Shiro

并发登录权限控制

配置xml文件

<bean id="kickoutSessionControlFilter" class="security.shiro.filter.KickoutSessionControlFilter">  
        <!-- 使用cacheManager获取相应的cache来缓存用户登录的会话；用于保存用户—会话之间的关系的 -->
        <property name="cacheManager" ref="缓存引向注入"/>
        <!-- 用于根据会话ID，获取会话进行踢出操作的 -->
        <property name="sessionManager" ref="对话引向注入"/>
        <!-- 是否踢出后来登录的，默认是false；即后者登录的用户踢出前者登录的用户 -->
        <property name="kickoutAfter" value="false"/>
        <!-- 同一个用户最大的会话数，默认1；比如2的意思是同一个用户允许最多同时两个人登录 -->
        <property name="maxSession" value="1"/>
        <!-- 被踢出后重定向到的地址  -->
        <property name="kickoutUrl" value="踢出地址"/>
    </bean> 

拦截器继承AccessControlFilter类

AccessControlFilter提供了访问控制的基础功能；比如是否允许访问/当访问拒绝时如何处理等：

方法onAccessDenied：表示当访问拒绝时是否已经处理了

1. 从当前线程中获取对象
2. 如果没有证书 或者 记住我状态

• 跳出执行下一段流程

3. 从实体中获取对话 取得对话和账户ID
4. 同步控制 初始化踢出队列 以账户ID为键值 没有初始化则将改账户放入队列中
5. 检查队列里没有此sessionId，且用户没有被踢出；没有则放入队列
6. 如果队列里的sessionId数超出最大会话数(超过)，开始踢人 移除值为seesionID对应的对话
7. 监测自身对话是否被踢出，如果被踢出了，直接退出，重定向到踢出后的地址 该拦截器实例已经处理了 流程不需要继续
8. 第七项不满足时继续下一段流程

登录(login)操作
org.apache.shiro.subject.Subject.login(token)；
委托给SecurityManager进行登录操作 Subject subject = securityManager.login(this, token);
根据token获取对应的证书信息 Authenticator才是真正的身份验证者，Shiro API中核心的身份认证入口点
重写MyShiroRealm类继承AuthorizingRealm
Shiro从从Realm获取安全数据（如用户、角色、权限）

<bean id="Realm配置ID" class="配置类路径">
        <property name="cacheManager" ref="shiroCacheManager" /> 
</bean>

• 获取UsernamePasswordToken
• 查询用户授权信息 获取角色名并放入role的name中
• 根据角色配置权限信息
• 返回对应账户

• 根据账户ID重新从数据库中获取一次账户(Shiro的)
• 返回授权和角色都没有缓存的用户(包括ID，密码，名字)
• 可以通过设置subject session对话中超时时间，默认为30分钟，-1为永不超时