Shiro提供的功能結(jié)構(gòu)圖：

Shiro詳細(xì)的架構(gòu)：

Shiro中的各類(lèi)過(guò)濾器

單一登錄：同一個(gè)賬戶同一時(shí)間只能在一個(gè)地方登錄。

項(xiàng)目Spring+SpringMVC+Mybatis，引入了Shiro作認(rèn)證授權(quán)。公司要求實(shí)現(xiàn)一個(gè)單一登錄功能，大部分人做法都是在自定義實(shí)現(xiàn)Realm的doGetAuthenticationInfo里面做session過(guò)濾和刪除，這在沒(méi)有啟用Shiro的rememberMe功能是可以生效的，但是啟用了rememberMe功能后，會(huì)發(fā)現(xiàn)session移除無(wú)效，用戶仍然可以登錄。

Realm中doGetAuthenticationInfo實(shí)現(xiàn)

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String userName = (String) token.getPrincipal();
        UserEntity user = userService.queryByLoginName(userName);
        if (user == null) {
            throw new AuthenticationException("帳號(hào)密碼錯(cuò)誤");
        }
        //錯(cuò)誤次數(shù)控制
        checkLoginErrorTimes(userName);
        //單一登錄控制
        checkSingleSingOn(user);
        SimpleAuthenticationInfo sainfo = new SimpleAuthenticationInfo(user, user.getPassWord(), ByteSource.Util.bytes(user.getSalt()), getName());
        return sainfo;
    }

單一登錄控制：

    /**
     * 用戶單一登錄
     * @param user 用戶實(shí)體
     */
    private void checkSingleSingOn(UserEntity user) {
            DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager();
            DefaultWebSessionManager sessionManager = (DefaultWebSessionManager) securityManager.getSessionManager();
            //獲取當(dāng)前已登錄的用戶session列表
            SessionDAO sessionDAO = sessionManager.getSessionDAO();
            Collection<Session> sessions = sessionDAO.getActiveSessions();
            for (Session session : sessions) {
                //清除該用戶以前登錄時(shí)保存的session
                if (user.getId().equals(String.valueOf(session.getAttribute("userId")))) {
                    // 清除認(rèn)證緩存
                    sessionDAO.delete(session);
                }
            }
    }

RememberAuthenticationFilter實(shí)現(xiàn)

public class RememberAuthenticationFilter extends FormAuthenticationFilter{

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        Subject subject = getSubject(request, response);
        //如果 isAuthenticated 為 false 證明不是登錄過(guò)的，同時(shí) isRememberd 為true 證明是沒(méi)登陸直接通過(guò)記住我功能進(jìn)來(lái)的
        if(!subject.isAuthenticated() && subject.isRemembered()){
            //獲取session看看是不是空的
            Session session = subject.getSession();
            // 用于處理單一登錄問(wèn)題，由于使用了rememberMe功能，所以導(dǎo)致移除session用戶身份仍然短期有效，這邊做登出處理
            if(session.getAttribute("userId") == null){
                subject.logout();
            }
        }
        //這個(gè)方法本來(lái)只返回 subject.isAuthenticated() 現(xiàn)在我們加上 subject.isRemembered() 讓它同時(shí)也兼容remember這種情況
        return subject.isAuthenticated() || subject.isRemembered();
    }

}

1、沒(méi)有在RememberMe中做過(guò)濾的場(chǎng)景

初始化時(shí)，Redis中沒(méi)有任何數(shù)據(jù)。

第一次登錄，創(chuàng)建了一個(gè)用戶的Session（Chrome）

第二次登錄清除了第一次登錄的session，但是同時(shí)又創(chuàng)建了新的session（Firefox）

刷新第一次登錄的頁(yè)面，會(huì)發(fā)現(xiàn)多了兩個(gè)session-id，并且頁(yè)面用戶憑證仍然有效，session被重建了···（這里是由于RememberMe的機(jī)制干擾，導(dǎo)致了單一 登錄的功能無(wú)法正?？刂疲?/h5>

2、在RememberMe加入過(guò)濾后以同樣的方式進(jìn)行

第一次登錄，創(chuàng)建了一個(gè)用戶的Session（Chrome）

第二次登錄清除了第一次登錄的session，但是同時(shí)又創(chuàng)建了新的session（Firefox）

刷新第一次登錄的頁(yè)面，redis里面的session沒(méi)有新增，session沒(méi)有重建，而是跳轉(zhuǎn)到登錄頁(yè)面，成功。