Shiro的会话管理功能允许对用户的会话进行管理，包括会话的创建、销毁、超时等操作，以确保会话的安全性和有效性。

1. 配置会话管理器

在Shiro配置类中配置会话管理器，设置会话超时时间和会话DAO。

import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.session.mgt.eis.MemorySessionDAO;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class ShiroConfig {

    @Bean
    public SecurityManager securityManager(Realm customRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(customRealm);
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }

    @Bean
    public SessionManager sessionManager() {
        DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
        sessionManager.setSessionDAO(sessionDAO());
        sessionManager.setGlobalSessionTimeout(1800000); // 设置会话超时时间为30分钟
        return sessionManager;
    }

    @Bean
    public MemorySessionDAO sessionDAO() {
        return new MemorySessionDAO();
    }

    @Bean
    public CustomRealm customRealm() {
        return new CustomRealm();
    }
}

2. 在Controller中获取会话信息

在Controller中可以通过 Subject 对象获取当前用户的会话信息。

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.subject.Subject;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class SessionController {

    @GetMapping("/getSessionId")
    public String getSessionId() {
        Subject currentUser = SecurityUtils.getSubject();
        return currentUser.getSession().getId().toString();
    }
}

3. 使用会话信息

在自定义Realm中可以使用会话信息，例如存储用户的登录时间等。

import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class CustomRealm extends AuthorizingRealm {

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        // 实现授权逻辑
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 实现认证逻辑
    }

    @Override
    protected void onLogout(PrincipalCollection principals) {
        // 用户登出时的操作，可以在会话中存储用户的登出时间等信息
    }
}

通过以上代码，展示了如何在Shiro中进行会话管理，包括配置会话管理器、获取会话信息以及在自定义Realm中使用会话信息。