2. 程式人生 > >apache shiro叢集實現(一) session共享

apache shiro叢集實現(一) session共享

阿新 發佈:2019-01-08

    Apache Shiro的基本配置和構成這裡就不詳細說明了,其官網有說明文件,這裡僅僅說明叢集的解決方案,詳細配置:shiro web config

    Apache Shiro叢集要解決2個問題,一個是session的共享問題,一個是授權資訊的cache共享問題,官網給的例子是Ehcache的實現,在配置說明上不算很詳細,我這裡用nosql(redis)替代了ehcache做了session和cache的儲存。

shiro spring的預設配置(單機,非叢集)

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="shiroDbRealm" />
    <property name="cacheManager" ref="memoryConstrainedCacheManager" />
</bean>

<!-- 自定義Realm -->
<bean id="shiroDbRealm" class="com.xxx.security.shiro.custom.ShiroDbRealm">
    <property name="credentialsMatcher" ref="customCredentialsMather"></property>
</bean> 
<!-- 使用者授權資訊Cache(本機記憶體實現) -->
<bean id="memoryConstrainedCacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" />	

<!-- 保證實現了Shiro內部lifecycle函式的bean執行 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager" />
    <property name="loginUrl" value="/login" />
    <property name="successUrl" value="/project" />
    <property name="filterChainDefinitions">
        <value>
	    /login = authc
	    /logout = logout			
	</value>
    </property>
</bean>


上面的配置是shiro非叢集下的配置,DefaultWebSecurityManager類不需要注入sessionManager屬性,它會使用預設的sessionManager類,請看原始碼

public DefaultWebSecurityManager() {
        super();
        ((DefaultSubjectDAO) this.subjectDAO).setSessionStorageEvaluator(new DefaultWebSessionStorageEvaluator());
        this.sessionMode = HTTP_SESSION_MODE;
        setSubjectFactory(new DefaultWebSubjectFactory());
        setRememberMeManager(new CookieRememberMeManager());
        setSessionManager(new ServletContainerSessionManager());
}

在最後一行,set了預設的servlet容器實現的sessionManager,sessionManager會管理session的建立、刪除等等。如果我們需要讓session在叢集中共享,就需要替換這個預設的sessionManager。在其官網上原話是這樣的: 
Native Sessions

If you want your session configuration settings and clustering to be portable across servlet containers
(e.g. Jetty in testing, but Tomcat or JBoss in production), or you want to control specific session/clustering 
features, you can enable Shiro's native session management.

The word 'Native' here means that Shiro's own enterprise session management implementation will be used to support 
all Subject and HttpServletRequest sessions and bypass the servlet container completely. But rest assured - Shiro 
implements the relevant parts of the Servlet specification directly so any existing web/http related code works as 
expected and never needs to 'know' that Shiro is transparently managing sessions.

DefaultWebSessionManager

To enable native session management for your web application, you will need to configure a native web-capable 
session manager to override the default servlet container-based one. You can do that by configuring an instance of 
DefaultWebSessionManager on Shiro's SecurityManager.

我們可以看到如果要用叢集,就需要用本地會話,這裡shiro給我準備了一個預設的native session manager,DefaultWebSessionManager,所以我們要修改spring配置檔案,注入DefaultWebSessionManager

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="sessionManager" ref="defaultWebSessionManager" />
    <property name="realm" ref="shiroDbRealm" />
    <property name="cacheManager" ref="memoryConstrainedCacheManager" />
</bean>
<bean id="defaultWebSessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
    <property name="globalSessionTimeout" value="1200000" />
</bean>
我們繼續看DefaultWebSessionManager的原始碼發現其父類DefaultSessionManager中有sessionDAO屬性,這個屬性是真正實現了session儲存的類,這個就是我們自己實現的redis session的儲存類。 
 protected SessionDAO sessionDAO;

 private CacheManager cacheManager;

 private boolean deleteInvalidSessions;

 public DefaultSessionManager() {
     this.deleteInvalidSessions = true;
     this.sessionFactory = new SimpleSessionFactory();
     this.sessionDAO = new MemorySessionDAO();
 }
這裡我們看到了,如果不自己注入sessionDAO,defaultWebSessionManager會使用MemorySessionDAO做為預設實現類,這個肯定不是我們想要的,所以這就自己動手實現sessionDAO吧。
public class CustomShiroSessionDAO extends AbstractSessionDAO {

	private ShiroSessionRepository shiroSessionRepository;

	public ShiroSessionRepository getShiroSessionRepository() {
		return shiroSessionRepository;
	}

	public void setShiroSessionRepository(
			ShiroSessionRepository shiroSessionRepository) {
		this.shiroSessionRepository = shiroSessionRepository;
	}

	@Override
	public void update(Session session) throws UnknownSessionException {
		getShiroSessionRepository().saveSession(session);
	}

	@Override
	public void delete(Session session) {
		if (session == null) {
			LoggerUtil.error(CustomShiroSessionDAO.class,
					"session can not be null,delete failed");
			return;
		}
		Serializable id = session.getId();
		if (id != null)
			getShiroSessionRepository().deleteSession(id);
	}

	@Override
	public Collection<Session> getActiveSessions() {
		return getShiroSessionRepository().getAllSessions();
	}

	@Override
	protected Serializable doCreate(Session session) {
		Serializable sessionId = this.generateSessionId(session);
		this.assignSessionId(session, sessionId);
		getShiroSessionRepository().saveSession(session);
		return sessionId;
	}

	@Override
	protected Session doReadSession(Serializable sessionId) {
		return getShiroSessionRepository().getSession(sessionId);
	}
}
我們自定義CustomShiroSessionDAO繼承AbstractSessionDAO,實現對session操作的方法。這裡為了便於擴充套件,我引入了一個介面ShiroSessionRepository,可以用redis、mongoDB等進行實現。 
public interface ShiroSessionRepository {

	void saveSession(Session session);

	void deleteSession(Serializable sessionId);

	Session getSession(Serializable sessionId);

	Collection<Session> getAllSessions();
}
這個是我自己redis的ShiroSessionReposotory儲存實現類:
public class JedisShiroSessionRepository extends JedisManager implements
		ShiroSessionRepository {

	/**
	 * redis session key字首
	 */
	private final String REDIS_SHIRO_SESSION = "shiro-session:";

	@Autowired
	private JedisPool jedisPool;

	@Override
	protected JedisPool getJedisPool() {
		return jedisPool;
	}

	@Override
	protected JedisDataType getJedisDataType() {
		return JedisDataType.SESSION_CACHE;
	}

	@Override
	public void saveSession(Session session) {
		if (session == null || session.getId() == null) {
			LoggerUtil.error(JedisShiroSessionRepository.class,
					"session或者session id為空");
			return;
		}
		byte[] key = SerializeUtil
				.serialize(getRedisSessionKey(session.getId()));
		byte[] value = SerializeUtil.serialize(session);
		Jedis jedis = this.getJedis();
		try {
			Long timeOut = session.getTimeout() / 1000;
			jedis.set(key, value);
			jedis.expire(key, Integer.parseInt(timeOut.toString()));
		} catch (JedisException e) {
			LoggerUtil.error(JedisShiroSessionRepository.class, "儲存session失敗",
					e);
		} finally {
			this.returnResource(jedis);
		}
	}

	@Override
	public void deleteSession(Serializable id) {
		if (id == null) {
			LoggerUtil.error(JedisShiroSessionRepository.class, "id為空");
			return;
		}
		Jedis jedis = this.getJedis();
		try {
			jedis.del(SerializeUtil.serialize(getRedisSessionKey(id)));
		} catch (JedisException e) {
			LoggerUtil.error(JedisShiroSessionRepository.class, "刪除session失敗",
					e);
		} finally {
			this.returnResource(jedis);
		}
	}

	@Override
	public Session getSession(Serializable id) {
		if (id == null) {
			LoggerUtil.error(JedisShiroSessionRepository.class, "id為空");
			return null;
		}
		Session session = null;
		Jedis jedis = this.getJedis();
		try {
			byte[] value = jedis.get(SerializeUtil
					.serialize(getRedisSessionKey(id)));
			session = SerializeUtil.deserialize(value, Session.class);
		} catch (JedisException e) {
			LoggerUtil.error(JedisShiroSessionRepository.class, "獲取id為" + id
					+ "的session失敗", e);
		} finally {
			this.returnResource(jedis);
		}
		return session;
	}

	@Override
	public Collection<Session> getAllSessions() {
		Jedis jedis = this.getJedis();
		Set<Session> sessions = new HashSet<Session>();
		try {
			Set<byte[]> byteKeys = jedis.keys(SerializeUtil
					.serialize(this.REDIS_SHIRO_SESSION + "*"));
			if (byteKeys != null && byteKeys.size() > 0) {
				for (byte[] bs : byteKeys) {
					Session s = SerializeUtil.deserialize(jedis.get(bs),
							Session.class);
					sessions.add(s);
				}
			}
		} catch (JedisException e) {
			LoggerUtil.error(JedisShiroSessionRepository.class,
					"獲取所有session失敗", e);
		} finally {
			this.returnResource(jedis);
		}
		return sessions;
	}

	/**
	 * 獲取redis中的session key
	 * 
	 * @param sessionId
	 * @return
	 */
	private String getRedisSessionKey(Serializable sessionId) {
		return this.REDIS_SHIRO_SESSION + sessionId;
	}

}

這樣sessionDAO我們就完成了,下面繼續修改我們spring配置檔案:

<bean id="defaultWebSessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
    <property name="globalSessionTimeout" value="1200000" />
    <property name="sessionDAO" ref="customShiroSessionDAO" />
</bean>

<bean id="customShiroSessionDAO" class="com.xxx.security.shiro.custom.session.CustomShiroSessionDAO">
    <property name="shiroSessionRepository" ref="jedisShiroSessionRepository" />
</bean>
	
<bean id="jedisShiroSessionRepository" class="com.xxx.security.shiro.custom.session.JedisShiroSessionRepository" />



這樣第一個問題,session的共享問題我們就解決好了,下一篇介紹另一個問題,cache的共享問題。

原始碼地址:https://github.com/michaelliuyang/shiro-redis-cluster

相關推薦

apache shiro叢集實現 session共享

    Apache Shiro的基本配置和構成這裡就不詳細說明了,其官網有說明文件,這裡僅僅說明叢集的解決方案,詳細配置:shiro web config     Apache Shiro叢集要解決2個問題,一個是session的共享問題,一個是授權資訊的cache共享問

Apache shiro叢集實現 shiro入門介紹

      近期在ITOO專案中研究使用Apache shiro叢集中要解決的兩個問題,一個是Session的共享問題,一個是授權資訊的cache共享問題,官網上給的例子是Ehcache的實現,在配置

Apache shiro叢集實現 分散式集群系統下的高可用session解決方案---Session共享

      Apache Shiro的基本配置和構成這裡就不詳細說明了,其官網有說明文件,這裡僅僅說明叢集的解決方案,詳細配置:shiro web config     Apache Shiro叢集要解決2個問題,一個是session的共享問題,一個是授權

Apache shiro叢集實現 web叢集session同步的3種方法

在做了web集群后,你肯定會首先考慮session同步問題,因為通過負載均衡後,同一個IP訪問同一個頁面會被分配到不同的伺服器上, 如果session不同步的話,一個登入使用者,一會是登入狀態,一會又不是登入狀態。所以本文就根據這種情況給出三種不同的方法來解決這個問題: 一,利用資料庫同步sessio

Apache shiro叢集實現 shiro身份認證Shiro Authentication

<span style="font-size:18px;">package com.api6.shiro.demo1; import org.apache.commons.logging.Log; import org.apache.commons.logging.LogFactory; impo

Apache Shiro 使用手冊Shiro架構介紹

springmvc+mybatis dubbo+zookeeper restful redis分布式緩存 shiro kafka 一、什麽是Shiro Apache Shiro是一個強大易用的Java安全框架,提供了認證、授權、加密和會話管理等功能: 認證 - 用戶身份識別,常被稱為用戶“

tomcat原理及安裝及反向代理、會話保持、session叢集session共享伺服器的實現

JDK(java development kit)叫做java開發工具包,是整個java的核心,包括JRE(java runtime environment,叫做java執行是環境),一堆java的工具和java的基本類庫。 JDK包含的元件包括:        java

Hibernate 快取 之 Session 實現

首先以查詢學生為例,模擬一個快取的機制 public class Test { public static void main(String[] args) throws Exception { MyClassDao myClassDao = new

linux伺服器centos7Apache+Tomcat 安裝配置以及叢集實現

解壓apr-1.5.2命令 [[email protected] ~]# tar zxvf apr-1.5.2.tar.gz 切換解壓目錄 [[email protected] ~]# cd apr-1.5.2 指令碼編譯配置指定安裝目錄 [[email protected] a

Shiro實現: SSM整合筆記實現登入,授權功能

開篇 本專案已經上傳github,建議對照程式碼理解 本篇主要講Shiro框架與SSM框架結合,實現登入和授權功能 利用spring 的aop切面思想,很簡單得融合Shiro許可權框架 程式碼 需要明白兩個點: 通過Subject.login() 登入成

異步線程池的實現-------具體實現方法

fun format 測試 路徑 線程池。 用戶體驗 deb tar clas 本篇是這個內容的第一篇,主要是寫:遇到的問題,和自己摸索實現的方法。後面還會有一篇是總結性地寫線程池的相關內容(偏理論的)。 一、背景介紹 朋友的項目開發到一定程度之後,又遇到

多種排序算法的思路和簡單代碼的實現

insert i++ 前後端 分享 size quicksort 執行 判斷 clas 就自己簡單的理解了一些排序算法(JAVA)思路和代碼分享給大家:歡迎大家進行交流。 直接插入排序,折半插入排序,冒泡排序,快速排序 1 public class Sort { 2

Dji Mobile SDK 基礎實現

n-1 app lba ger print ttl touch事件 釋放 bsp Dji Mobile SDK 基礎實現(一) 本文簡要介紹如何通過調用DJI Mobile SDK,實現獲取和釋放無人機的控制權限、模擬遙控器按鈕控制無人機的飛行、獲取無人機的回傳視頻、獲取無

實現自定義查詢的數據庫設計及實現

bre 名稱 審批流程 work 數據庫名 需要 自定義查詢 perm 枚舉 需求 先說一下需求:實現用戶自定義的查詢,用戶可以自定義要查詢的列、自定義條件條件、自定義排序。除了查詢使用外,還可以使用於各個需要根據條件進行約束的業務,如權限; 本設計和實現,很大部分是通過數

視頻流GPU解碼的實現-基本概念

bsp 視頻流 class 概念 logs log 視頻 .com 認識 這段時間在實現Gpu的視頻流解碼,遇到了很多的問題。 要想實現ffempg的GPU化,必須要要對ffempg的解碼cou流程有基本的認識才能改造 我在http://www.cnblogs.com/

MVVM模式解析和在WPF中的實現

開發 特點 還需 如果 情況下 依次 顯示 尋找 這也 MVVM模式簡介 MVVM是Model、View、ViewModel的簡寫,這種模式的引入就是使用ViewModel來降低View和Model的耦合,說是降低View和Model的耦合。也可以說是是降低界面和邏輯的耦合

hadoop雲盤client的設計與實現

white 下一跳 -c 文件 。。 edi track ++ ava 近期在hadoop雲盤client項目。在做這個項目曾經對hadoop是一點都不了解呀,在網

基於樹莓派Raspberry Pi平臺的MQ-2煙霧報警系統以及結合Zabbix監控的實現

Raspberry Pi Zabbix和嵌入式系統的結合 Python3 樹莓派和MQ-2氣體檢測 一、前期準備 達成目標:   利用Rapberry Pi 驅動MQ-2煙霧報警模塊,對信息進行采集和提取,而後Zabbix監控系統來收集和處理信息采集到的信息。

基於樹莓派Raspberry Pi平臺的智能家居實現----繼電器模塊,DHT11模塊

Raspberry 繼電器模塊 DHT11溫濕度模塊 智能家居 前言:    ??其實做這個智能家居系統我還是因為學校的畢業設計,距離上篇文章發布已經過去了20多天了,之前想著只是做一個煙霧報警,然後通過Zabbix進行報警,但是通過這20多天的設計,我發現實現報警的功能其

Android項目實戰十六:QQ空間實現—— 展示說說中的評論內容並有相應點擊事件

con toast short demo append 集合 obj parent 自帶 原文:Android項目實戰(十六):QQ空間實現(一)—— 展示說說中的評論內容並有相應點擊事件大家都玩QQ空間客戶端,對於每一個說說,我們都可以評論,那麽,對於某一條評論: