shiro源码篇 - shiro的session创建,你值得拥有
前言
开心一刻
开学了,表弟和同学因为打架,老师让他回去叫家长。表弟硬气的说:不用,我打得过他。老师板着脸对他说:和你打架的那位同学已经回去叫家长了。表弟犹豫了一会依然硬气的说:可以,两个我也打得过。老师:......
路漫漫其修远兮,吾将上下而求索!
github:https://github.com/youzhibing
码云(gitee):https://gitee.com/youzhibing
前情回顾
大家还记得上篇博文讲了什么吗,我们来一起简单回顾下:
HttpServletRequestWrapper是HttpServletRequest的装饰类,我们通过继承HttpServletRequestWrapper来实现我们自定义的HttpServletRequest:CustomizeSessionHttpServletRequest,重写CustomizeSessionHttpServletRequest的getSession,将其指向我们自定义的session。然后通过Filter将CustomizeSessionHttpServletRequest添加到Filter chain中,使得到达Servlet的ServletRequest是我们的CustomizeSessionHttpServletRequest。
今天不讲session共享,我们先来看看shiro的session创建
SecurityManager
SecurityManager,安全管理器;即所有与安全相关的操作都会与SecurityManager交互;它管理着所有Subject,所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;SecurityManager是shiro的核心,它负责与shiro的其他组件进行交互,类似SpringMVC中的DispatcherServlet或Struts2中的FilterDispatcher。
我们在使用shiro的时候,首先都会先初始化SecurityManager,然后往SecurityManager中注入shiro的其他组件,像sessionManager、realm等。我们的spring-boot-shiro中初始化的是DefaultWebSecurityManager,如下
protected Session createSession(SessionContext context) throws AuthorizationException {
enableSessionValidationIfNecessary(); // 初次被调用时启动定时任务来验证session,具体请看下篇博客
return doCreateSession(context); // 真正创建session
}
View Code
其中doCreateSession方法完成session的创建,doCreateSession方法大家可以自行去跟下,我在这总结一下:
创建session,并生成sessionId,session是shiro的SimpleSession类型,sessionId采用的是随机的UUID字符串;
sessionDAO类型是MemorySessionDAO,session存放在sessionDAO的private ConcurrentMap<Serializable, Session> sessions;属性中,key是sessionId,value是session对象;
除了MemorySessionDAO,shiro还提供了EnterpriseCacheSessionDAO,具体两者有啥区别请看我的另一篇博客讲解。
ServletContainerSessionManager
DefaultWebSecurityManager默认使用的SessionManager,用于Web环境,直接使用的Servlet容器的会话,具体实现我们往下看。
ServletContainerSessionManager实现了SessionManager,并重写了SessionManager的start方法,那么我们从ServletContainerSessionManager的start方法开始来看看session的创建过程,如下图
shiro有自己的HttpServletSession,HttpServletSession持有servlet的HttpSession的引用,最终对HttpServletSession的操作都会委托给HttpSession(装饰模式)。那么此时的session是标准servlet容器支持的HttpSession实例,它不与Shiro的任何与会话相关的组件(如SessionManager,SecurityManager等)交互,完全由servlet容器管理。
DefaultWebSessionManager
用于Web环境,可以替换ServletContainerSessionManager,废弃了Servlet容器的会话管理;通过此可以实现我们自己的session管理;
从SessionManager类图可知,DefaultWebSessionManager继承自DefaultSessionManager,也没有重写start方法,那么创建过程还是沿用的AbstractNativeSessionManager的start方法;如果我们没有指定自己的sessionDao,那么session还是存在MemorySessionDAO的ConcurrentMap<Serializable, Session> sessions中,具体可以看上述中的DefaultSessionManager。
通过DefaultWebSessionManager实现session共享,请点此处!
总结
SecurityManager和SessionManager的类图需要认真看看;
Subject的所有交互都会委托给SecurityManager;SecurityManager是shiro的核心,它负责与shiro的其他组件进行交互,类似SpringMVC中的DispatcherServlet或Struts2中的FilterDispatcher;
SecurityManager会将session管理委托给SessionManager;SessionsSecurityManager的start方法中将session的创建委托给了具体的sessionManager,是创建session的关键入口。
shiro的SimpleSession与HttpServletSession
HttpServletSession只是servlet容器的session的装饰,最终还是依赖servlet容器,是shiro对servlet容器的session的一种支持;
而SimpleSession是shiro完完全全的自己实现,是shiro对session的一种拓展。但SimpleSession不对外暴露,我们一般操作的是SimpleSession的代理:DelegatingSession,或者是DelegatingSession的代理:StoppingAwareProxiedSession;对session的操作,会通过一层层代理,来到DelegatingSession,DelegatingSession将session的操作转交给sessionMananger,sessionManager通过一些校验后,最后转交给SimpleSession处理。
参考
《跟我学shiro》
- shiro源码篇 - shiro的session共享,你值得拥有
- shiro源码篇 - shiro的session的查询、刷新、过期与删除,你值得拥有
- shiro 每次请求都会新建会话,创建session
- 关于shiro session 的创建
- 01 Mybatis源码篇---创建SqlSessionFactory对象
- asp.net之session,值得收藏
- 10 个你值得拥有的 Vim 配色方案
- S2SH整合Shiro之:SessionContext must be an HTTP compatible implementation
- mybatis源码学习之执行过程分析(1)——SqlSessionFactory及SqlSession的创建
- shiro学习随笔【四】session过期报 org.apache.shiro.session.UnknownSessionException: There is no session with id
- shiro学习随笔【四】session过期报 org.apache.shiro.session.UnknownSessionException: There is no session with id
- 【Mybatis源码分析】01-SqlSessionFactory的创建过程
- 通达OA,你值得拥有!
- Shiro使用自己的SessionId管理和rememberMe配置
- [置顶] Android事件分发机制 详解攻略,您值得拥有
- 基础的 Linux 网络命令,你值得拥有
- 你值得拥有:25个Linux性能监控工具
- Shiro 分布式架构下 Session 的共享实现
- 创建和配置ASP.NET Session状态数据库
- 疯狂Java学习笔记(88)-----------值得拥有的10本书