JWT+RedisSession+shiro的分布式Session权限控制方案

前言HttpSessionRedisSessionJwt+RedisSessionJWT+RedisSession+shiro的分布式Session权限控制方案

RedisSessionSubjectFactorySessionKey:SsoSecurityManager ： git

前面对shiro的认证流程进行了分析：大致回顾总结下：

我们在ShiroFilterFactoryBean中设置对请求的拦截。请求到来后先通过请求路径匹配到对应的filter；以所有请求需要经过formAuthenticationFilter为例;请求先经过isAccessAllowed的验证，验证逻辑是：当前的subject是认证通过的，或当前请求不是登录请求且是被允许的。满足则放行；如果没有通过isAccessAllowed的验证，则会进入到onAccessDenied进行验证不通过的处理。如果是登录请求， formAuthenticationFilter中对于登录请求会通过配置的username、password、rememberMe创建一个UsernamePasswordToken然后进行登录逻辑。登录的时候回通过配置的Realm获取AuthenticationInfo，并且通过Realm中配置的凭证验证器进行凭证校验。如果通过Realm获取到了合法的AuthenticationInfo则登录请求完成。登录成功后会执行一系列回调操作。包括把当前的subject的认证状态改成true和把当前的subject写到session中等操作。如果在请求不是登录请求，那么就会进行重定向到配置的登录页面。

最简单的shiro控制场景下，浏览器发起认证请求后shiro会先创建Subject，然后进行认证，认证成功后会吧认证通过信息写到session中，session通过HttpServletRequest获取。初次访问的时候，HttpServeltRequest就会在服务端创建一个HttpSession存在内存中，然后与浏览器通过JSESSIONID来保持Session状态。

但是在某些情况下，HttpSession失去了他的作用，比如后端服务采用了集群或分布式部署。这个时候就需要一个能够共享的Session，我们一般选择redis替换Tomcat的内存存储Session。然后通过JSESSIONID去取Session。

有些浏览器或者客户端在某些情况下会导致JSESSIONID失效，即每次发起的请求都跟是个新的请求一样，丢失Session状态。所以避免这种情况，我们可以用JWT来替换JSESSIONID。这个时候客户端和服务端Session的关系维持就可以交给我们自己维护了。

首先基于Session接口定义RedisSession：

public class RedisSession implements Session,Serializable {
    private String id;
    private Date startTimestamp;
    private Date stopTimestamp;
    private Date lastAccessTime;
    private long timeout;
    private String host;
    private Map attributes;
    public RedisSession() {
        this.timeout = DefaultSessionManager.DEFAULT_GLOBAL_SESSION_TIMEOUT;
        this.startTimestamp = new Date();
        this.lastAccessTime = this.startTimestamp;
    }
    public RedisSession(String host) {
        this();
        this.host = host;
    }

    public String getId() {
        return id;
    }

    public void setId(String id) {
        this.id = id;
    }

    public Date getStartTimestamp() {
        return startTimestamp;
    }

    public void setStartTimestamp(Date startTimestamp) {
        this.startTimestamp = startTimestamp;
    }

    public Date getStopTimestamp() {
        return stopTimestamp;
    }

    public void setStopTimestamp(Date stopTimestamp) {
        this.stopTimestamp = stopTimestamp;
    }

    public Date getLastAccessTime() {
        return lastAccessTime;
    }

    public void setLastAccessTime(Date lastAccessTime) {
        this.lastAccessTime = lastAccessTime;
    }

    public long getTimeout() {
        return timeout;
    }

    public void setTimeout(long timeout) {
        this.timeout = timeout;
    }

    public String getHost() {
        return host;
    }

    public void setHost(String host) {
        this.host = host;
    }
    public void stop() {
        this.stopTimestamp = new Date();
        SsoSecurityManager securityManager = (SsoSecurityManager) SecurityUtils.getSecurityManager();
        securityManager.stopSession(this.getId());
    }

    public void touch() {
        this.lastAccessTime = new Date();
        SsoSecurityManager securityManager = (SsoSecurityManager) SecurityUtils.getSecurityManager();
        securityManager.touchSession(this);
    }

    public Collection