redis-shiro session 共享 session, SimpleSession序列化大坑

最新推荐文章于 2023-10-18 13:25:08 发布
原创 最新推荐文章于 2023-10-18 13:25:08 发布 · 2.1k 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#shiro #redis #session #json #spring boot
本文介绍如何利用Shiro和Redis实现分布式环境下的Session共享,确保用户在服务器切换时无需重复登录。文章提供了自定义RedisSessionDao和RedisCacheManager的具体实现,并讨论了序列化过程中可能遇到的问题及解决方案。

shiro 通过redis实现session共享

共享Session目的
在分布式服务的工程中,一个服务器断了,负载均衡服务器会把请求分配给其他的服务器,如果设置了session共享,就不需要用户再次登录了.
shiro实现session共享的原理
默认的情况下,shiro的session是在服务器上的,当该服务器宕掉了,session就不存在了,用户必须重新登录,如果我们把shiro的session存到redis服务器上,就可以实现session共享了.
如何实现?
如果我们想通过redis实现shiro的session共享,只需要把shiro的安全管理器(SecurityManager)中的2个属性替换了就可以实现共享
但是序列化还有个大坑,如果你也遇到了,请看到最后

  1. sessionDAO
  2. cacheManager
    下面是自定义的这2个属性的代码
    **RedisSessionDao **
import org.apache.shiro.session.Session;
import org.apache.shiro.session.UnknownSessionException;
import org.apache.shiro.session.mgt.eis.AbstractSessionDAO;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.data.redis.core.RedisTemplate;

import java.io.Serializable;
import java.util.Collection;
import java.util.HashSet;
import java.util.Set;
import java.util.concurrent.TimeUnit;

public class RedisSessionDao extends AbstractSessionDAO {
    private static Logger logger = LoggerFactory.getLogger(RedisSessionDao.class);
    private RedisTemplate redisTemplate;
    private String keyPrefix = "shiro.redis.session:";

    public RedisSessionDao(RedisTemplate redisTemplate) {
        this.redisTemplate = redisTemplate;
    }

    private String getKey(String key) {
        return keyPrefix + key;
    }

    private void saveSession(Session session) throws UnknownSessionException {
        if (session != null && session.getId() != null) {
            String key = this.getKey(session.getId().toString());
            session.setTimeout(30*60*1000);
            redisTemplate.opsForValue().set(key, session, 30*60*1000, TimeUnit.MILLISECONDS);
        } else {
            logger.error("session or session id is null");
        }
    }

    @Override
    public void update(Session session) throws UnknownSessionException {
        this.saveSession(session);
    }

    @Override
    public void delete(Session session) {
        try {
            String key = getKey(session.getId().toString());
            redisTemplate.delete(key);
        } catch (Exception e) {
            logger.error(e.getMessage(), e);
        }

    }

    @Override
    public Collection<Session> getActiveSessions() {
        Set<Session> sessions = new HashSet<>();
        Set<String> keys = redisTemplate.keys(getKey("*"));
        if (keys != null && keys.size() > 0) {
            for (String key : keys) {
                Session s = (Session) redisTemplate.opsForValue().get(key);
                sessions.add(s);
            }
        }
        return sessions;
    }

    @Override
    protected Serializable doCreate(Session session) {
        Serializable sessionId = this.generateSessionId(session);
        this.assignSessionId(session, sessionId);
        this.saveSession(session);

        return sessionId;
    }

    @Override
    protected Session doReadSession(Serializable sessionId) {
        Session readSession = null;
        try {
            readSession = (Session) redisTemplate.opsForValue().get(getKey(sessionId.toString()));
        } catch (Exception e) {
            logger.error(e.getMessage(),e);
        }
        return readSession;
    }
}

RedisCacheManager

import org.apache.shiro.cache.Cache;
import org.apache.shiro.cache.CacheException;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.data.redis.core.RedisTemplate;

import java.util.*;
import java.util.concurrent.ConcurrentHashMap;
import java.util.concurrent.ConcurrentMap;
import java.util.concurrent.TimeUnit;

public class RedisCacheManager implements CacheManager {
    private final ConcurrentMap<String, Cache> caches = new ConcurrentHashMap<String, Cache>();

    private RedisTemplate redisTemplate;

    public RedisCacheManager(RedisTemplate redisTemplate) {
        this.redisTemplate = redisTemplate;
    }

    @Override
    public <K, V> Cache<K, V> getCache(String name) throws CacheException {
        Cache cache = this.caches.get(name);
        if (cache == null) {
            //自定义shiroCache
            cache = new ShiroRedisCache<K, V>();
            this.caches.put(name, cache);
        }
        return cache;
    }

    private class ShiroRedisCache<K, V> implements Cache<K, V> {
        private long cacheLive = 30*60*1000;
        private String cacheKeyPrefix = "shiro.redis.cacheKey:";

        @Override
        public V get(K k) throws CacheException {
            return (V) redisTemplate.opsForValue().get(this.getRedisCacheKey(k));
        }

        @Override
        public V put(K k, V v) throws CacheException {
            redisTemplate.opsForValue().set(this.getRedisCacheKey(k), v, cacheLive, TimeUnit.MINUTES);
            return v;
        }

        @Override
        public V remove(K k) throws CacheException {
            V obj = (V) redisTemplate.opsForValue().get(this.getRedisCacheKey(k));
            redisTemplate.delete(this.getRedisCacheKey(k));
            return obj;
        }

        @Override
        public void clear() throws CacheException {
            Set keys = redisTemplate.keys(this.cacheKeyPrefix + "*");
            if (null != keys && keys.size() > 0) {
                Iterator itera = keys.iterator();
                redisTemplate.delete(itera.next());
            }
        }

        @Override
        public int size() {
            Set<K> keys = redisTemplate.keys(this.cacheKeyPrefix + "*");
            return keys.size();
        }

        @Override
        public Set<K> keys() {
            return redisTemplate.keys(this.cacheKeyPrefix + "*");
        }

        @Override
        public Collection<V> values() {
            Set<K> keys = redisTemplate.keys(this.cacheKeyPrefix + "*");
            Set<V> values = new HashSet<V>(keys.size());
            for (K key : keys) {
                values.add((V) redisTemplate.opsForValue().get(this.getRedisCacheKey(key)));
            }
            return values;
        }

        private String getRedisCacheKey(K key) {
            Object redisKey = this.getStringRedisKey(key);
            if (redisKey instanceof String) {
                return this.cacheKeyPrefix + redisKey;
            } else {
                return String.valueOf(redisKey);
            }
        }


        private Object getStringRedisKey(K key) {
            Object redisKey;
            if (key instanceof PrincipalCollection) {
                redisKey = this.getRedisKeyFromPrincipalCollection((PrincipalCollection) key);
            } else {
                redisKey = key.toString();
            }
            return redisKey;
        }

        private Object getRedisKeyFromPrincipalCollection(PrincipalCollection key) {
            List realmNames = this.getRealmNames(key);
            Collections.sort(realmNames);
            Object redisKey = this.joinRealmNames(realmNames);
            return redisKey;
        }

        private List<String> getRealmNames(PrincipalCollection key) {
            ArrayList realmArr = new ArrayList();
            Set realmNames = key.getRealmNames();
            Iterator i$ = realmNames.iterator();
            while (i$.hasNext()) {
                String realmName = (String) i$.next();
                realmArr.add(realmName);
            }
            return realmArr;
        }

        private Object joinRealmNames(List<String> realmArr) {
            StringBuilder redisKeyBuilder = new StringBuilder();
            for (int i = 0; i < realmArr.size(); ++i) {
                String s = realmArr.get(i);
                redisKeyBuilder.append(s);
            }
            String redisKey = redisKeyBuilder.toString();
            return redisKey;
        }
    }
}

然后在shiro配置的时候替换这2个属性

@Autowired
    private RedisTemplate redisTemplate;
@Bean
    public DefaultWebSessionManager defaultWebSessionManager() {
        DefaultWebSessionManager defaultWebSessionManager = new DefaultWebSessionManager();
        defaultWebSessionManager.setSessionDAO(new RedisSessionDao(redisTemplate));
        return defaultWebSessionManager;
    }

    @Bean
    public SecurityManager securityManager(@Qualifier("manageShiroRealm") ManageShiroRealm manageShiroRealm, @Qualifier("defaultWebSessionManager") DefaultWebSessionManager defaultWebSessionManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //设置自己的ShiroRealm
        securityManager.setSessionManager(defaultWebSessionManager);
        securityManager.setCacheManager(new RedisCacheManager(redisTemplate));
        return securityManager;
    }

session序列化大坑

使用上面的代码就可以把shiro的session存到redis上了,但是还有一个序列化大坑在等着我们
shiro的session的实现类是SimpleSession,这个类是个大坑,重写又很麻烦,很少有人重写,下面我说一下我研究的半天的结果
经常使用的序列化方式有以下几种

  1. java原生序列化,序列化后是二进制,难以查看
  2. Jackson JSON 序列化
  3. FastJSON序列化
  4. ProtoBuff序列化,优点:体积小 速度快 缺点:需要自己写.proto文件,二进制存储,难以查看
    下面我来说一下JSON格式的2中序列化
    b) Jackson2JsonRedisSerializer
    // 指定要序列化的域,field,get和set,以及修饰符范围,ANY是都有包括private和public
    // om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
    // // 指定序列化输入的类型,类必须是非final修饰的,final修饰的类
    // om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
    会出以下问题
  5. isValid()方法会序列化出一个valid,反序列化的时候报错,这个可以设置unknow策略搞定
  6. 但是getAttributesLazy也会被序列化,它没有对应的set方法,走到这里我就不再找解决办法了,应该有解决办法,但是也有可能会出新的问题,时间紧,放弃了
    c) 然后我使用fastJSON来序列化,出现了transient变量不能序列化的问题,这个可以通过修改全局配置来解决
static {
        JSON.DEFAULT_GENERATE_FEATURE = SerializerFeature.config(
                JSON.DEFAULT_GENERATE_FEATURE, SerializerFeature.SkipTransientField, false);
    }

感谢 yarightok

shiro——session会话管理
热门推荐
dgh112233的博客
08-23 1万+
目录 1. 会话 1.1 Session 接口 1.2 SessionManager 会话管理 1.3 SessionListener 会话监听 2. 会话持久化 2.1 SessionDAO接口 2.2AbstractSessionDAO类 2.3 CachingSessionDAO 类 2.4 EnterpriseCacheSessionDAO 类 2.5 Memo...
shiro + redis session过期时间不符合预期,提前过期
浪丶荡
12-20 4955
shiro + redis session过期时间不符合预期,提前过期 redis的过期时间设置的是8小时,如下 /** * 配置shiro redisManager * 使用的是shiro-redis开源插件 * * @return */ public RedisManager redisManager() { Red...
shiro框架如何保持登录状态
weixin_40835745的博客
12-17 4450
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、shiro保持登录状态的方式?二、具体过程1.登录系统2.关闭浏览器3.登出系统4.RememberMe功能总结 前言 最近一段时间在研究shiro框架,发现网上很少有讲在登录之后,shiro是如何保持登陆状态的,或者换句话说就是后台服务能够在你登录之后,知道你是谁,知道你有哪些权限,知道你的角色是什么 一、shiro保持登录状态的方式? 现在大部分的web项目都是采用前后端分离的架构,而保持登录状态采用的最多的方式是请
spring boot shiro 登录redis共享sesson配置
RZ_1107的专栏
08-28 929
由于多台集群服务端导致登录用户session切换问题,使用redis哨兵模式共享shiro登录session; 用到的pom依赖 <dependency> <groupId>com.github.theborakompanioni</groupId> <artifactId>thymeleaf-extras-shiro&lt...
shiro session 放入到 redis 中不被序列化以及 SimpleSession 的 transient 属性序列化方式踩到的坑
weixin_41069382的博客
06-16 5408
1、先来说一下 shiro session 序列化redis 中的过程 shiro session 放入到 redis 中的 过程(序列化过程):1、将 shiroSimpleSession 通过 RedisTemple 模板,有两种方案,即 Jackson 和 fastJson ,都是将 Java对象 打成 json,在转成 buty[] 。补充:在将 Java 对象 打成 ...
shiro SimpleSession序列化
weixin_38989369的博客
11-22 2779
不知道有没有人会问这个序列化它,能有什么用。 假如你和我一样从一个有历史背景的项目中 “脱颖而杀出一条血路” 的话,你可能会觉得这个有用【笑哭了的表情】 项目用的 Shiro,权限 + session 强绑定的技术背景,应用服务通过依赖 shiro sdk 而多点访问 redis 读取session 的业务现状(redisSessionDao 技术兄弟们对这个可能不陌生),多点访问 redis 意味着session 协议升级,与应用服务迭代的相互影响,以及可能会存在小机率的事务性问题(说到这终于想起
shiro源码shirosession的查询、刷新、过期与删除,你值得拥有
weixin_33700350的博客
10-19 1391
SecurityManager是shiro的核心,负责与shiro的其他组件进行交互;SessionManager是session的真正管理者,负责shirosession管理; SessionsSecurityManager的start方法中将session的创建委托给了具体的sessionManager,是创建session的关键入口。 SimpleSessionshiro完完全全的自己实...
在使用线程池+shiro情况下,shiro获取session时数据异常问题探究
weixin_48510551的博客
10-18 1398
使用线程池创建多线程时,shiro获取session异常问题探究
shiro session序列化失败问题
xmind果果
03-13 4004
场景 今天一时兴起想要做个在线用户功能,同时支持内存,mysql,redis三库 都能够持久化的功能,没想到被序列化打败了 shiro SessionDao 的session 实现了ValidatingSession接口,当序列化时转变成字符串会导致多出来 “valid”:true 解决方法 存储session字段修改为byte[] 反序列化的代码修改为 Si...
吃透Shiro源码9----SimpleSession
大宇的博客,欢迎访问
01-09 1031
文章目录技术手法(1)SimpleSession 技术手法 (1)SimpleSession public class SimpleSession implements ValidatingSession, Serializable { private Serializable id; private Date startTimestamp; private Date l...
Spring Boot分布式系统实践【扩展1】shiro+redis实现session共享simplesession序列化失败的问题定位及反思改进...
dbqg57671的博客
03-18 1004
前言 调试之前请先关闭Favicon配置 spring: favicon: enabled: false 不然会发现有2个请求(如果用nginx+ 浏览器调试的话) 序列化工具类【fastjson版本1.2.37】 ```public class FastJson2JsonRedisSerializer implements RedisSerializer { ...
springboot + shiro 整合 redis 解决频繁访问 redis 和更新 session
快乐的小三菊的博客
06-08 3027
关于频繁访问 redis ,一共分为两种情况,第一种是频繁的去 redis 中 读取 session ;另外一种是频繁的去更新 redis 中的 session ,针对这两种情况,分别写出相应的解决方案。
ShiroshiroSession管理
来日浅谈的博客
05-27 2065
ShiroshiroSession管理1. Session管理介绍2. JavaSE环境下3. JavaEE环境下4. Session监听5. Session检测 1. Session管理介绍 shiro作为⼀款安全管理框架,对状态保持有很强的需要。 ⽐如最常⽤的⽤户认证,就必需状态的保持,以及其他的⼀些功能实现的需要。 【shiro需要:认证中的 记住我中的⽤户名 正式登陆的⽤户名 】 【 开发者需要:其他功能中需要存⼊session的值 】 shiro提供了⼀整套session管理⽅案. 1. s
一次java 内存泄漏问题的解决过程
u012954380的博客
11-11 1678
前段时间公司项目运行一段时间 cpu 就占用100%,然后服务就不可用了, 但是那段时间并发也没有升高,数据库,缓存也很正常,弄了很久都没有头绪。于是领导让我来解决这个问题。 登陆服务器 先用top 命令查看cpu 占用 top 发现 java 进程确实占用cpu 很高,继续查看java 内线程的cpu 占用 top -H -p 4536 找到两个线程占用cpu 很高,然后打印ja...
Shiro+JWT+Redis做认证,关于token有效期内续期方案
lucay1992的博客
02-09 2007
最近做的项目Springboot+vue前后端分离 还是选用了扩展功能很强大的shiro作为安全框架 并且弃用了shirosession管理,使用JWT(JSON Web Token)取而代之 现在已经实现登录认证 有个问题是,用户在token有效时间内的正常操作(请求header中携带token的请求)如何刷新token最好? 在网上查了查,我总结出两个方案: 1.第一种方案,单token反复刷新 简单来说就是用户每次访问后台服务,验证老token通过时,会进行jwt续期(重新颁发toke
redis存token(sessionId)时异常
javanewnewman的博客
05-16 848
问题描述:一个用户登录时,会把他的session当token存进redis。 然后另一个用户登录时,取的sessionId是同一个token。查了半天,还没查出是什么原因 。 调试时发现session对象不是同一个,但是sessionId取出来却是一样的。个人认为是session.getId时取是的redis里面的sessionId 正在排查。代码如下 public class RedisSessionDao extends AbstractSessionDAO { private fina.
shiro使用reids缓存session 踩坑 (已解决)
reol44的博客
03-19 859
shiro使用redis存储session
Redis分布式锁如何自动续期
Java搜索工程技术栈
02-28 3748
1、Redis 实现分布式锁 指定一个 key 作为锁标记,存入 Redis 中,指定一个唯一的用户标识作为 value。 当 key 不存在时才能设置值,确保同一时间只有一个客户端进程获得锁,满足互斥性特性。 设置一个过期时间,防止因系统异常导致没能删除这个 key,满足防死锁特性。 当处理完业务之后需要清除这个 key 来释放锁,清除 key 时需要校验 value 值,需要满足只有加锁的人才能释放锁 。 2、问题 如果这个锁的过期时间是30秒,但是业务运行超过
Spring集成Shiro时内存溢出的问题分析
hantanluoying的博客
05-29 4236
前段时间有一天系统访问量突然增加,系统每隔一两个小时就会由于内存瞬时飙升而宕机。查看内存dump文件发现其中ShiroSimpleSession对象异常多。后来经分析才发现是由于使用Spring集成Shiro时配置不当导致的。当时的配置如下: "sessionManager" class="org.apache.shiro.session.mgt.DefaultSessionMan
(原创)springboot+shiro+redis 限制同用户多次登录(不需要考虑sprinbootredis版本)
王威振的博客
04-08 4411
如果你还在为上面的错误而烦恼。还要听从网上说找合适的版本去解决。来到这篇文章,你的电脑算是保住了。 让我们来分析下问题所在。其实就是实体类RedisSessionDAO中方法getActiveSessions具体是 redisManager.keys行的问题。有兴趣的可以继续找redisManager.keys下面的代码。 如果考虑换版本之类的,有可能对整体框架都是有影响的。所以我们要换种思路。既然是shiro内在的redis出的问题。那我能不能摒弃他们的redis。答案是:当然可以了! ..
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值