spring mvc+Mybatis整合shiro 第四章 SessionDAO

原創 新时代的程序猿 2020-02-24 03:22

shiro的session都是存在緩存中的,所有會有一個sessionDAO的類來做CRUD操作,這個類就是org.apache.shiro.session.mgt.eis.EnterpriseCacheSessionDAO。
它繼承了CachingSessionDAO這個類,而這個類又是AbstractSessionDAO的子類和CacheManagerAware的實現類,源碼如下:

 public EnterpriseCacheSessionDAO() {
        setCacheManager(new AbstractCacheManager() {
            @Override
            protected Cache<Serializable, Session> createCache(String name) throws CacheException {
                return new MapCache<Serializable, Session>(name, new ConcurrentHashMap<Serializable, Session>());
            }
        });
    }

    protected Serializable doCreate(Session session) {
        Serializable sessionId = generateSessionId(session);
        assignSessionId(session, sessionId);
        return sessionId;
    }

    protected Session doReadSession(Serializable sessionId) {
        return null; //should never execute because this implementation relies on parent class to access cache, which
        //is where all sessions reside - it is the cache implementation that determines if the
        //cache is memory only or disk-persistent, etc.
    }

    protected void doUpdate(Session session) {
        //does nothing - parent class persists to cache.
    }

    protected void doDelete(Session session) {
        //does nothing - parent class removes from cache.
    }

大家也許會好奇爲什麼doReadSession、doUpdate和doDelete方法沒有實體代碼,我們先來看看最基礎類SessionDAO類,它是一個接口其中有create、readSession、update、delete、getActiveSessions這五個方法,而AbstractSessionDAO是在這個接口之上加入了自己的部分代碼,並且實現了create和readSession這兩個方法:

public Serializable create(Session session) {
        Serializable sessionId = doCreate(session);
        verifySessionId(sessionId);
        return sessionId;
    }
public Session readSession(Serializable sessionId) throws UnknownSessionException {
        Session s = doReadSession(sessionId);
        if (s == null) {
            throw new UnknownSessionException("There is no session with id [" + sessionId + "]");
        }
        return s;
}

從上面的方法可以看出,兩個方法依賴於doCreate和doReadSession這兩個方法,而這兩個方法又是AbstractSessionDAO的抽象類,所以正常來說子類CachingSessionDAO類應該實現doCreate和doReadSession這兩個方法以及其它接口方法update、delete、getActiveSessions但真的是這樣嗎?我們來看一段源碼:

package org.apache.shiro.session.mgt.eis;

import org.apache.shiro.cache.Cache;
import org.apache.shiro.cache.CacheManager;
import org.apache.shiro.cache.CacheManagerAware;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.UnknownSessionException;
import org.apache.shiro.session.mgt.ValidatingSession;

import java.io.Serializable;
import java.util.Collection;
import java.util.Collections;

public abstract class CachingSessionDAO extends AbstractSessionDAO implements CacheManagerAware {

    ......
    public Serializable create(Session session) {
        Serializable sessionId = super.create(session);
        cache(session, sessionId);
        return sessionId;
    }

    .....
    public Session readSession(Serializable sessionId) throws UnknownSessionException {
        Session s = getCachedSession(sessionId);
        if (s == null) {
            s = super.readSession(sessionId);
        }
        return s;
    }

   ....
    public void update(Session session) throws UnknownSessionException {
        doUpdate(session);
        if (session instanceof ValidatingSession) {
            if (((ValidatingSession) session).isValid()) {
                cache(session, session.getId());
            } else {
                uncache(session);
            }
        } else {
            cache(session, session.getId());
        }
    }

    .....
    protected abstract void doUpdate(Session session);

    .....
    public void delete(Session session) {
        uncache(session);
        doDelete(session);
    }

    ....
    protected abstract void doDelete(Session session);

    ....
    public Collection<Session> getActiveSessions() {
        Cache<Serializable, Session> cache = getActiveSessionsCacheLazy();
        if (cache != null) {
            return cache.values();
        } else {
            return Collections.emptySet();
        }
    }
}

源碼的具體內容太長了在這不都展示了只看其中關鍵的,從上面的代碼可以看出,CachingSessionDAO 這個類不僅實現AbstractSessionDAO未實現的接口,而且還重寫了已經實現的接口並且在代碼中加入了cache的處理。
在這個類中有兩個方法已經重新聲明就是doUpdate和doDelete,但還有兩個方法是一直沒有實現的就是doCreate和doReadSession這兩個方法,從create方法可以看出它調用的super的create方法,而super類也就是AbstractSessionDAO類的create方法依賴於doCreate方法,所以當類繼承到EnterpriseCacheSessionDAO這一層時它只需要去實現doCreate方法就行了其實方法已經沒有必要去實現了。
在這裏我還要說一點就是EnterpriseCacheSessionDAO這個類的構造方法。這個構造方法是給父類的cacheManager管理器賦值,但好像僅僅是爲了保證整個shiro可以正常運行而做的,因爲正常加載完之後這個cacheManager就會被重新賦值爲你在xml裏面配的那,如下代碼:

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="shiroDbRealm" />
		<property name="sessionManager" ref="sessionManager" />
		<!-- 緩存管理器 -->
		<property name="cacheManager" ref="shiroCacheManager" />
	</bean>

這其中的具體原因不得而知,經過debug也沒找到具體入口在哪,所以有知道的朋友請留言分享一下,3Q了

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

記錄一次cnvd事件型證書漏洞挖掘

事件起因是因爲要搞畢設了,在爲這個苦惱,突然負責畢設的老師說得到cnvd下發的證書結合你的漏洞挖掘的過程是可以當成畢設的,當時又學習了一段時間的web滲透方面的知識,於是踏上了廢寢忘食的cnvd證書漏洞挖掘的日子。 前言:聽羣友們說,一般可

原創 2024-05-28 11:16:19

舊的Spring Security OAuth已停止維護,全面擁抱最新解決方案Spring SAS

Spring Authorization Server 替換 Shiro 指引 背景 Spring 團隊正式宣佈 Spring Security OAuth 停止維護,該項目將不會再進行任何的迭代 目前 Spring 生態中的 OA

原創 2024-03-01 13:24:07

JeecgBoot 框架升級Spring Boot 3.1.5步驟

JeecgBoot 框架升級 Spring Boot 3.1.5 步驟 Spring Boot 從 2.7.10升級到3.1.5有以下幾個點需要注意。 JDK版本支持從JDK 17-19版本 javax.servlet切換到jakarta

原創 2023-11-13 13:48:37

敲敲雲與JeecgBoot、明道雲、簡道雲 等低代碼平臺對比,那個更好用?

敲敲雲、JeecgBoot、明道雲和簡道雲都是目前市場上比較受歡迎的產品,它們都提供了一些相似的功能,但也有一些不同之處。下面將對這四款產品進行對比。 功能特點 敲敲雲 敲敲雲是一款雲端APaaS零代碼平臺,幫助企業快速搭建個性化業務應

原創 2023-11-02 01:59:58

shiro登錄過程

工作流程: 瀏覽器將用戶名、密碼、是否記住登錄等信息發送給登錄controller , new UsernamePasswordToken()獲取token,將用戶名、加密後的密碼、rememberMe,set到token中。Securit

原創 2023-02-10 11:53:38

122. springboot整合shiro

1.效果 2.說明 3.代碼 鏈接:https://pan.baidu.com/s/1RXSRglSym12d2WzWS08Eyg  提取碼:m1j6    

原創 2022-04-30 05:34:24

Shiro 使用 Token進行認證

引言 在一些老項目中,可能使用shiro進行權限認證和校驗,而shiro是基於cookie/session的, 在現在前後端分離開發的場景下,前端開發人員需要在本地和後端進行調試,勢必會遇到跨域的問題。 而現在隨着谷歌瀏覽器升級,已經禁止在

原創 2021-12-25 21:40:28

不會吧,你還不會用RequestId看日誌 ?

引言 在日常的後端開發工作中,最常見的操作之一就是看日誌排查問題,對於大項目一般使用類似ELK的技術棧統一搜集日誌,小項目就直接把日誌打印到日誌文件。那不管對於大項目或者小項目,查看日誌都需要通過某個關鍵字進行搜索,從而快速定位到異常日誌的

原創 2021-12-25 21:40:28

springboot整合shiro入門及學習筆記

入門demo index.html <!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="

原創 2021-12-25 21:28:20

OA 系統源碼模塊設計方案

1.模型管理    :web在線流程設計器、預覽流程xml、導出xml、部署流程 2.流程管理    :導入導出流程資源文件、查看流程圖、根據流程實例反射出流程模型、激活掛起 、自由跳轉 3.運行中流程:查看流程信息、當前任務節點、當前流程

原創 2021-12-25 21:14:34

springboot mybatis 後臺框架平臺模塊設計方案

1.模型管理    :web在線流程設計器、預覽流程xml、導出xml、部署流程 2.流程管理    :導入導出流程資源文件、查看流程圖、根據流程實例反射出流程模型、激活掛起 、自由跳轉 3.運行中流程:查看流程信息、當前任務節點、

原創 2021-10-18 21:12:31

java springboot spring cloud 設計方案

------------------------------------------- 系統模塊 1. 權限管理:點開二級菜單進入三級菜單顯示 角色(基礎權限)和按鈕權限 角色(基礎權限): 分角色組和角色,獨立分配菜單權限和增刪改查權限。

原創 2021-10-13 21:12:33

shiro+jwt 認證登錄

本文章主要用於shiro權限做登錄 運用到的技術: 多數據源、Redis、 mybatisplus、swagger、jwt、shiro 具體代碼 :https://gitee.com/git_yl/jwt-shiro-boot (含數據庫表

原創 2021-09-24 21:31:05

apache shiro 反序列化漏洞復現

一,環境搭建 使用docker搭建測試環境 docker pull medicean/vulapps:s_shiro_1 systemclt restart docker docker run -d -p 8081:8080 medicea

原創 2021-09-14 21:18:14

SpringBoot 整合 Shiro 實現登錄攔截

一、搭建一個SpringBoot 項目。 二、導入shiro 相關座標: <dependency> <groupId>org.apache.shiro</groupId>

原創 2021-09-13 21:12:17