缓存

CacheManagerAware 接口

Shiro 内部相应的组件（DefaultSecurityManager）会自动检测相应的对象（如 Realm）是否实现了 CacheManagerAware 并自动注入相应的 CacheManager。

Realm 缓存

Shiro 提供了 CachingRealm，其实现了 CacheManagerAware 接口，提供了缓存的一些基础实现。AuthenticatingRealm 及 AuthorizingRealm 也分别提供了对 AuthenticationInfo 和 AuthorizationInfo 信息的缓存。

Session 缓存

如 SecurityManager 继承了 SessionSecurityManager，其会判断 SessionSecurityManager 是否实现了 CacheManagerAware 接口，如果实现了会把 CacheManager 设置给它。

SessionManager 也会判断相应的 SessionDAO（如继承自 CachingSessionDAO）是否实现了 CacheManagerAware，如果实现了会把 CacheManager 设置给它。

设置了缓存的 SessionManager，查询时会先查缓存，如果找不到才查数据库。

记住我

Shiro 提供了记住我（RememberMe）的功能，比如访问如淘宝等一些网站时，关闭了浏览器，下次再打开还能记住你是谁，下次访问时无需再登录即可访问，通过调用 org.apache.shiro.authc.UsernamePasswordToken#setRememberMe(true) 方法实现，基本流程如下：

• 首先在登录页面选中 RememberMe 然后登录成功，如果是浏览器登录，一般会把 RememberMe 的 Cookie 写到客户端并保存下来。
• 关闭浏览器再重新打开，会发现浏览器还是记住你的。
• 访问一般的网页服务端还是知道你是谁，且能正常访问。
• 但是比如我们在淘宝查看我的订单或进行支付时，此时还是需要再次进行身份认证的，以确保当前的用户还是你。

---

• Subject.isAuthenticated ：是否进行了身份验证，即是否是通过了 Subject.login 进行访问。
• Subject.IsRemembered ：表示用户是通过记住我登录的，此时可能并不是真正的你（如你的朋友在使用你的电脑或你的 cookie 被窃取）访问。

二者同时只有一个为真。

访问一般网页：如个人在主页之类的网页时，我们使用 user 拦截器即可，user 拦截器只需要用户是非游客状态，即 Subject.isRemembered()||Subject.isAuthenticated() 为真时即可。

访问特殊网页：如我的订单，提交订单页面，我们可使用 authc 拦截器，authc 拦截器会判断用户是否是通过 Subject.login 方法登录的即 Subject.isAuthenticated() 状态为 true 。