Shiro提供的功能结构图:
Shiro详细的架构:
Shiro中的各类过滤器
| Filter Name | Class |
|---|---|
| anon | org.apache.shiro.web.filter.authc.AnonymousFilter |
| authc | org.apache.shiro.web.filter.authc.FormAuthenticationFilter |
| authcBasic | org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter |
| logout | org.apache.shiro.web.filter.authc.LogoutFilter |
| noSessionCreation | org.apache.shiro.web.filter.session.NoSessionCreationFilter |
| perms | org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter |
| port | org.apache.shiro.web.filter.authz.PortFilter |
| rest | org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter |
| roles | org.apache.shiro.web.filter.authz.RolesAuthorizationFilter |
| ssl | org.apache.shiro.web.filter.authz.SslFilter |
| user | org.apache.shiro.web.filter.authc.UserFilter |
单一登录:同一个账户同一时间只能在一个地方登录。
项目Spring+SpringMVC+Mybatis,引入了Shiro作认证授权。公司要求实现一个单一登录功能,大部分人做法都是在自定义实现Realm的doGetAuthenticationInfo里面做session过滤和删除,这在没有启用Shiro的rememberMe功能是可以生效的,但是启用了rememberMe功能后,会发现session移除无效,用户仍然可以登录。
Realm中doGetAuthenticationInfo实现
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String userName = (String) token.getPrincipal();
UserEntity user = userService.queryByLoginName(userName);
if (user == null) {
throw new AuthenticationException("帐号密码错误");
}
//错误次数控制
checkLoginErrorTimes(userName);
//单一登录控制
checkSingleSingOn(user);
SimpleAuthenticationInfo sainfo = new SimpleAuthenticationInfo(user, user.getPassWord(), ByteSource.Util.bytes(user.getSalt()), getName());
return sainfo;
}
单一登录控制:
/**
* 用户单一登录
* @param user 用户实体
*/
private void checkSingleSingOn(UserEntity user) {
DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager();
DefaultWebSessionManager sessionManager = (DefaultWebSessionManager) securityManager.getSessionManager();
//获取当前已登录的用户session列表
SessionDAO sessionDAO = sessionManager.getSessionDAO();
Collection<Session> sessions = sessionDAO.getActiveSessions();
for (Session session : sessions) {
//清除该用户以前登录时保存的session
if (user.getId().equals(String.valueOf(session.getAttribute("userId")))) {
// 清除认证缓存
sessionDAO.delete(session);
}
}
}
RememberAuthenticationFilter实现
public class RememberAuthenticationFilter extends FormAuthenticationFilter{
@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
Subject subject = getSubject(request, response);
//如果 isAuthenticated 为 false 证明不是登录过的,同时 isRememberd 为true 证明是没登陆直接通过记住我功能进来的
if(!subject.isAuthenticated() && subject.isRemembered()){
//获取session看看是不是空的
Session session = subject.getSession();
// 用于处理单一登录问题,由于使用了rememberMe功能,所以导致移除session用户身份仍然短期有效,这边做登出处理
if(session.getAttribute("userId") == null){
subject.logout();
}
}
//这个方法本来只返回 subject.isAuthenticated() 现在我们加上 subject.isRemembered() 让它同时也兼容remember这种情况
return subject.isAuthenticated() || subject.isRemembered();
}
}
1、没有在RememberMe中做过滤的场景
初始化时,Redis中没有任何数据。
第一次登录,创建了一个用户的Session(Chrome)
第二次登录清除了第一次登录的session,但是同时又创建了新的session(Firefox)
刷新第一次登录的页面,会发现多了两个session-id,并且页面用户凭证仍然有效,session被重建了···(这里是由于RememberMe的机制干扰,导致了单一 登录的功能无法正常控制)
2、在RememberMe加入过滤后以同样的方式进行
第一次登录,创建了一个用户的Session(Chrome)
第二次登录清除了第一次登录的session,但是同时又创建了新的session(Firefox)
刷新第一次登录的页面,redis里面的session没有新增,session没有重建,而是跳转到登录页面,成功。
