主要是web相关,javase不说
引入
SecurityManager是shiro的核心,负责与shiro的其他组件进行交互,而SessionManager是session的真正管理者,负责shiro的session管理。
在shrio中,当我们利用subject.login()进行登录的时候或者是利用subject.getSession()的时候,就会创建一个session。这个session与servlet中的session是完全独立的,是shrio内部自己实现的一个session机制,但是器与servlet的session的理念基本相同。
利用subject登录的时候会创建session对象,不然怎么维持用户的登录状态呢?主动获取session的时候会创建session对象,这是肯定的嘛。
Shiro是如何维持Session的
在web中,我们默认使用的SecurityManager是DefaultWebSecurityManager,与之对应的默认使用的sessionManager就是ServletContainerSessionManager。从他的名字我们就能看出来,其默认是以servlet容器来存储session,也就是说shrio默认情况下的session还是依赖servlet容器的。查看其源码我们能发现,ServletContainerSessionManager管理的session,就是代理了HttpSession,HttpSession还是交给Servlet容器进行管理的。
DefaultWebSessionManager
这是shrio提供的另外一个session管理器,这个session管理器是完全独立的,不依赖于任何容器,在这个管理器的支持下,我们可以实现将session存储到redis。
HttpSession中保存sessionId是通过Cookie,DefaultWebSessionManager也是如此,这是一段DefaultWebSessionManager中的代码
// 存储sessionId到cookie中
private void storeSessionId(Serializable currentId, HttpServletRequest request, HttpServletResponse response) {
if (currentId == null) {
String msg = "sessionId cannot be null when persisting for subsequent requests.";
throw new IllegalArgumentException(msg);
}
Cookie template = getSessionIdCookie();
Cookie cookie = new SimpleCookie(template);
String idString = currentId.toString();
cookie.setValue(idString);
// 将session保存到了response中
cookie.saveTo(request, response);
}
// 从cookie中读取sessionId
private String getSessionIdCookieValue(ServletRequest request, ServletResponse response) {
if (!isSessionIdCookieEnabled()) {
log.debug("Session ID cookie is disabled - session id will not be acquired from a request cookie.");
return null;
}
if (!(request instanceof HttpServletRequest)) {
log.debug("Current request is not an HttpServletRequest - cannot get session ID cookie. Returning null.");
return null;
}
HttpServletRequest httpRequest = (HttpServletRequest) request;
return getSessionIdCookie().readValue(httpRequest, WebUtils.toHttp(response));
}
当我们在一次请求中第一次获取Subject的时候,其往往会解析出当前subject所关联的session,这样才能知道你是谁嘛,不过前提是之前存在session,否则还是等到我们手动获取session才进行创建。其解析就交给了我们的各种sessionManager,DefaultWebSessionManager就是从cookie中进行解析的。
session保存在哪
ServletContainerSessionManager因为利用的是Servlet容器中的HttpSession,所以就是由servlet容器保管,DefaultWebSessionManager呢?这就要引出一个新的东西SessionDAO
DefaultWebSessionManager是不管保存在哪个位置的,其是交给sessionDao来进行保存,通过sessionDao接口我们可以实现保存在任何地方,其中就包括redis
// 非常明显的增删改查
public interface SessionDAO {
Serializable create(Session session);
Session readSession(Serializable sessionId) throws UnknownSessionException;
void update(Session session) throws UnknownSessionException;
void delete(Session session);
// 返回活跃的session
Collection<Session> getActiveSessions();
}
DefaultWebSessionManager中默认使用的sessionDao是MemorySessionDAO,其利用一个ConcurrentMap来保存Session。
如果我们要实现一个自定义的SessionDao,一般是建议实现EnterpriseCacheSessionDAO,因为其内部已经有了很多默认实现,我们需要修改的就比较少
Session过期
上面看起来一切都好,但是好像少了个重要的东西,那就是session的过期机制。一般的过期机制都是使用定时任务来进行处理的,Shrio也不例外。
AbstractValidatingSessionManager类中有如下方法,获取session时会经过此方法
@Override
protected final Session doGetSession(final SessionKey key) throws InvalidSessionException {
// 启动session有效性的验证,也就是创建一个定时任务了
enableSessionValidationIfNecessary();
...
}
在具体往下追溯就可以追溯到一个类ExecutorServiceSessionValidationScheduler,中间的一些小的东西就跳过了
这是其内部的run方法,想必已经相当的明显了
定时任务的间隔是1个小时
public void run() {
if (log.isDebugEnabled()) {
log.debug("Executing session validation...");
}
long startTime = System.currentTimeMillis();
// 调用sessionManager的效验方法
this.sessionManager.validateSessions();
long stopTime = System.currentTimeMillis();
if (log.isDebugEnabled()) {
log.debug("Session validation completed successfully in " + (stopTime - startTime) + " milliseconds.");
}
}
shiro的Session接口提供了一个touch方法,负责session的刷新。但是touch方法是什么时候被调用的呢?JavaSE需要我们自己定期的调用session的touch() 去更新最后访问时间;如果是Web应用,每次进入ShiroFilter都会自动调用session.touch()来更新最后访问时间
AbstractShiroFilter类中
protected void updateSessionLastAccessTime(ServletRequest request, ServletResponse response) {
if (!isHttpSessions()) { //'native' sessions
Subject subject = SecurityUtils.getSubject();
if (subject != null) {
Session session = subject.getSession(false);
if (session != null) {
try {
session.touch();
} catch (Throwable t) {
log.error("session.touch() method invocation has failed. Unable to update" +
"the corresponding session's last access time based on the incoming request.", t);
}
}
}
}
}
