并发登录权限控制
配置xml文件
<bean id="kickoutSessionControlFilter" class="security.shiro.filter.KickoutSessionControlFilter">
<!-- 使用cacheManager获取相应的cache来缓存用户登录的会话;用于保存用户—会话之间的关系的 -->
<property name="cacheManager" ref="缓存引向注入"/>
<!-- 用于根据会话ID,获取会话进行踢出操作的 -->
<property name="sessionManager" ref="对话引向注入"/>
<!-- 是否踢出后来登录的,默认是false;即后者登录的用户踢出前者登录的用户 -->
<property name="kickoutAfter" value="false"/>
<!-- 同一个用户最大的会话数,默认1;比如2的意思是同一个用户允许最多同时两个人登录 -->
<property name="maxSession" value="1"/>
<!-- 被踢出后重定向到的地址 -->
<property name="kickoutUrl" value="踢出地址"/>
</bean>
拦截器继承AccessControlFilter类
AccessControlFilter提供了访问控制的基础功能;比如是否允许访问/当访问拒绝时如何处理等:
方法onAccessDenied:表示当访问拒绝时是否已经处理了
- 从当前线程中获取对象
- 如果没有证书 或者 记住我状态
- 跳出执行下一段流程
- 从实体中获取对话 取得对话和账户ID
- 同步控制 初始化踢出队列 以账户ID为键值 没有初始化则将改账户放入队列中
- 检查队列里没有此sessionId,且用户没有被踢出;没有则放入队列
- 如果队列里的sessionId数超出最大会话数(超过),开始踢人 移除值为seesionID对应的对话
- 监测自身对话是否被踢出,如果被踢出了,直接退出,重定向到踢出后的地址 该拦截器实例已经处理了 流程不需要继续
- 第七项不满足时继续下一段流程
登录(login)操作
org.apache.shiro.subject.Subject.login(token);
委托给SecurityManager进行登录操作 Subject subject = securityManager.login(this, token);
根据token获取对应的证书信息 Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点
重写MyShiroRealm类继承AuthorizingRealm
Shiro从从Realm获取安全数据(如用户、角色、权限)
<bean id="Realm配置ID" class="配置类路径">
<property name="cacheManager" ref="shiroCacheManager" />
</bean>
- 获取UsernamePasswordToken
- 查询用户授权信息 获取角色名并放入role的name中
- 根据角色配置权限信息
- 返回对应账户
- 根据账户ID重新从数据库中获取一次账户(Shiro的)
- 返回授权和角色都没有缓存的用户(包括ID,密码,名字)
- 可以通过设置subject session对话中超时时间,默认为30分钟,-1为永不超时
