shiro RememberMe(记住我)

一、概述

Shiro 提供了记住我（RememberMe）的功能，比如访问如淘宝等一些网站时，关闭了浏览器，下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问，

基本流程如下：

1. 首先在登录页面选中 RememberMe 然后登录成功；如果是浏览器登录，一般会把 RememberMe 的Cookie 写到客户端并保存下来；
2. 关闭浏览器再重新打开；会发现浏览器还是记住你的；
3. 访问一般的网页服务器端还是知道你是谁，且能正常访问；
4. 但是比如我们访问淘宝时，如果要查看我的订单或进行支付时，此时还是需要再进行身份认证的，以确保当前用户还是你。

二、认证和记住我的区别

1. subject.isAuthenticated() 表示用户进行了身份验证登录的，即使有 Subject.login 进行了登录；

2. subject.isRemembered()：表示用户是通过记住我登录的，此时可能并不是真正的你（如你的朋友使用你的电脑，或者你的cookie 被窃取）在访问的

3. 两者二选一，即 subject.isAuthenticated()==true，则subject.isRemembered()==false；反之一样。

四、建议

访问一般网页：如个人在主页之类的，我们使用user 拦截器即可，user 拦截器只要用户登录(isRemembered() || isAuthenticated())过即可访问成功；

访问特殊网页：如我的订单，提交订单页面，我们使用authc 拦截器即可，authc 拦截器会判断用户是否是通过Subject.login（isAuthenticated()==true）登录的，如果是才放行，否则会跳转到登录页面叫你重新登录

五、实现

如果要自己做RememeberMe，需要在登录之前这样创建Token：
UsernamePasswordToken(用户名，密码，是否记住我)，且调用UsernamePasswordToken 的： token.setRememberMe(true); 方法。

修改 FilterChainDefinitionMap，进行测试：

admin用户登录成功，所有链接都可以访问；关闭浏览器，重新打开浏览器，访问list，发现可以成功访问，访问 admin页面和user页面，发现直接跳转到登录页，测试成功！！

六、如何设置 rememberMe 的过期时间

查看源码：

如何修改这个时间呢？—修改配置文件中 SecurityManager的属性 rememberMeManager下的cookie下的maxAge属性即可。

修改之后，打断点调试，发现修改成功：