中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
  • 首頁 > 
  • 教程 > 
  • 開發技術 > 
  • springboot+shiro之登錄人數限制、登錄判斷重定向、session時間設置的示例分析

springboot+shiro之登錄人數限制、登錄判斷重定向、session時間設置的示例分析

發布時間:2021-11-22 15:01:49 來源:億速云 閱讀:241 作者:小新 欄目:開發技術

這篇文章將為大家詳細講解有關springboot+shiro之登錄人數限制、登錄判斷重定向、session時間設置的示例分析,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。

springboot + shiro之登錄人數控制

項目

前篇:spring boot + mybatis + layui + shiro后臺權限管理系統:https://blog.51cto.com/wyait/2082803

本文是基于spring boot + mybatis + layui + shiro后臺權限管理系統開發的,新增功能:

  1. shiro并發登陸人數控制(超出登錄用戶最大配置數量,清理用戶)功能;

  2. 解決在父子頁面中,判斷用戶未登錄之后,重定向到登錄頁面嵌套顯示問題;

  3. 解決ajax請求,判斷用戶未登錄之后,如何重定向到登錄頁面問題;

  4. 解決使用并完成了功能1,導致的session有效時間沖突問題。

后篇:

  • springboot + shiro 動態更新用戶信息:https://blog.51cto.com/wyait/2112200

  • springboot + shiro 權限注解、統一異常處理、請求亂碼解決 :https://blog.51cto.com/wyait/2125708

項目源碼

項目源碼:(包含數據庫源碼)  
github源碼: https://github.com/wyait/manage.git  
碼云:https://gitee.com/wyait/manage.git  
github對應項目源碼目錄:wyait-manage-1.2.0  
碼云對應項目源碼目錄:wyait-manage-1.2.0

場景

同一個用戶,先在A×××登錄;之后在B×××登錄時,退出A×××的登錄狀態;反之相同。或者限制同一個用戶在不同的設備上,同時在線的數量;

技術實現

基于shiro和ehcache實現

解決思路

spring security就直接提供了相應的功能;  
Shiro的話沒有提供默認實現,不過可以在Shiro中加入這個功能。就是使用shiro強大的自定義訪問控制攔截器:AccessControlFilter,集成這個接口后要實現下面這2個方法。

    /**
     * Returns <code>true</code> if the request is allowed to proceed through the filter normally, or <code>false</code>
     * if the request should be handled by the
     * {@link #onAccessDenied(ServletRequest,ServletResponse,Object) onAccessDenied(request,response,mappedValue)}
     * method instead.
     *
     * @param request     the incoming <code>ServletRequest</code>
     * @param response    the outgoing <code>ServletResponse</code>
     * @param mappedValue the filter-specific config value mapped to this filter in the URL rules mappings.
     * @return <code>true</code> if the request should proceed through the filter normally, <code>false</code> if the
     *         request should be processed by this filter's
     *         {@link #onAccessDenied(ServletRequest,ServletResponse,Object)} method instead.
     * @throws Exception if an error occurs during processing.
     */
    protected abstract boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception;

    ... ...
    /**
     * Processes requests where the subject was denied access as determined by the
     * {@link #isAccessAllowed(javax.servlet.ServletRequest, javax.servlet.ServletResponse, Object) isAccessAllowed}
     * method.
     *
     * @param request  the incoming <code>ServletRequest</code>
     * @param response the outgoing <code>ServletResponse</code>
     * @return <code>true</code> if the request should continue to be processed; false if the subclass will
     *         handle/render the response directly.
     * @throws Exception if there is an error processing the request.
     */
    protected abstract boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception;

查看抽象類AccessControlFilter:

  • isAccessAllowed:表示是否允許訪問;mappedValue就是[urls]配置中攔截器參數部分,如果允許訪問返回true,否則false;

  • onAccessDenied:表示當訪問拒絕時是否已經處理了;如果返回true表示需要繼續處理;如果返回false表示該攔截器實例已經處理了,將直接返回即可。

  • onPreHandle:會自動調用這兩個方法決定是否繼續處理;

另外AccessControlFilter還提供了如下方法用于處理如登錄成功后/重定向到上一個請求:  
springboot+shiro之登錄人數限制、登錄判斷重定向、session時間設置的示例分析    

void setLoginUrl(String loginUrl) //身份驗證時使用,默認/login.jsp  
String getLoginUrl()  
Subject getSubject(ServletRequest request, ServletResponse response) //獲取Subject實例  
boolean isLoginRequest(ServletRequest request, ServletResponse response)//當前請求是否是登錄請求  
void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException //將當前請求保存起來并重定向到登錄頁面  
void saveRequest(ServletRequest request) //將請求保存起來,如登錄成功后再重定向回該請求  
void redirectToLogin(ServletRequest request, ServletResponse response) //重定向到登錄頁面

要進行用戶訪問控制,可以繼承AccessControlFilter。

  • 思路:  
    a. 登陸成功時將用戶保存到了shiro提供的session中,并同時添加到ehcache緩存中;  
    b. KickoutSessionFilter拿到了session之后先判斷能不能通過緩存取到值,如果取得到再和服務器端session進行匹配(用戶的名字(每個用戶的名字必須不同));  
    c. 如果匹配,系統會為新登錄的用戶新建一個session;之前的session確認失效并踢出,老用戶就無法繼續操作而被迫下線;

shiro技術實現流程

下面就是自定義的訪問控制攔截器:KickoutSessionFilter:

自定義過濾器類KickoutSessionFilter
package com.wyait.manage.filter;

import java.io.Serializable;
import java.util.ArrayDeque;
import java.util.Deque;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import com.wyait.manage.pojo.User;
import org.apache.shiro.cache.Cache;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.DefaultSessionKey;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.AccessControlFilter;
import org.apache.shiro.web.util.WebUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import com.lyd.admin.pojo.AdminUser;

/**
 * 
 * @項目名稱:wyait-manager
 * @類名稱:KickoutSessionFilter
 * @類描述:自定義過濾器,進行用戶訪問控制
 * @創建人:wyait
 * @創建時間:2018年4月24日 下午5:18:29
 * @version:
 */
public class KickoutSessionFilter extends AccessControlFilter {

    private static final Logger logger = LoggerFactory
            .getLogger(KickoutSessionFilter.class);

    private String kickoutUrl; // 踢出后到的地址
    private boolean kickoutAfter = false; // 踢出之前登錄的/之后登錄的用戶 默認false踢出之前登錄的用戶
    private int maxSession = 1; // 同一個帳號最大會話數 默認1
    private SessionManager sessionManager;
    private Cache<String, Deque<Serializable>> cache;

    public void setKickoutUrl(String kickoutUrl) {
        this.kickoutUrl = kickoutUrl;
    }

    public void setKickoutAfter(boolean kickoutAfter) {
        this.kickoutAfter = kickoutAfter;
    }

    public void setMaxSession(int maxSession) {
        this.maxSession = maxSession;
    }

    public void setSessionManager(SessionManager sessionManager) {
        this.sessionManager = sessionManager;
    }

    // 設置Cache的key的前綴
    public void setCacheManager(CacheManager cacheManager) {
        //必須和ehcache緩存配置中的緩存name一致
        this.cache = cacheManager.getCache("shiro-activeSessionCache");
    }

    @Override
    protected boolean isAccessAllowed(ServletRequest request,
            ServletResponse response, Object mappedValue) throws Exception {
        return false;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request,
            ServletResponse response) throws Exception {
        Subject subject = getSubject(request, response);
        // 沒有登錄授權 且沒有記住我
        if (!subject.isAuthenticated() && !subject.isRemembered()) {
            // 如果沒有登錄,直接進行之后的流程
            return true;
        }
        Session session = subject.getSession();
        logger.debug("==session時間設置:" + String.valueOf(session.getTimeout())
                + "===========");
        try {
            // 當前用戶
            User user = (User) subject.getPrincipal();
            String username = user.getUsername();
            logger.debug("===當前用戶username:==" + username);
            Serializable sessionId = session.getId();
            logger.debug("===當前用戶sessionId:==" + sessionId);
            // 讀取緩存用戶 沒有就存入
            Deque<Serializable> deque = cache.get(username);
            logger.debug("===當前deque:==" + deque);
            if (deque == null) {
                // 初始化隊列
                deque = new ArrayDeque<Serializable>();
            }
            // 如果隊列里沒有此sessionId,且用戶沒有被踢出;放入隊列
            if (!deque.contains(sessionId)
                    && session.getAttribute("kickout") == null) {
                // 將sessionId存入隊列
                deque.push(sessionId);
                // 將用戶的sessionId隊列緩存
                cache.put(username, deque);
            }
            // 如果隊列里的sessionId數超出最大會話數,開始踢人
            while (deque.size() > maxSession) {
                logger.debug("===deque隊列長度:==" + deque.size());
                Serializable kickoutSessionId = null;
                // 是否踢出后來登錄的,默認是false;即后者登錄的用戶踢出前者登錄的用戶;
                if (kickoutAfter) { // 如果踢出后者
                    kickoutSessionId = deque.removeFirst();
                } else { // 否則踢出前者
                    kickoutSessionId = deque.removeLast();
                }
                // 踢出后再更新下緩存隊列
                cache.put(username, deque);
                try {
                    // 獲取被踢出的sessionId的session對象
                    Session kickoutSession = sessionManager
                            .getSession(new DefaultSessionKey(kickoutSessionId));
                    if (kickoutSession != null) {
                        // 設置會話的kickout屬性表示踢出了
                        kickoutSession.setAttribute("kickout", true);
                    }
                } catch (Exception e) {// ignore exception
                }
            }
            // ajax請求

            // 如果被踢出了,(前者或后者)直接退出,重定向到踢出后的地址
            if ((Boolean) session.getAttribute("kickout") != null
                    && (Boolean) session.getAttribute("kickout") == true) {
                // 會話被踢出了
                try {
                    // 退出登錄
                    subject.logout();
                } catch (Exception e) { // ignore
                }
                saveRequest(request);
                logger.debug("==踢出后用戶重定向的路徑kickoutUrl:" + kickoutUrl);
                // 重定向
                WebUtils.issueRedirect(request, response, kickoutUrl);
                return false;
            }
            return true;
        } catch (Exception e) { // ignore
            //重定向到登錄界面
            WebUtils.issueRedirect(request, response, "/login");
            return false;
        }
    }

}
設置ShiroConfig配置類
  • SessionDAO  用于會話的CRUD;查看該接口源碼:

public interface SessionDAO {  
    /*如DefaultSessionManager在創建完session后會調用該方法; 
      如保存到關系數據庫/文件系統/NoSQL數據庫;即可以實現會話的持久化; 
      返回會話ID;主要此處返回的ID.equals(session.getId());   
    */    
    Serializable create(Session session);    

    //根據會話ID獲取會話    
    Session readSession(Serializable sessionId) throws UnknownSessionException;    

    //更新會話;如更新會話最后訪問時間/停止會話/設置超時時間/設置移除屬性等會調用    
    void update(Session session) throws UnknownSessionException;    

    //刪除會話;當會話過期/會話停止(如用戶退出時)會調用    
    void delete(Session session);    

    //獲取當前所有活躍用戶,如果用戶量多此方法影響性能    
    Collection<Session> getActiveSessions();     
}

SessionDAO實現類:

a. AbstractSessionDAO提供了SessionDAO的基礎實現,如生成會話ID等;  
b. CachingSessionDAO提供了對開發者透明的會話緩存的功能,只需要設置相應的CacheManager即可;  
c. MemorySessionDAO直接在內存中進行會話維護;  
d. EnterpriseCacheSessionDAO提供了緩存功能的會話維護,默認情況下使用MapCache實現,內部使用ConcurrentHashMap保存緩存的會話。
  1. ShiroConfig配置類中EnterpriseCacheSessionDAO配置:

    /**
     * EnterpriseCacheSessionDAO shiro sessionDao層的實現;
     * 提供了緩存功能的會話維護,默認情況下使用MapCache實現,內部使用ConcurrentHashMap保存緩存的會話。
     */
    @Bean
    public EnterpriseCacheSessionDAO enterCacheSessionDAO() {
        EnterpriseCacheSessionDAO enterCacheSessionDAO = new EnterpriseCacheSessionDAO();
        //添加緩存管理器
        //enterCacheSessionDAO.setCacheManager(ehCacheManager());
        //添加ehcache活躍緩存名稱(必須和ehcache緩存名稱一致)
        enterCacheSessionDAO.setActiveSessionsCacheName("shiro-activeSessionCache");
        return enterCacheSessionDAO;
    }
  2. SessionManager配置:

/**
     *
     * @描述:sessionManager添加session緩存操作DAO
     * @創建人:wyait
     * @創建時間:2018年4月24日 下午8:13:52
     * @return
     */
    @Bean
    public DefaultWebSessionManager sessionManager() {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        //sessionManager.setCacheManager(ehCacheManager());
        sessionManager.setSessionDAO(enterCacheSessionDAO());
        return sessionManager;
    }
  1. kickoutSessionFilter配置

/**
     *
     * @描述:kickoutSessionFilter同一個用戶多設備登錄限制
     * @創建人:wyait
     * @創建時間:2018年4月24日 下午8:14:28
     * @return
     */
    public KickoutSessionFilter kickoutSessionFilter(){
        KickoutSessionFilter kickoutSessionFilter = new KickoutSessionFilter();
        //使用cacheManager獲取相應的cache來緩存用戶登錄的會話;用于保存用戶—會話之間的關系的;
        //這里我們還是用之前shiro使用的ehcache實現的cacheManager()緩存管理
        //也可以重新另寫一個,重新配置緩存時間之類的自定義緩存屬性
        kickoutSessionFilter.setCacheManager(ehCacheManager());
        //用于根據會話ID,獲取會話進行踢出操作的;
        kickoutSessionFilter.setSessionManager(sessionManager());
        //是否踢出后來登錄的,默認是false;即后者登錄的用戶踢出前者登錄的用戶;踢出順序。
        kickoutSessionFilter.setKickoutAfter(false);
        //同一個用戶最大的會話數,默認1;比如2的意思是同一個用戶允許最多同時兩個人登錄;
        kickoutSessionFilter.setMaxSession(1);
        //被踢出后重定向到的地址;
        kickoutSessionFilter.setKickoutUrl("/toLogin?kickout=1");
        return kickoutSessionFilter;
    }
  1. 將SessionManager交給SecurityManager管理

/**
     * shiro安全管理器設置realm認證、ehcache緩存管理、session管理器、Cookie記住我管理器
     * @return
     */
    @Bean public org.apache.shiro.mgt.SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 設置realm.
        securityManager.setRealm(shiroRealm());
        // //注入ehcache緩存管理器;
        securityManager.setCacheManager(ehCacheManager());
        // //注入session管理器;
        securityManager.setSessionManager(sessionManager());
        //注入Cookie記住我管理器
        securityManager.setRememberMeManager(rememberMeManager());
        return securityManager;
    }
  1. 配置filterChainDefinitionMap

...
//添加kickout認證
HashMap<String,Filter> hashMap=new HashMap<String,Filter>();
hashMap.put("kickout",kickoutSessionFilter());
shiroFilterFactoryBean.setFilters(hashMap);
...
filterChainDefinitionMap.put("/**", "kickout,authc");
...

解決子頁面,重定向之后,出現頁面嵌套的問題

新增登錄中轉頁面toLogin.html
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<!--head部分-->
<head th:include="layout :: htmlhead" th:with="title='利易達貸款后臺'">
</head>
<script type="text/javascript">
var href=window.location.href;
if(href.indexOf("kickout")>0){
    setTimeout("top.location.href='/login?kickout';", 0); 
}else{
    setTimeout("top.location.href='/login';", 0); 
}
</script>
</html>
更改shiro中filterChainDefinitionMap配置
// 指定要求登錄時的鏈接
shiroFilterFactoryBean.setLoginUrl("/toLogin");
...
// 配置不會被攔截的鏈接 從上向下順序判斷
filterChainDefinitionMap.put("/login", "anon");

上面兩個配置,即可解決頁面重定向后,嵌套問題。

ajax請求問題

如果對用戶在線數量進行限制,踢出了之前登錄的用戶A;這時候用戶A在系統中,發送了一個ajax請求,會出現彈框空白等問題;

解決方案
  1. 自定義ShiroFilterUtils工具類判斷請求是否為ajax

package com.wyait.manage.utils;

import javax.servlet.ServletRequest;
import javax.servlet.http.HttpServletRequest;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
/**
 * 
 * @項目名稱:wyait-manager
 * @類名稱:ShiroFilterUtils
 * @類描述:shiro工具類
 * @創建人:wyait
 * @創建時間:2018年4月24日 下午5:12:04 
 * @version:
 */
public class ShiroFilterUtils {
    private static final Logger logger = LoggerFactory
            .getLogger(ShiroFilterUtils.class);
    /**
     * 
     * @描述:判斷請求是否是ajax
     * @創建人:wyait
     * @創建時間:2018年4月24日 下午5:00:22
     * @param request
     * @return
     */
    public static boolean isAjax(ServletRequest request){
        String header = ((HttpServletRequest) request).getHeader("X-Requested-With");
        if("XMLHttpRequest".equalsIgnoreCase(header)){
            logger.debug("shiro工具類【wyait-manager-->ShiroFilterUtils.isAjax】當前請求,為Ajax請求");
            return Boolean.TRUE;
        }
        logger.debug("shiro工具類【wyait-manager-->ShiroFilterUtils.isAjax】當前請求,非Ajax請求");
        return Boolean.FALSE;
    }
}
  1. 調整KickoutSessionFilter過濾器,新增ajax請求判斷和響應

private final static ObjectMapper objectMapper = new ObjectMapper();
...
// ajax請求
/**
 * 判斷是否已經踢出
 * 1.如果是Ajax 訪問,那么給予json返回值提示。
 * 2.如果是普通請求,直接跳轉到登錄頁
 */
//判斷是不是Ajax請求
ResponseResult responseResult = new ResponseResult();
if (ShiroFilterUtils.isAjax(request) ) {
    logger.debug(getClass().getName()+ "當前用戶已經在其他地方登錄,并且是Ajax請求!");
    responseResult.setCode(IStatusMessage.SystemStatus.MANY_LOGINS.getCode());
    responseResult.setMessage("您已在別處登錄,請您修改密碼或重新登錄");
    out(response, responseResult);
}else{
    // 重定向
    WebUtils.issueRedirect(request, response, kickoutUrl);
}
...
/**
 * 
 * @描述:response輸出json
 * @創建人:wyait
 * @創建時間:2018年4月24日 下午5:14:22
 * @param response
 * @param result
 */
public static void out(ServletResponse response, ResponseResult result){
    PrintWriter out = null;
    try {
        response.setCharacterEncoding("UTF-8");//設置編碼
        response.setContentType("application/json");//設置返回類型
        out = response.getWriter();
        out.println(objectMapper.writeValueAsString(result));//輸出
        logger.error("用戶在線數量限制【wyait-manager-->KickoutSessionFilter.out】響應json信息成功");
    } catch (Exception e) {
        logger.error("用戶在線數量限制【wyait-manager-->KickoutSessionFilter.out】響應json信息出錯", e);
    }finally{
        if(null != out){
            out.flush();
            out.close();
        }
    }
}
  1. 前端編寫公共判斷用戶是否登錄方法isLogin

/**
 * 判斷是否登錄,沒登錄刷新當前頁,促使Shiro攔截后跳轉登錄頁
 * @param result    ajax請求返回的值
 * @returns {如果沒登錄,刷新當前頁}
 */
function isLogin(result){
    if(result && result.code && result.code == '1101'){
        window.location.reload(true);//刷新當前頁
    }
    return true;//返回true
}
  1. js中ajax調用isLogin方法

$.post("/user/delUser",{"id":id},function(data){
    //判斷用戶是否登錄
    if(isLogin(data)){
        if(data=="ok"){
            //回調彈框
            layer.alert("刪除成功!",function(){
                layer.closeAll();
                //加載load方法
                load(obj);//自定義
            });
        }else{
            layer.alert(data);//彈出錯誤提示
        }
    }
});

只改動了userList.js用戶列表界面,其他界面//TODO  

  1. 測試  
    同一個用戶在線沖突測試,然后點擊先登錄用戶界面中其中一個ajax方法,如果后臺用戶已退出,前臺isLogin刷新頁面,重新請求重定向到/toLogin?kickout頁面,最終跳轉到登錄界面。

session有效時間設置

session默認有效時間:30分鐘(1800s)

  • spring boot session時間配置:

    # 會話超時(秒)1天
    server.session.timeout=86400
  • session有效時間問題  
    使用shiro進行用戶在線數量限制功能中,securityManager配置sessionManager之后,springboot中配置的session有效時間無效(sessionManager管理器覆蓋了springboot中session有效時間的配置)。

session過期問題

使用shiro進行用戶在線數量限制功能;用戶登錄后,2分鐘不操作,之后session失效。

原因

  1. spring boot整合shiro,在使用shiro進行用戶在線數量限制時,重新配置了SessionManger,

// //注入session管理器;
securityManager.setSessionManager(sessionManager());

SessionManager,配置EnterpriseCacheSessionDAO:

sessionManager.setSessionDAO(enterCacheSessionDAO());

EnterpriseCacheSessionDAO類,存取session的時候,是通過ehcache緩存中操作的。

這里如果配置有緩存的話需要給其配置一個cache的鍵類似于:

shiro默認了一個默認值為:shiro-activeSessionCache,如果不相同(cache文件中的鍵值) 需要進行替換,最終進行session存取的類為CachingSessionDAO

緩存管理器使用的是org.apache.shiro.cache.ehcache.EhCacheManager,那么最終shiro在找session的時候也會調用getCache。

Ehcache.xml配置

<!-- shiro-activeSessionCache活躍用戶session緩存策略 -->
    <cache name="shiro-activeSessionCache"
           maxElementsInMemory="10000"
           timeToIdleSeconds="120"
           timeToLiveSeconds="120"
           maxElementsOnDisk="10000000"
           diskExpiryThreadIntervalSeconds="120"
           memoryStoreEvictionPolicy="LRU">
    </cache>

這里配置了session緩存時間為2分鐘,故會出現登錄2分鐘無操作后,session失效問題。

  1. shiro拿到ehcache緩存中的session后,和服務器中的session校驗匹配,這時,如果服務器的session失效,也會出現問題;  
    假設設置服務器端當前用戶的session為30s【

    SecurityUtils.getSubject().getSession().setTimeout(30000);//毫秒

    】,ehcache中session有效時間120s不變;在無操作30s后,請求后臺,報錯如下:

org.apache.shiro.session.ExpiredSessionException: Session with id [8aac0daf-c432-44b6-86cc-a618095ad2bd] has expired. Last access time: 18-4-24 上午11:32.  Current time: 18-4-24 上午11:33.  Session timeout is set to 30 seconds (0 minutes)
    at org.apache.shiro.session.mgt.SimpleSession.validate(SimpleSession.java:292) ~[shiro-core-1.3.1.jar:1.3.1]
    at org.apache.shiro.session.mgt.AbstractValidatingSessionManager.doValidate(AbstractValidatingSessionManager.java:186) ~[shiro-core-1.3.1.jar:1.3.1]
... ...

故ehcache緩存中session的有效時間和服務器端session有效時間必須配置一致。

解決方案

  1. 服務端session時間設置:

//session有效時間1天(毫秒)
SecurityUtils.getSubject().getSession().setTimeout(86400000);
  • 設置的最大時間,正負都可以,為負數時表示永不超時。

    SecurityUtils.getSubject().getSession().setTimeout(-1000l);

    注意:這里設置的時間單位是:ms,但是Shiro會把這個時間轉成:s,而且是會舍掉小數部分,這樣設置的是-1ms,轉成s后就是0s,馬上就過期了。所有要是除以1000以后還是負數,必須設置小于-1000

  1. 將Ehcache.xml時間配置和服務器設置的session有效時間保持一致。

    <!-- shiro-activeSessionCache活躍用戶session緩存策略(秒) -->
    <cache name="shiro-activeSessionCache"
           maxElementsInMemory="10000"
           timeToIdleSeconds="86400"
           timeToLiveSeconds="86400"
           maxElementsOnDisk="10000000"
           diskExpiryThreadIntervalSeconds="120"
           memoryStoreEvictionPolicy="LRU">
    </cache>

    通過代碼中查看session有效時間:

logger.debug("session設置的有效時間:"+request.getSession().getMaxInactiveInterval());
logger.debug("shiro中session設置的有效時間:"+SecurityUtils.getSubject().getSession().getTimeout());
//86400(秒)
//86400000(毫秒)

總結

具體實現可以根據具體需求做調整;近期提供redis實現版本。

20180426版本更新內容

  1. 編輯用戶自己成功后,執行退出,重新登錄信息生效;

  2. 禁止用戶刪除自己;

  3. 優化用戶列表操作信息提示;

  4. 角色管理列表,通過添加參數callback,實現菜單回顯選中;

20180503版本更新內容

  1. 新增用戶表version版本字段;

  2. 更新用戶操作,通過version字段來保證數據一致;

  3. 新增通過攔截器實現動態更新用戶信息(同步更新在線用戶信息);

  4. 新增登錄成功后默認頁面home.html;

  5. 頁面操作細節優化。

spring boot + shiro 動態更新用戶信息

鏈接入口--> spring boot + shiro 動態更新用戶信息:https://blog.51cto.com/wyait/2112200

20180606版本更新內容

  1. 新增shiro權限注解;

  2. 請求亂碼問題解決;

  3. 統一異常處理;

  4. 頁面操作細節優化。

springboot + shiro 權限注解、統一異常處理、請求亂碼解決

鏈接入口--> springboot + shiro 權限注解、統一異常處理、請求亂碼解決 :https://blog.51cto.com/wyait/2125708

TODO

  • 后臺方法級別權限控制,通過shiro配置可實現;具體用戶管理的操作根據業務實際的需求可做調整;

關于“springboot+shiro之登錄人數限制、登錄判斷重定向、session時間設置的示例分析”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

鹤峰县| 重庆市| 临泉县| 花莲市| 多伦县| 上虞市| 大化| 吴堡县| 阳江市| 吴桥县| 五家渠市| 谷城县| 兴和县| 佛冈县| 措勤县| 新巴尔虎左旗| 鸡泽县| 古丈县| 托里县| 岢岚县| 滨州市| 郯城县| 荔浦县| 叙永县| 会宁县| 留坝县| 平凉市| 夏河县| 丽江市| 宁远县| 南通市| 高邑县| 周至县| 万安县| 三明市| 卓尼县| 崇阳县| 兴安盟| 双峰县| 宁夏| 勐海县|