Shiro配置cookie以及共享Session和Session失效問題

首先咱們看Shiro的會話管理器的配置

<!-- shiro會話管理 -->
    <!-- 即用戶登陸後就是一次會話，在沒有退出以前，它的全部信息都在會話中；會話能夠是普通 JavaSE 環境的，也能夠是如 Web 環境的 -->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <property name="cacheManager" ref="redisCacheManager"/>
        <property name="sessionDAO" ref="redisSessionDAO"/>
<!--         <property name="sessionIdCookie" ref="simpleCookie"/> -->
        <!-- 全局的會話信息時間,,單位爲毫秒  -->
        <property name="globalSessionTimeout" value="1800000"/>
        <!-- 檢測掃描信息時間間隔,單位爲毫秒-->
        <property name="sessionValidationInterval" value="60000"/>
        <!-- 是否開啓掃描 -->
        <property name="sessionValidationSchedulerEnabled" value="false"/>
        <!-- 去掉URL中的JSESSIONID -->
        <property name="sessionIdUrlRewritingEnabled" value="true"/>
    </bean>

這裏是使用DefaultWebSessionManager默認的Cookie配置

部分源代碼

public class DefaultWebSessionManager extends DefaultSessionManager implements WebSessionManager {

    private static final Logger log = LoggerFactory.getLogger(DefaultWebSessionManager.class);

    private Cookie sessionIdCookie;
    private boolean sessionIdCookieEnabled;
    private boolean sessionIdUrlRewritingEnabled;

    public DefaultWebSessionManager() {
        Cookie cookie = new SimpleCookie(ShiroHttpSession.DEFAULT_SESSION_ID_NAME);
        cookie.setHttpOnly(true); //more secure, protects against XSS attacks
        this.sessionIdCookie = cookie;
        this.sessionIdCookieEnabled = true;
        this.sessionIdUrlRewritingEnabled = true;
    }
}

這裏能夠看出Cookie cookie = new SimpleCookie(ShiroHttpSession.DEFAULT_SESSION_ID_NAME);內部默認建立了一個Cookie。

繼續看

 

 public SimpleCookie(String name) {
        this();
        this.name = name;
    }

 

而ShiroHttpSession.DEFAULT_SESSION_ID_NAME="JSESSIONID";

---

 

問題來了--》Session失效問題這裏爲何爲致使Session失效呢？

由於與SERVLET容器名衝突, 如JETTY, TOMCAT 等默認JSESSIONID, 當跳出SHIRO SERVLET時如ERROR-PAGE容器會爲JSESSIONID從新分配值致使登陸會話丟失效。

---

 

所以這裏須要本身配置Cookie

<!-- shiro會話管理 -->
<!-- 即用戶登陸後就是一次會話，在沒有退出以前，它的全部信息都在會話中；會話能夠是普通 JavaSE 環境的，也能夠是如 Web 環境的 -->
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
    <property name="cacheManager" ref="redisCacheManager"/>
    <property name="sessionDAO" ref="redisSessionDAO"/>
    <property name="sessionIdCookie" ref="simpleCookie"/>
    <!-- 全局的會話信息時間,,單位爲毫秒  -->
    <property name="globalSessionTimeout" value="1800000"/>
    <!-- 檢測掃描信息時間間隔,單位爲毫秒-->
    <property name="sessionValidationInterval" value="60000"/>
    <!-- 是否開啓掃描 -->
    <property name="sessionValidationSchedulerEnabled" value="false"/>
    <!-- 去掉URL中的JSESSIONID -->
    <property name="sessionIdUrlRewritingEnabled" value="true"/>
</bean>

<!-- sessionIdCookie的實現,用於重寫覆蓋容器默認的JSESSIONID -->
<bean id="simpleCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
    <!-- 設置Cookie名字, 默認爲: JSESSIONID 問題: 與SERVLET容器名衝突, 如JETTY, TOMCAT 等默認JSESSIONID,  
                                當跳出SHIRO SERVLET時如ERROR-PAGE容器會爲JSESSIONID從新分配值致使登陸會話丟失! -->  
    <property name="name" value="SHIRO-COOKIE"/>
    <!-- JSESSIONID的path爲/用於多個系統共享JSESSIONID -->
    <!-- <property name="path" value="/"/> -->
    <!-- 瀏覽器中經過document.cookie能夠獲取cookie屬性，設置了HttpOnly=true,在腳本中就不能的到cookie，能夠避免cookie被盜用 -->
    <property name="httpOnly" value="true"/>
</bean>

好了，這裏Shiro配置Cookie就完成了。

 

此外，若是要配置多個系統共享Session，放開Cookie中的註釋便可。

    <!-- sessionIdCookie的實現,用於重寫覆蓋容器默認的JSESSIONID -->
    <bean id="simpleCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <!-- 設置Cookie名字, 默認爲: JSESSIONID 問題: 與SERVLET容器名衝突, 如JETTY, TOMCAT 等默認JSESSIONID,  
                                    當跳出SHIRO SERVLET時如ERROR-PAGE容器會爲JSESSIONID從新分配值致使登陸會話丟失! -->  
        <property name="name" value="SHIRO_COOKIE"/>
        <!-- JSESSIONID的path爲/用於多個系統共享JSESSIONID -->
        <property name="path" value="/"/>
        <!-- 瀏覽器中經過document.cookie能夠獲取cookie屬性，設置了HttpOnly=true,在腳本中就不能的到cookie，能夠避免cookie被盜用 -->
        <property name="httpOnly" value="true"/>
    </bean>

這樣多個系統就能共享Session了。