shiro缓存

针对项目资源或者角色授权需要频繁查询数据库，需要使用shiro缓存。

缓存流程

shiro中提供了对认证信息和授权信息的缓存。shiro默认是关闭认证信息缓存的，对于授权信息的缓存shiro默认开启的。主要研究授权信息缓存，因为授权的数据量大。

用户认证通过。
该 用户第一次授权：调用realm查询数据库
该 用户第二次授权：不调用realm查询数据库，直接从缓存中取出授权信息（权限标识符）。

使用ehcache

在配置文件中得配置缓存管理器

shiro-ehcache.xml

<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:noNamespaceSchemaLocation="../config/ehcache.xsd">
    <!--diskStore：缓存数据持久化的目录 地址  -->
    <diskStore path="E:\develop\ehcache" />
    <defaultCache 
        maxElementsInMemory="1000" 
        maxElementsOnDisk="10000000"
        eternal="false" 
        overflowToDisk="false" 
        diskPersistent="false"
        timeToIdleSeconds="120"
        timeToLiveSeconds="120" 
        diskExpiryThreadIntervalSeconds="120"
        memoryStoreEvictionPolicy="LRU">
    </defaultCache>
</ehcache>

缓存清空

如果用户正常退出，缓存自动清空。

如果用户非正常退出，缓存自动清空。（现在版本的shiro都是支持这个的，所以这个我们不用管了）

如果修改了用户的权限，而用户不退出系统，修改的权限无法立即生效。
需要手动进行编程实现：
在权限修改后调用realm的clearCache方法清除缓存。
下边的代码正常开发时要放在service中调用。
在service中，权限修改后调用realm的方法。
在realm中定义clearCached方法：

//清除缓存
    public void clearCached() {
        PrincipalCollection principals = SecurityUtils.getSubject().getPrincipals();
        super.clearCache(principals);
    }

然后在service中调用clearCached。比如授权信息变化的时候，一般情况下，我们不清缓存的话就要等待缓存失效之后，我们的修改才会生效。所以这个清缓存的操作一般用在我们修改了用户的权限之后，我们想让这个修改立即生效。

sessionManager

和shiro整合后，使用shiro的session管理，shiro提供sessionDao操作 会话数据。

配置sessionManager

验证码

shiro使用FormAuthenticationFilter进行表单认证，验证校验的功能应该加在FormAuthenticationFilter中，在认证之前进行验证码校验。

需要写FormAuthenticationFilter的子类，继承FormAuthenticationFilter，改写它的认证方法，在认证之前进行验证码校验。

自定义FormAuthenticationFilter

配置自定义FormAuthenticationFilter

在login.action对验证错误 进行解析

然后记得在前台页面加上验证码，还有在filter配置匿名访问验证码jsp。

记住我

用户登陆选择“自动登陆”本次登陆成功会向cookie写身份信息，下次登陆从cookie中取出身份信息实现自动登陆。

用户身份实现java.io.Serializable接口，向cookie记录身份信息需要用户身份信息对象实现序列化接口，如下：

配置rememeberMeManager

登陆页面

配置rememberMe的input名称

测试也很好测，自动登陆后，需要查看 cookei是否有rememberMe

使用UserFilter

如果设置记住我，下次访问某些url时可以不用登陆。将记住我即可访问的地址配置让UserFilter拦截。