Shiro提供了完整的企业级会话管理功能，不依赖于底层容器（如Tomcat），不管是J2SE还是J2EE环境都可以使用，提供了会话管理，会话事件监听，会话存储/持久化，容器无关的集群，失效/过期支持，对Web的透明支持，SSO单点登录的支持等特性。
  
  所谓会话，即用户访问应用时保持的连接关系，在多次交互中应用能够识别出当前访问的用户是谁，且可以在多次交互中保存一些数据。如访问一些网站时登录成功后，网站可以记住用户，且在退出之前都可以识别当前用户是谁。

  
  基础组件

  1.1 SessionManager

  会话管理器管理着应用中所有 Subject 的会话的创建、维护、删除、失效、验证等工作。是Shiro 的核心组件，顶层组件SecurityManager直接继承了SessionManager，且提供了SessionsSecurityManager实现直接把会话管理委托给相应的SessionManager
  1）DefaultSessionManager：使用的默认实现，用于JavaSE环境
  2）ServletContainerSessionManager：使用的默认实现，用于Web环境，其直接使用Servlet容器的会话
  3）DefaultWebSessionManager：用于Web环境的实现，可以替代ServletContainerSessionManager，自己维护着会话，直接废弃了Servlet容器的会话管理

  1.2 SessionListener

  SessionListener会话监听器用于监听会话创建、过期及停止事件。
  实现方式：
  1）实现SessionListener，必须实现所有方法
  2）继承SessionListenerAdapter，重写指定方法
  
  相关API：
  1）onStart(Session session):监听会话创建事件
  2）onStop(Session session):监听会话销毁事件
  3）onExpiration(Session session):监听会话过期事件

  1.3 SessionDao

  Shiro提供SessionDAO用于会话的CRUD，即DAO（Data Access Object）模式实现。
  1）AbstractSessionDAO：提供了SessionDAO的基础实现，如生成会话ID等
  2）CachingSessionDAO：提供了对开发者透明的会话缓存的功能，需要设置相应的CacheManager 
  3）MemorySessionDAO：直接在内存中进行会话维护（默认方式）
  4）EnterpriseCacheSessionDAO：提供了缓存功能的会话维护，默认情况下使用MapCache实现，内部使用ConcurrentHashMap保存缓存的会话。

  相关API：
  //如DefaultSessionManager在创建完session后会调用该方法；
  //如保存到关系数据库/文件系统/NoSQL数据库；
  //即可以实现会话的持久化；返回会话ID；主要此处返回的ID.equals(session.getId())；  
  Serializable create(Session session);
  //根据会话ID获取会话  
  Session readSession(Serializable sessionId) throws UnknownSessionException;  
  //更新会话；如更新会话最后访问时间/停止会话/设置超时时间/设置移除属性等会调用  
  void update(Session session) throws UnknownSessionException;  
  //删除会话；当会话过期/会话停止（如用户退出时）会调用  
  void delete(Session session);  
  //获取当前所有活跃用户，如果用户量多此方法影响性能  
  Collection<Session> getActiveSessions();

  1.4 会话验证

  1）Shiro提供了会话验证调度器，用于定期的验证会话是否已过期，如果过期将停止会话。
  2）出于性能考虑，一般情况下都是获取会话的同时来验证会话是否过期并停止会话的；但是如果在Web环境中，如果用户不主动退出是不知道会话是否过期的，因此需要定义的检测会话是否过期，Shiro提供了会话验证调度器来定期检查会话是否过期，SessionValidationSch