Shiro 會話管理

會話管理

Shiro 提供了完整的企業(yè)級會話管理功能，不依賴于底層容器（如 web 容器 tomcat），不管 JavaSE 還是 JavaEE 環(huán)境都可以使用，提供了會話管理、會話事件監(jiān)聽、會話存儲 / 持久化、容器無關(guān)的集群、失效 / 過期支持、對 Web 的透明支持、SSO 單點登錄的支持等特性。即直接使用 Shiro 的會話管理可以直接替換如 Web 容器的會話管理。

會話

所謂會話，即用戶訪問應(yīng)用時保持的連接關(guān)系，在多次交互中應(yīng)用能夠識別出當前訪問的用戶是誰，且可以在多次交互中保存一些數(shù)據(jù)。如訪問一些網(wǎng)站時登錄成功后，網(wǎng)站可以記住用戶，且在退出之前都可以識別當前用戶是誰。

Shiro 的會話支持不僅可以在普通的 JavaSE 應(yīng)用中使用，也可以在 JavaEE 應(yīng)用中使用，如 web 應(yīng)用。且使用方式是一致的。

login("classpath:shiro.ini", "zhang", "123");
Subject subject = SecurityUtils.getSubject();
Session session = subject.getSession();

登錄成功后使用 Subject.getSession() 即可獲取會話；其等價于 Subject.getSession(true)，即如果當前沒有創(chuàng)建 Session 對象會創(chuàng)建一個；另外 Subject.getSession(false)，如果當前沒有創(chuàng)建 Session 則返回 null（不過默認情況下如果啟用會話存儲功能的話在創(chuàng)建 Subject 時會主動創(chuàng)建一個 Session）。

session.getId();

獲取當前會話的唯一標識。

session.getHost();

獲取當前 Subject 的主機地址，該地址是通過 HostAuthenticationToken.getHost() 提供的。

session.getTimeout();
session.setTimeout(毫秒);

獲取 / 設(shè)置當前 Session 的過期時間；如果不設(shè)置默認是會話管理器的全局過期時間。

session.getStartTimestamp();
session.getLastAccessTime();

獲取會話的啟動時間及最后訪問時間；如果是 JavaSE 應(yīng)用需要自己定期調(diào)用 session.touch() 去更新最后訪問時間；如果是 Web 應(yīng)用，每次進入 ShiroFilter 都會自動調(diào)用 session.touch() 來更新最后訪問時間。

session.touch();
session.stop();

更新會話最后訪問時間及銷毀會話；當 Subject.logout() 時會自動調(diào)用 stop 方法來銷毀會話。如果在 web 中，調(diào)用 javax.servlet.http.HttpSession. invalidate() 也會自動調(diào)用 Shiro Session.stop 方法進行銷毀 Shiro 的會話。

session.setAttribute("key", "123");
Assert.assertEquals("123", session.getAttribute("key"));
session.removeAttribute("key");

設(shè)置 / 獲取 / 刪除會話屬性；在整個會話范圍內(nèi)都可以對這些屬性進行操作。

Shiro 提供的會話可以用于 JavaSE/JavaEE 環(huán)境，不依賴于任何底層容器，可以獨立使用，是完整的會話模塊。

會話管理器

會話管理器管理著應(yīng)用中所有 Subject 的會話的創(chuàng)建、維護、刪除、失效、驗證等工作。是 Shiro 的核心組件，頂層組件 SecurityManager 直接繼承了 SessionManager，且提供了SessionsSecurityManager 實現(xiàn)直接把會話管理委托給相應(yīng)的 SessionManager，DefaultSecurityManager 及 DefaultWebSecurityManager 默認 SecurityManager 都繼承了 SessionsSecurityManager。

SecurityManager 提供了如下接口：

Session start(SessionContext context); //啟動會話
Session getSession(SessionKey key) throws SessionException; //根據(jù)會話Key獲取會話

另外用于 Web 環(huán)境的 WebSessionManager 又提供了如下接口：

boolean isServletContainerSessions();// 是否使用 Servlet 容器的會話

Shiro 還提供了 ValidatingSessionManager 用于驗證并過期會話：

void validateSessions();// 驗證所有會話是否過期

Shiro 提供了三個默認實現(xiàn)：

DefaultSessionManager：DefaultSecurityManager 使用的默認實現(xiàn)，用于 JavaSE 環(huán)境；
ServletContainerSessionManager：DefaultWebSecurityManager 使用的默認實現(xiàn)，用于 Web 環(huán)境，其直接使用 Servlet 容器的會話；
DefaultWebSessionManager：用于 Web 環(huán)境的實現(xiàn)，可以替代 ServletContainerSessionManager，自己維護著會話，直接廢棄了 Servlet 容器的會話管理。

替換 SecurityManager 默認的 SessionManager 可以在 ini 中配置（shiro.ini）：

[main]
sessionManager=org.apache.shiro.session.mgt.DefaultSessionManager
securityManager.sessionManager=$sessionManager

Web 環(huán)境下的 ini 配置 (shiro-web.ini)：

<!--EndFragment-->

[main]
sessionManager=org.apache.shiro.web.session.mgt.ServletContainerSessionManager
securityManager.sessionManager=$sessionManager

另外可以設(shè)置會話的全局過期時間（毫秒為單位），默認 30 分鐘：

sessionManager. globalSessionTimeout=1800000

默認情況下 globalSessionTimeout 將應(yīng)用給所有 Session?？梢詥为氃O(shè)置每個 Session 的 timeout 屬性來為每個 Session 設(shè)置其超時時間。

另外如果使用 ServletContainerSessionManager 進行會話管理，Session 的超時依賴于底層 Servlet 容器的超時時間，可以在 web.xml 中配置其會話的超時時間（分鐘為單位）：

<session-config>
  <session-timeout>30</session-timeout>
</session-config>

在 Servlet 容器中，默認使用 JSESSIONID Cookie 維護會話，且會話默認是跟容器綁定的；在某些情況下可能需要使用自己的會話機制，此時我們可以使用 DefaultWebSessionManager 來維護會話：

sessionIdCookie=org.apache.shiro.web.servlet.SimpleCookie
sessionManager=org.apache.shiro.web.session.mgt.DefaultWebSessionManager
sessionIdCookie.name=sid
\#sessionIdCookie.domain=sishuok.com
\#sessionIdCookie.path=
sessionIdCookie.maxAge=1800
sessionIdCookie.httpOnly=true
sessionManager.sessionIdCookie=$sessionIdCookie
sessionManager.sessionIdCookieEnabled=true
securityManager.sessionManager=$sessionManager

• sessionIdCookie 是 sessionManager 創(chuàng)建會話 Cookie 的模板：
• sessionIdCookie.name：設(shè)置 Cookie 名字，默認為 JSESSIONID；
• sessionIdCookie.domain：設(shè)置 Cookie 的域名，默認空，即當前訪問的域名；
• sessionIdCookie.path：設(shè)置 Cookie 的路徑，默認空，即存儲在域名根下；
• sessionIdCookie.maxAge：設(shè)置 Cookie 的過期時間，秒為單位，默認 - 1 表示關(guān)閉瀏覽器時過期 Cookie；
• sessionIdCookie.httpOnly：如果設(shè)置為 true，則客戶端不會暴露給客戶端腳本代碼，使用 HttpOnly cookie 有助于減少某些類型的跨站點腳本攻擊；此特性需要實現(xiàn)了 Servlet 2.5 MR6 及以上版本的規(guī)范的 Servlet 容器支持；
• sessionManager.sessionIdCookieEnabled：是否啟用 / 禁用 Session Id Cookie，默認是啟用的；如果禁用后將不會設(shè)置 Session Id Cookie，即默認使用了 Servlet 容器的 JSESSIONID，且通過 URL 重寫（URL 中的 “;JSESSIONID=id” 部分）保存 Session Id。

另外我們可以如 “sessionManager. sessionIdCookie.name=sid” 這種方式操作 Cookie 模板。

會話監(jiān)聽器

會話監(jiān)聽器用于監(jiān)聽會話創(chuàng)建、過期及停止事件：

public class MySessionListener1 implements SessionListener {
    @Override
    public void onStart(Session session) {//會話創(chuàng)建時觸發(fā)
        System.out.println("會話創(chuàng)建：" + session.getId());
    }
    @Override
    public void onExpiration(Session session) {//會話過期時觸發(fā)
        System.out.println("會話過期：" + session.getId());
    }
    @Override
    public void onStop(Session session) {//退出/會話過期時觸發(fā)
        System.out.println("會話停止：" + session.getId());
    }  
}

如果只想監(jiān)聽某一個事件，可以繼承 SessionListenerAdapter 實現(xiàn)：

public class MySessionListener2 extends SessionListenerAdapter {
    @Override
    public void onStart(Session session) {
        System.out.println("會話創(chuàng)建：" + session.getId());
    }
}

在 shiro-web.ini 配置文件中可以進行如下配置設(shè)置會話監(jiān)聽器：

sessionListener1=com.github.zhangkaitao.shiro.chapter10.web.listener.MySessionListener1
sessionListener2=com.github.zhangkaitao.shiro.chapter10.web.listener.MySessionListener2
sessionManager.sessionListeners=$sessionListener1,$sessionListener2

會話存儲 / 持久化

Shiro 提供 SessionDAO 用于會話的 CRUD，即 DAO（Data Access Object）模式實現(xiàn)：

//如DefaultSessionManager在創(chuàng)建完session后會調(diào)用該方法；如保存到關(guān)系數(shù)據(jù)庫/文件系統(tǒng)/NoSQL數(shù)據(jù)庫；即可以實現(xiàn)會話的持久化；返回會話ID；主要此處返回的ID.equals(session.getId())；
Serializable create(Session session);
//根據(jù)會話ID獲取會話
Session readSession(Serializable sessionId) throws UnknownSessionException;
//更新會話；如更新會話最后訪問時間/停止會話/設(shè)置超時時間/設(shè)置移除屬性等會調(diào)用
void update(Session session) throws UnknownSessionException;
//刪除會話；當會話過期/會話停止（如用戶退出時）會調(diào)用
void delete(Session session);
//獲取當前所有活躍用戶，如果用戶量多此方法影響性能
Collection<Session> getActiveSessions();

Shiro 內(nèi)嵌了如下 SessionDAO 實現(xiàn)：

AbstractSessionDAO 提供了 SessionDAO 的基礎(chǔ)實現(xiàn)，如生成會話 ID 等；CachingSessionDAO 提供了對開發(fā)者透明的會話緩存的功能，只需要設(shè)置相應(yīng)的 CacheManager 即可；MemorySessionDAO 直接在內(nèi)存中進行會話維護；而 EnterpriseCacheSessionDAO 提供了緩存功能的會話維護，默認情況下使用 MapCache 實現(xiàn)，內(nèi)部使用 ConcurrentHashMap 保存緩存的會話。

可以通過如下配置設(shè)置 SessionDAO：

sessionDAO=org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
sessionManager.sessionDAO=$sessionDAO

Shiro 提供了使用 Ehcache 進行會話存儲，Ehcache 可以配合 TerraCotta 實現(xiàn)容器無關(guān)的分布式集群。

首先在 pom.xml 里添加如下依賴：

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-ehcache</artifactId>
    <version>1.2.2</version>
</dependency>

接著配置 shiro-web.ini 文件：

sessionDAO=org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO
sessionDAO. activeSessionsCacheName=shiro-activeSessionCache
sessionManager.sessionDAO=$sessionDAO
cacheManager = org.apache.shiro.cache.ehcache.EhCacheManager
cacheManager.cacheManagerConfigFile=classpath:ehcache.xml
securityManager.cacheManager = $cacheManager

• sessionDAO. activeSessionsCacheName：設(shè)置 Session 緩存名字，默認就是 shiro-activeSessionCache；
• cacheManager：緩存管理器，用于管理緩存的，此處使用 Ehcache 實現(xiàn)；
• cacheManager.cacheManagerConfigFile：設(shè)置 ehcache 緩存的配置文件；
• securityManager.cacheManager：設(shè)置 SecurityManager 的 cacheManager，會自動設(shè)置實現(xiàn)了 CacheManagerAware 接口的相應(yīng)對象，如 SessionDAO 的 cacheManager；

然后配置 ehcache.xml：

<cache name="shiro-activeSessionCache"
       maxEntriesLocalHeap="10000"
       overflowToDisk="false"
       eternal="false"
       diskPersistent="false"
       timeToLiveSeconds="0"
       timeToIdleSeconds="0"
       statistics="true"/>

Cache 的名字為 shiro-activeSessionCache，即設(shè)置的 sessionDAO 的 activeSessionsCacheName 屬性值。

另外可以通過如下 ini 配置設(shè)置會話 ID 生成器：

sessionIdGenerator=org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator
sessionDAO.sessionIdGenerator=$sessionIdGenerator

用于生成會話 ID，默認就是 JavaUuidSessionIdGenerator，使用 java.util.UUID 生成。

如果自定義實現(xiàn) SessionDAO，繼承 CachingSessionDAO 即可：

public class MySessionDAO extends CachingSessionDAO {
    private JdbcTemplate jdbcTemplate = JdbcTemplateUtils.jdbcTemplate();
     protected Serializable doCreate(Session session) {
        Serializable sessionId = generateSessionId(session);
        assignSessionId(session, sessionId);
        String sql = "insert into sessions(id, session) values(?,?)";
        jdbcTemplate.update(sql, sessionId, SerializableUtils.serialize(session));
        return session.getId();
    }
protected void doUpdate(Session session) {
    if(session instanceof ValidatingSession && !((ValidatingSession)session).isValid()) {
        return; //如果會話過期/停止 沒必要再更新了
    }
        String sql = "update sessions set session=? where id=?";
        jdbcTemplate.update(sql, SerializableUtils.serialize(session), session.getId());
    }
    protected void doDelete(Session session) {
        String sql = "delete from sessions where id=?";
        jdbcTemplate.update(sql, session.getId());
    }
    protected Session doReadSession(Serializable sessionId) {
        String sql = "select session from sessions where id=?";
        List<String> sessionStrList = jdbcTemplate.queryForList(sql, String.class, sessionId);
        if(sessionStrList.size() == 0) return null;
        return SerializableUtils.deserialize(sessionStrList.get(0));
    }
}

doCreate/doUpdate/doDelete/doReadSession 分別代表創(chuàng)建 / 修改 / 刪除 / 讀取會話；此處通過把會話序列化后存儲到數(shù)據(jù)庫實現(xiàn)；接著在 shiro-web.ini 中配置：

sessionDAO=com.github.zhangkaitao.shiro.chapter10.session.dao.MySessionDAO

其他設(shè)置和之前一樣，因為繼承了 CachingSessionDAO；所有在讀取時會先查緩存中是否存在，如果找不到才到數(shù)據(jù)庫中查找。

會話驗證

Shiro 提供了會話驗證調(diào)度器，用于定期的驗證會話是否已過期，如果過期將停止會話；出于性能考慮，一般情況下都是獲取會話時來驗證會話是否過期并停止會話的；但是如在 web 環(huán)境中，如果用戶不主動退出是不知道會話是否過期的，因此需要定期的檢測會話是否過期，Shiro 提供了會話驗證調(diào)度器 SessionValidationScheduler 來做這件事情。

可以通過如下 ini 配置開啟會話驗證：

sessionValidationScheduler=org.apache.shiro.session.mgt.ExecutorServiceSessionValidationScheduler
sessionValidationScheduler.interval = 3600000
sessionValidationScheduler.sessionManager=$sessionManager
sessionManager.globalSessionTimeout=1800000
sessionManager.sessionValidationSchedulerEnabled=true
sessionManager.sessionValidationScheduler=$sessionValidationScheduler

• sessionValidationScheduler：會話驗證調(diào)度器，sessionManager 默認就是使用 ExecutorServiceSessionValidationScheduler，其使用 JDK 的 ScheduledExecutorService 進行定期調(diào)度并驗證會話是否過期；
• sessionValidationScheduler.interval：設(shè)置調(diào)度時間間隔，單位毫秒，默認就是 1 小時；
• sessionValidationScheduler.sessionManager：設(shè)置會話驗證調(diào)度器進行會話驗證時的會話管理器；
• sessionManager.globalSessionTimeout：設(shè)置全局會話超時時間，默認 30 分鐘，即如果 30 分鐘內(nèi)沒有訪問會話將過期；
• sessionManager.sessionValidationSchedulerEnabled：是否開啟會話驗證器，默認是開啟的；
• sessionManager.sessionValidationScheduler：設(shè)置會話驗證調(diào)度器，默認就是使用 ExecutorServiceSessionValidationScheduler。

Shiro 也提供了使用 Quartz 會話驗證調(diào)度器：

sessionValidationScheduler=org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler
sessionValidationScheduler.sessionValidationInterval = 3600000
sessionValidationScheduler.sessionManager=$sessionManager

使用時需要導(dǎo)入 shiro-quartz 依賴：

<dependency>
     <groupId>org.apache.shiro</groupId>
     <artifactId>shiro-quartz</artifactId>
     <version>1.2.2</version>
</dependency>

如上會話驗證調(diào)度器實現(xiàn)都是直接調(diào)用 AbstractValidatingSessionManager 的 validateSessions 方法進行驗證，其直接調(diào)用 SessionDAO 的 getActiveSessions 方法獲取所有會話進行驗證，如果會話比較多，會影響性能；可以考慮如分頁獲取會話并進行驗證，如 com.github.zhangkaitao.shiro.chapter10.session.scheduler.MySessionValidationScheduler：

//分頁獲取會話并驗證
String sql = "select session from sessions limit ?,?";
int start = 0; //起始記錄
int size = 20; //每頁大小
List<String> sessionList = jdbcTemplate.queryForList(sql, String.class, start, size);
while(sessionList.size() > 0) {
  for(String sessionStr : sessionList) {
    try {
      Session session = SerializableUtils.deserialize(sessionStr);
      Method validateMethod = 
        ReflectionUtils.findMethod(AbstractValidatingSessionManager.class, 
            "validate", Session.class, SessionKey.class);
      validateMethod.setAccessible(true);
      ReflectionUtils.invokeMethod(validateMethod, 
        sessionManager, session, new DefaultSessionKey(session.getId()));
    } catch (Exception e) {
        //ignore
    }
  }
 start = start + size;
  sessionList = jdbcTemplate.queryForList(sql, String.class, start, size);
}

其直接改造自 ExecutorServiceSessionValidationScheduler，如上代碼是驗證的核心代碼，可以根據(jù)自己的需求改造此驗證調(diào)度器器；ini 的配置和之前的類似。

如果在會話過期時不想刪除過期的會話，可以通過如下 ini 配置進行設(shè)置：

sessionManager.deleteInvalidSessions=false

默認是開啟的，在會話過期后會調(diào)用 SessionDAO 的 delete 方法刪除會話：如會話時持久化存儲的，可以調(diào)用此方法進行刪除。

如果是在獲取會話時驗證了會話已過期，將拋出 InvalidSessionException；因此需要捕獲這個異常并跳轉(zhuǎn)到相應(yīng)的頁面告訴用戶會話已過期，讓其重新登錄，如可以在 web.xml 配置相應(yīng)的錯誤頁面：

<error-page>
    <exception-type>org.apache.shiro.session.InvalidSessionException</exception-type>
    <location>/invalidSession.jsp</location>
</error-page>

sessionFactory

sessionFactory 是創(chuàng)建會話的工廠，根據(jù)相應(yīng)的 Subject 上下文信息來創(chuàng)建會話；默認提供了 SimpleSessionFactory 用來創(chuàng)建 SimpleSession 會話。

首先自定義一個 Session：

public class OnlineSession extends SimpleSession {
    public static enum OnlineStatus {
        on_line("在線"), hidden("隱身"), force_logout("強制退出");
        private final String info;
        private OnlineStatus(String info) {
            this.info = info;
        }
        public String getInfo() {
            return info;
        }
    }
    private String userAgent; //用戶瀏覽器類型
    private OnlineStatus status = OnlineStatus.on_line; //在線狀態(tài)
    private String systemHost; //用戶登錄時系統(tǒng)IP
    //省略其他
}

OnlineSession 用于保存當前登錄用戶的在線狀態(tài)，支持如離線等狀態(tài)的控制。

接著自定義 SessionFactory：

public class OnlineSessionFactory implements SessionFactory {
    @Override
    public Session createSession(SessionContext initData) {
        OnlineSession session = new OnlineSession();
        if (initData != null && initData instanceof WebSessionContext) {
            WebSessionContext sessionContext = (WebSessionContext) initData;
            HttpServletRequest request = (HttpServletRequest) sessionContext.getServletRequest();
            if (request != null) {
                session.setHost(IpUtils.getIpAddr(request));
                session.setUserAgent(request.getHeader("User-Agent"));
                session.setSystemHost(request.getLocalAddr() + ":" + request.getLocalPort());
            }
        }
        return session;
    }
}

根據(jù)會話上下文創(chuàng)建相應(yīng)的 OnlineSession。

最后在 shiro-web.ini 配置文件中配置：

sessionFactory=org.apache.shiro.session.mgt.OnlineSessionFactory
sessionManager.sessionFactory=$sessionFactory