Shiro 的缓存与RememberMe记住我

CacheManagerAware 接口

Shiro 内部相应的组件（DefaultSecurityManager）会自动检测相应的对象（如Realm）是否实现了CacheManagerAware 并自动注入相应的CacheManager。

Realm 缓存

• Shiro 提供了 CachingRealm，其实现了CacheManagerAware 接口，提供了缓存的一些基础实现；
• AuthenticatingRealm 及 AuthorizingRealm 也分别提供了对AuthenticationInfo 和 AuthorizationInfo 信息的缓存

Session 缓存

• 如 SecurityManager 实现了 SessionSecurityManager， 其会判断 SessionManager 是否实现了
  CacheManagerAware 接口，如果实现了会把CacheManager 设置给它。
• SessionManager 也会判断相应的 SessionDAO（如继承自CachingSessionDAO）是否实现了CacheManagerAware，如果实现了会把 CacheManager设置给它
• 设置了缓存的 SessionManager，查询时会先查缓存，如果找不到才查数据库。

RememberMe 记住我

Shiro 提供了记住我（RememberMe）的功能，比如访问如淘宝等一些网站时，关闭了浏览器，下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问，基本流程如下：

1. 首先在登录页面选中 RememberMe 然后登录成功；如果是浏览器登录，一般会把 RememberMe 的Cookie 写到客户端并保存下来；
2. 关闭浏览器再重新打开；会发现浏览器还是记住你的；
3. 访问一般的网页服务器端还是知道你是谁，且能正常访问；
4. 但是比如我们访问淘宝时，如果要查看我的订单或进行支付时，此时还是需要再进行身份认证的，以确保当前用户还是你。

认证和记住我的区别

• subject.isAuthenticated() 表示用户进行了身份验证登录的，即使有 Subject.login 进行了登录；
• subject.isRemembered()：表示用户是通过记住我登录的，此时可能并不是真正的你（如你的朋友使用你的电脑，或者你的cookie 被窃取）在访问的
• 两者二选一，即 subject.isAuthenticated()==true，则subject.isRemembered()==false；反之一样。

使用上的区别与建议

• 访问一般网页：如个人在主页之类的，我们使用user 拦截器即可，user 拦截器只要用户登录(isRemembered() || isAuthenticated())过即可访问成功；
• 访问特殊网页：如我的订单，提交订单页面，我们使用authc 拦截器即可，authc 拦截器会判断用户是否是通过Subject.login（isAuthenticated()==true）登录的，如果是才放行，否则会跳转到登录页面叫你重新登录。

案例实现

如果要自己做RememeberMe，需要在登录之前这样创建Token：UsernamePasswordToken(用户名，密码，是否记住我)，且调用UsernamePasswordToken 的：token.setRememberMe(true); 方法

1. 在Handler当中直接设置使用Rememberme为true，或者在前端页面当中使用一个复选框，将值传递过来。
   
2. 使用RememberMe之后需要在配置文件当中添加时长的控制l：如下所示，为10秒钟
   
3. 运行项目：在第一次登录之后关闭页面，在10秒之内再一次访问这个list界面是不再需要进行登录认证的，而10秒钟之后，缓存失效，再进行访问则需要进行再登录。