身"), force_logout("强制退出");
private final S
private OnlineStatus(String info) {
public String getInfo() {
private String userA //用户浏览器类型
private OnlineStatus status = OnlineStatus.on_ //在线状态
private String systemH //用户登录时系统IP
//省略其他
OnlineSession用于保存当前登录用户的在线状态，支持如离线等状态的控制。
接着自定义SessionFactory：
public class OnlineSessionFactory implements SessionFactory {
public Session createSession(SessionContext initData) {
OnlineSession session = new OnlineSession();
if (initData != null && initData instanceof WebSessionContext) {
WebSessionContext sessionContext = (WebSessionContext) initD
HttpServletRequest request = (HttpServletRequest) sessionContext.getServletRequest();
if (request != null) {
session.setHost(IpUtils.getIpAddr(request));
session.setUserAgent(request.getHeader("User-Agent"));
session.setSystemHost(request.getLocalAddr() + ":" + request.getLocalPort());
根据会话上下文创建相应的OnlineSession。
最后在shiro-web.ini配置文件中配置：
sessionFactory=org.apache.shiro.session.mgt.OnlineSessionFactory
sessionManager.sessionFactory=$sessionFactory
更多请参考中的相关代码。
示例源代码：； 探讨Spring/Shiro技术。
浏览 83355
您好，我有个问题想要请教您下：我们公司开发的管理系统分前后台，而且没有分开开发，并要求session不能共享，分别登录。我不知道shiro该如何处理此问题，您有什么想法或建议吗？我也遇到了，这个该怎么解决呢？
我使用redis管理shiro的session,但是出现了一个比较棘手的问题,就是doReadSession()方法执行的特别频繁,每秒接近读取30次,能指导一下怎么调整一下吗 刚看了一个博客说直接继承AbstractSessionDAO时会导致doReadSession方法调用很频繁，可以使用CachingSessionDAO。
lyq881209 写道jinnianshilongnian 写道lyq881209 写道jinnianshilongnian 写道lyq881209 写道分布式session,只有一台机器上启用会话验证调度器，其他机器不启用，这样可行不？会话验证调度器每次都是调用sessionDao中的getActiveSessions来获取session,session太多会不会有问题。1、肯定一台机器调度2、可以禁用会话调度；然后在获取时过期（然后利用如memcached的LRU机制 删除session）；如果使用如db存储；可以分页获取并过期session访问非常频繁，subject.getSession(),doReadSession执行多次。想办法 每次请求只访问一次啊；这个可以做到的 表达错了，是shiro频繁访问doReadSession方法。这个没有影响啊；你在这个方法内做些处理；每次请求只读一次远程用什么方法处理？有没有示例啊？
songofhawk 写道请问这个“SerializableUtils”是哪里的类啊？怎么搜不出来有这样简单用法的序列化工具。至少apache common里面的SerializationUtils就不支持session对象的序列化TAO哥自己写的类哦，在哪篇文章里介绍过呀？这个类不需要输入参数实现过serializable接口么？
请问这个“SerializableUtils”是哪里的类啊？怎么搜不出来有这样简单用法的序列化工具。至少apache common里面的SerializationUtils就不支持session对象的序列化TAO哥自己写的类
java.lang.RuntimeException: serialize session error at com.ickes.dao.SerializableUtils.serialize(SerializableUtils.java:26) at com.ickes.dao.SessionDaoImpl.doUpdate(SessionDaoImpl.java:18)这个方法报的错这段代码跟你的一样啊
if(session instanceof ValidatingSession && !((ValidatingSession)session).isValid()) {&
&&&& //如果会话过期/停止 没必要再更新了&
com.ickes.domian.Session daomain=new com.ickes.domian.Session();
daomain.setId(session.getId().toString());
daomain.setSession(SerializableUtils.serialize(session));
sessionDao.update(daomain);序列化方法：& public static String serialize(Session session) {&&&&&&& try {&&&&&&&&&&& ByteArrayOutputStream bos = new ByteArrayOutputStream();&&&&&&&&&&& ObjectOutputStream oos = new ObjectOutputStream(bos);&&&&&&&&&&& oos.writeObject(session);&&&&&&&&&&& return Base64.encodeToString(bos.toByteArray());&&&&&&& } catch (Exception e) {&&&&&&&&&&& throw new RuntimeException("serialize session error", e);&&&&&&& }&&& }
shiro 拦截器 在响应头location中自动加上JSESSIONIDLocation: http://127.0.0.1/JSESSIONID=03ee36c8-dc2c-35ce9b918a能不能不让shiro在location中加上JSESSIONID信息？这个需要修改源代码，否则没有什么办法
shiro的session管理是怎么做到与容器无关性的。当一个请求来的时候容器不是会自动生成一个session吗？对request进行了wrapper 包装为Shiro自己的Session& 具体可以参考源代码
& 上一页 1
jinnianshilongnian
浏览量：1537958
浏览量：1851169
浏览量：3692778
浏览量：162287
浏览量：998196
浏览量：175929
浏览量：2848995
浏览量：366200
开涛，我把lua.conf里的配置改成目录访问形式后，如下：
好好好。。。
zhuxunjun 写道看了好几遍这篇文章，还是解不开这个疑问 ...
javax.net.ssl.SSLHandshakeExcep ...
谢谢大神的无私奉献。祝你生活愉快！！谢谢