缓存
CacheManagerAware 接口
Shiro 内部相应的组件(DefaultSecurityManager
)会自动检测相应的对象(如 Realm
)是否实现了 CacheManagerAware
并自动注入相应的 CacheManager
。
Realm 缓存
Shiro 提供了 CachingRealm
,其实现了 CacheManagerAware
接口,提供了缓存的一些基础实现。AuthenticatingRealm
及 AuthorizingRealm
也分别提供了对 AuthenticationInfo
和 AuthorizationInfo
信息的缓存。
Session 缓存
如 SecurityManager
继承了 SessionSecurityManager
,其会判断 SessionSecurityManager
是否实现了 CacheManagerAware
接口,如果实现了会把 CacheManager
设置给它。
SessionManager
也会判断相应的 SessionDAO
(如继承自 CachingSessionDAO
)是否实现了 CacheManagerAware
,如果实现了会把 CacheManager
设置给它。
设置了缓存的 SessionManager
,查询时会先查缓存,如果找不到才查数据库。
记住我
Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器,下次再打开还能记住你是谁,下次访问时无需再登录即可访问,通过调用 org.apache.shiro.authc.UsernamePasswordToken#setRememberMe(true)
方法实现,基本流程如下:
- 首先在登录页面选中 RememberMe 然后登录成功,如果是浏览器登录,一般会把 RememberMe 的 Cookie 写到客户端并保存下来。
- 关闭浏览器再重新打开,会发现浏览器还是记住你的。
- 访问一般的网页服务端还是知道你是谁,且能正常访问。
- 但是比如我们在淘宝查看我的订单或进行支付时,此时还是需要再次进行身份认证的,以确保当前的用户还是你。
Subject.isAuthenticated
:是否进行了身份验证,即是否是通过了Subject.login
进行访问。Subject.IsRemembered
:表示用户是通过记住我登录的,此时可能并不是真正的你(如你的朋友在使用你的电脑或你的 cookie 被窃取)访问。
二者同时只有一个为真。
访问一般网页:如个人在主页之类的网页时,我们使用 user
拦截器即可,user
拦截器只需要用户是非游客状态,即 Subject.isRemembered()||Subject.isAuthenticated()
为真时即可。
访问特殊网页:如我的订单,提交订单页面,我们可使用 authc
拦截器,authc
拦截器会判断用户是否是通过 Subject.login
方法登录的即 Subject.isAuthenticated()
状态为 true
。
评论区