1.什么是会话session :

  用户和程序直接的链接,程序可以根据session识别到哪个用户,和javaweb中的session类似

2. 什么是会话管理器SessionManager :

  会话管理器管理所有subject的所有操作,是shiro的核心组件,它是一个接口,定义如下:

public interface SessionManager {
    // 开启一个session

    Session start(SessionContext var1);

    // 根据指定的key获取session

    Session getSession(SessionKey var1) throws SessionException;

}

  shiro中的会话管理器有多个实现:

3.  shiroSession 会话存储/持久化:

  shiro的SessionDao接口,提供了session的创建,获取,更新,删除,获取所有session的方法

public interface SessionDAO {

    Serializable create(Session var1);

    Session readSession(Serializable var1) throws UnknownSessionException;

    void update(Session var1) throws UnknownSessionException;

    void delete(Session var1);

    Collection<Session> getActiveSessions();

}

它的实现类如下,自定义缓存管理器,可以继承 AbstractSessionDAO

AbstractSessionDAO 源码如下:

package org.apache.shiro.session.mgt.eis;

import java.io.Serializable;

import org.apache.shiro.session.Session;

import org.apache.shiro.session.UnknownSessionException;

import org.apache.shiro.session.mgt.SimpleSession;

public abstract class AbstractSessionDAO implements SessionDAO {

    private SessionIdGenerator sessionIdGenerator = new JavaUuidSessionIdGenerator();

    public AbstractSessionDAO() {

    }

    public SessionIdGenerator getSessionIdGenerator() {

        return this.sessionIdGenerator;

    }

    public void setSessionIdGenerator(SessionIdGenerator sessionIdGenerator) {

        this.sessionIdGenerator = sessionIdGenerator;

    }

    // shiro默认使用了uuid来产生sessionId,如果需要自定义sessionId,可以实现SessionIdGenerator接口,实现其中的方法

    protected Serializable generateSessionId(Session session) {

        if (this.sessionIdGenerator == null) {

            String msg = "sessionIdGenerator attribute has not been configured.";

            throw new IllegalStateException(msg);

        } else {

            return this.sessionIdGenerator.generateId(session);

        }

    }

    public Serializable create(Session session) {

        Serializable sessionId = this.doCreate(session);

        this.verifySessionId(sessionId);

        return sessionId;

    }

    private void verifySessionId(Serializable sessionId) {

        if (sessionId == null) {

            String msg = "sessionId returned from doCreate implementation is null.  Please verify the implementation.";

            throw new IllegalStateException(msg);

        }

    }

    protected void assignSessionId(Session session, Serializable sessionId) {

        ((SimpleSession)session).setId(sessionId);

    }

    protected abstract Serializable doCreate(Session var1);

    public Session readSession(Serializable sessionId) throws UnknownSessionException {

        Session s = this.doReadSession(sessionId);

        if (s == null) {

            throw new UnknownSessionException("There is no session with id [" + sessionId + "]");

        } else {

            return s;

        }

    }

    protected abstract Session doReadSession(Serializable var1);

}

4. RememberMe功能

1、 Cookie 写到客户端并 保存
2、 通过调用subject.login()前,设置 token.setRememberMe(true);
3、 关闭浏览器再重新打开;会发现浏览器还是记住你的
4、 注意点:
  - subject.isAuthenticated() 表示用户进行了身份验证登录的,即Subject.login 进行了登录
  - subject.isRemembered() 表示用户是通过RememberMe登录的
  - subject.isAuthenticated()==true,则 subject.isRemembered()==false, 两个互斥
  - 特殊页面或者API调用才需要authc进行验证拦截,该拦截器会判断用户是否是通过 subject.login()登录,安全性更高

shiro框架学习-9-shiroSession的更多相关文章

  1. shiro框架学习-5-自定义Realm

    1. 自定义Realm基础 步骤: 创建一个类 ,继承AuthorizingRealm->AuthenticatingRealm->CachingRealm->Realm 重写授权方 ...

  2. shiro框架学习-1-shiro基本概念

    1. 什么是权限控制 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源, ...

  3. shiro框架学习-6-Shiro内置的Filter过滤器及数据加解密

    1.  shiro的核心过滤器定义在枚举类DefaultFilter 中,一共有11个 ,配置哪个路径对应哪个拦截器进行处理 // // Source code recreated from a .c ...

  4. shiro框架学习-8-shiro缓存

    1. shiro进行认证授权时会查询数据库获取用户角色权限信息,每次登录都会去查询,这样对性能会又影响.可以设置缓存,查询时先去缓存中查找,缓存中没有再去数据库查询. 从shiro的架构图中可以看到有 ...

  5. shiro框架学习-4- Shiro内置JdbcRealm

    1.  JdbcRealm 数据库准备 JdbcRealm就是用户的角色,权限都从数据库中读取,也就是用来进行用户认证授权的安全数据源更换为从数据库中读取,其他没有差别,首先在数据库创建三张表: CR ...

  6. shiro框架学习-3- Shiro内置realm

    1. shiro默认自带的realm和常见使用方法 realm作用:Shiro 从 Realm 获取安全数据 默认自带的realm:idae查看realm继承关系,有默认实现和自定义继承的realm ...

  7. shiro框架学习-2-springboot整合shiro及Shiro认证授权流程

    1. 添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId> ...

  8. shiro框架学习-7- Shiro权限控制注解和编程方式

    讲解权限角色控制 @RequiresRoles, @RequiresPermissions等注解的使用和编程式控制 配置文件的方式 使用ShiroConfig 注解方式 @RequiresRoles( ...

  9. Shiro安全框架学习笔记

    一.Shiro框架简单介绍 Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权.Shiro在JavaSE和JavaEE项目中都可以使用.它主要用来处理身份认证,授权,企业会话管理 ...

随机推荐

  1. 使用movielens数据集动手实现youtube推荐候选集生成

    综述 之前在博客中总结过nce损失和YouTuBe DNN推荐;但大多都还是停留在理论层面,没有实践经验.所以笔者想借由此文继续深入探索YouTuBe DNN推荐,另外也进一步总结TensorFlow ...

  2. POJ3585 Accumulation Degree【换根dp】

    题目传送门 题意 给出一棵树,树上的边都有容量,在树上任意选一个点作为根,使得往外流(到叶节点,叶节点可以接受无限多的流量)的流量最大. 分析 首先,还是从1号点工具人开始$dfs$,可以求出$dp[ ...

  3. 委托、泛型委托、多播委托、匿名函数、lamda表达式、事件

    1.为什么要使用委托 将一个方法作为参数传递给另一个方法 2.委托概念 public delegate int 委托名(int a, int b); 声明一个委托类型,可以用访问修饰符修饰,deleg ...

  4. 【挣扎失败】2019CSP-S 游记

    妈耶…… 今年是作为高中生参赛的第一年……然而…… 心痛 洛谷评分,一橙一蓝两紫两黑 我个菜鸡瑟瑟发抖 在考完后三天的信息课码的,刚写没几个字就要下课了 抽空把这个写完

  5. Codeforces1256E_Yet Another Division Into Teams

    题意 n个人,每人有一个能力值a[i],要求分成多个队伍,每个队伍至少3个人,使得所有队伍的max(a[i])-min(a[i])之和最小. 分析 不会巧妙的dp,想了一天只想到了暴力的dp. 先排序 ...

  6. [转载]Linux运行模式及紧急、救援模式

    运行模式 在Linux中,存在一个叫init(initialize)的进程,其进程号是1,该进程存在一个对应的配置文件inittab,叫做系统的运行级别配置文件,位置在/etc/inittab.(但是 ...

  7. 096、运行第一个Service (Swarm03)

    参考https://www.cnblogs.com/CloudMan6/p/7874609.html   上一节我们部署好了 Swarm 集群,下面部署一个运行httpd镜像的service进行演示 ...

  8. 62. Unique Paths (JAVA)

    A robot is located at the top-left corner of a m x n grid (marked 'Start' in the diagram below). The ...

  9. java冒泡排序小实例

    首先我们了解下什么是冒泡排序: 冒泡排序就是把小的元素往前调或者把大的元素往后调.比较是相邻的两个元素比较,交换也发生在这两个元素之间.所以,如果两个元素相等,我想你是不会再无聊地把他们俩交换一下的: ...

  10. 接口开发中 遇到的坑——Java byte与C# byte 数据转换问题

    前提: 公司与其他公司进行接口对接 需要使用Byte[]数据流传输数据 原本想法如下:直接IO生成就ok了 using System; using System.IO; using System.Te ...