安全/权限框架Shiro(15)之缓存及记住我功能

安全/权限框架Shiro(15)之缓存及记住我功能

微信搜索 zze_coding 或扫描 👉 二维码关注我的微信公众号获取更多资源推送:

缓存

CacheManagerAware 接口

Shiro 内部相应的组件(DefaultSecurityManager)会自动检测相应的对象(如 Realm)是否实现了 CacheManagerAware 并自动注入相应的 CacheManager

Realm 缓存

Shiro 提供了 CachingRealm,其实现了 CacheManagerAware 接口,提供了缓存的一些基础实现。AuthenticatingRealmAuthorizingRealm 也分别提供了对 AuthenticationInfoAuthorizationInfo 信息的缓存。

Session 缓存

SecurityManager 继承了 SessionSecurityManager,其会判断 SessionSecurityManager 是否实现了 CacheManagerAware 接口,如果实现了会把 CacheManager 设置给它。

SessionManager 也会判断相应的 SessionDAO(如继承自 CachingSessionDAO)是否实现了 CacheManagerAware,如果实现了会把 CacheManager 设置给它。

设置了缓存的 SessionManager,查询时会先查缓存,如果找不到才查数据库。

记住我

Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器,下次再打开还能记住你是谁,下次访问时无需再登录即可访问,通过调用 org.apache.shiro.authc.UsernamePasswordToken#setRememberMe(true) 方法实现,基本流程如下:

  • 首先在登录页面选中 RememberMe 然后登录成功,如果是浏览器登录,一般会把 RememberMe 的 Cookie 写到客户端并保存下来。
  • 关闭浏览器再重新打开,会发现浏览器还是记住你的。
  • 访问一般的网页服务端还是知道你是谁,且能正常访问。
  • 但是比如我们在淘宝查看我的订单或进行支付时,此时还是需要再次进行身份认证的,以确保当前的用户还是你。

  • Subject.isAuthenticated :是否进行了身份验证,即是否是通过了 Subject.login 进行访问。
  • Subject.IsRemembered :表示用户是通过记住我登录的,此时可能并不是真正的你(如你的朋友在使用你的电脑或你的 cookie 被窃取)访问。

二者同时只有一个为真。

访问一般网页:如个人在主页之类的网页时,我们使用 user 拦截器即可,user 拦截器只需要用户是非游客状态,即 Subject.isRemembered()||Subject.isAuthenticated() 为真时即可。

访问特殊网页:如我的订单,提交订单页面,我们可使用 authc 拦截器,authc 拦截器会判断用户是否是通过 Subject.login 方法登录的即 Subject.isAuthenticated() 状态为 true

Copyright: 采用 知识共享署名4.0 国际许可协议进行许可

Links: https://www.zze.xyz/archives/shiro15.html

Buy me a cup of coffee ☕.