第十一章 Shiro会话管理和加密

学习目标

11.1 会话管理
- 11.1.1 会话相关API
- - 一、获取会话
  - 二、会话属性管理
  - 三、会话信息获取
  - 四、会话控制
  - 五、会话监听
  - 六、会话DAO
  - 七、会话验证
- 11.2 缓存
- - 一、缓存接口
  - 二、内置缓存实现
  - 三、配置缓存
  - 四、使用缓存
  - 五、缓存清理
  - 六、注意事项

前面两章我们已经掌握了Shiro四大基石的认证和授权，（如果没有了解可以去我主页看看第九至十章的内容来学习）且基于SpringBoot+Shiro实现了动态认证和授权，基本完成CRM客户关系管理系统重的权限控制。
本章我们学习另两个基石：会话管理和加密，并对上章的动态授权进行优化，使用Redis缓存用户权限信息。

11.1 会话管理

11.1.1 会话相关API

Shiro是一个强大的Java安全框架，提供了完整的企业级会话管理功能。在Shiro中，与会话相关的API主要包括以下几个方面：

一、获取会话

Subject.getSession()：获取当前用户的会话。如果当前没有创建会话对象，则会创建一个新的会话。这等价于Subject.getSession(true)。
Subject.getSession(boolean create)：根据参数决定是否创建一个新的会话。如果create为true且当前没有会话，则创建一个新的会话；如果为false且当前没有会话，则返回null。

二、会话属性管理

session.setAttribute(key, value)：设置会话属性。
session.getAttribute(key)：获取会话属性。
session.removeAttribute(key)：删除会话属性。

三、会话信息获取

session.getId()：获取当前会话的唯一标识。
session.getHost()：获取当前Subject的主机地址。在会话开始时，Shiro会存储用户的IP地址和主机名，以此可以判断用户的位置。
session.getTimeout() & session.setTimeout(毫秒)：获取/设置当前Session的过期时间。
session.getStartTimestamp() & session.getLastAccessTime()：获取会话的启动时间及最后访问时间。如果是JavaSE应用，需要自己定期调用session.touch()去更新最后访问时间；如果是JavaEE应用，每次进入ShiroFilter都会自动调用session.touch()来更新最后访问时间。

四、会话控制

session.touch()：更新会话的最后访问时间，让会话保持活跃状态。
session.stop()：销毁会话。当调用Subject.logout()时，会自动调用session.stop()方法来销毁会话。在Web应用中，调用HttpSession.invalidate()也会自动调用session.stop()来销毁Shiro的会话。

五、会话监听

Shiro提供了会话监听器，用于监听会话的创建、过期及停止事件。要实现自己的会话监听器，需要实现SessionListener接口，并重写以下方法：

onStart(Session session)：监听会话创建事件。
onStop(Session session)：监听会话销毁事件。
onExpiration(Session session)：监听会话过期事件。

六、会话DAO

Shiro提供了SessionDAO接口及其多种实现，用于会话的CRUD（创建、读取、更新、删除）操作。常用的实现类包括：

AbstractSessionDAO：提供了SessionDAO的基础实现，如生成会话ID等。
CachingSessionDAO：提供了对开发者透明的会话缓存功能，需要设置相应的CacheManager。
MemorySessionDAO：直接在内存中进行会话维护。
EnterpriseCacheSessionDAO：提供了缓存功能的会话维护，默认情况下使用MapCache实现，内部使用ConcurrentHashMap保存缓存的会话。

七、会话验证

Shiro提供了会话验证调度器，用于定期验证会话是否已过期。如果过期，将停止会话。Shiro提供了两种会话验证调度器：

SessionValidationScheduler：默认的会话验证调度器。
QuartzSessionValidationScheduler：使用Quartz作为定时任务的会话验证调度器。使用Quartz时需要导入shiro-quartz依赖。

以上内容涵盖了Shiro中与会话相关的API及其主要功能。开发者可以根据这些API和功能来实现自定义的会话管理逻辑。

11.2 缓存

在Apache Shiro中，缓存是提高性能和效率的关键组件。Shiro提供了多种缓存实现，允许开发者根据需求选择合适的缓存机制。以下是Shiro中与缓存相关的关键概念和代码示例：

一、缓存接口

Shiro的缓存接口主要包括Cache<K, V>和CacheManager。

Cache<K, V>：定义了缓存的基本操作，如获取、放入、删除缓存项等。
CacheManager：管理多个缓存实例的工厂，可以根据缓存的名称获取对应的缓存实例。

二、内置缓存实现

Shiro提供了几种内置的缓存实现：

MemoryConstrainedCacheManager：基于内存的缓存管理器，可以设置缓存的最大数量和每个缓存项的最大大小。
EhcacheManager：集成Ehcache作为缓存实现。
HazelcastCacheManager：集成Hazelcast作为分布式缓存实现。
JCacheManager：集成JSR-107（Java缓存API）作为缓存实现。

三、配置缓存

在Shiro的配置文件中（如shiro.ini或Spring配置文件），可以配置缓存管理器。

例如，在shiro.ini中配置Ehcache：

[main]  
cacheManager = org.apache.shiro.cache.ehcache.EhCacheManager  
cacheManager.configLocation = classpath:ehcache.xml  
securityManager.cacheManager = $cacheManager

在Spring配置中，可以这样配置：

<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">  <property name="configLocation" value="classpath:ehcache.xml"/>  
</bean>  
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">  <property name="cacheManager" ref="cacheManager"/>  <!-- 其他配置 -->  
</bean>

四、使用缓存

在Shiro中，缓存通常用于存储授权信息（如角色和权限）和身份验证信息（如用户信息和会话）。开发者可以在自定义的Realm或过滤器中使用缓存来提高性能。

例如，在自定义Realm中，可以使用缓存来存储从数据库或其他数据源加载的用户信息和权限信息：

public class MyRealm extends AuthorizingRealm {  // 假设有一个缓存实例  private Cache<String, AuthorizationInfo> authorizationCache;  @Override  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {  String username = (String) principals.getPrimaryPrincipal();  AuthorizationInfo info = authorizationCache.get(username);  if (info == null) {  // 从数据源加载授权信息  info = loadAuthorizationInfo(username);  // 将授权信息放入缓存  authorizationCache.put(username, info);  }  return info;  }  // 加载授权信息的方法  private AuthorizationInfo loadAuthorizationInfo(String username) {  // 实现从数据源加载授权信息的逻辑  }  // 设置缓存实例的方法（通常在Spring配置中注入）  public void setAuthorizationCache(Cache<String, AuthorizationInfo> authorizationCache) {  this.authorizationCache = authorizationCache;  }  
}