Shiro记住我（RememberMe）

简介

Shiro 提供了记住我（RememberMe）的功能，比如访问如淘宝等一些网站时，关闭了浏览器，下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问，基本流程如下： •

登录页面选中RememberMe然后登录成功；如果是浏览器登录，一般会把RememberMe 的Cookie写到客户端并保存下来；
关闭浏览器再重新打开；会发现浏览器还是记住你的；
访问一般的网页服务器端还是知道你是谁，且能正常访问；
但是比如我们访问淘宝时，如果要查看我的订单或进行支付时，此时还是需要再进行身份认证的，以确保当前用户还是你。

如果要自己做RememeberMe，需要在登录之前这样创建Token：UsernamePasswordToken(用户名，密码，是否记住我)，且调用 UsernamePasswordToken 的：token.setRememberMe(true); 方法

认证和记住我

subject.isAuthenticated() ：表示用户进行了身份验证登录的，即使有 Subject.login 进行了登录；
subject.isRemembered()：表示用户是通过记住我登录的，此时可能并不是真正的你（如你的朋友使用你的电脑，或者你的cookie 被窃取）在访问的。
两者二选一，即 subject.isAuthenticated()==true，则 subject.isRemembered()==false；反之一样。

注意

访问一般网页：如个人在主页之类的，我们使用user 拦截器即可，user 拦截器只要用户登录 (isRemembered() || isAuthenticated())过即可访问成功；

访问特殊网页：如我的订单，提交订单页面，我们使用 authc 拦截器即可，authc 拦截器会判断用户是否是通过 Subject.login（isAuthenticated()==true）登录的，如果是才放行，否则会跳转到登录页面叫你重新登录。

身份验证相关的

示例

在Spring的application.xml配置文件中的shiroFilter中未相关服务请求配置过权限限定：

<!-- 6. 配置 ShiroFilter.
6.1 id 必须和 web.xml 文件中配置的 DelegatingFilterProxy 的 <filter-name> 一致.若不一致, 则会抛出: NoSuchBeanDefinitionException.
因为 Shiro 会来 IOC 容器中查找和 <filter-name> 名字对应的 filter bean.
-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><property name="securityManager" ref="securityManager"/><property name="loginUrl" value="/login.jsp"/><property name="successUrl" value="/list.jsp"/><property name="unauthorizedUrl" value="/index.jsp"/><property name ="filterChainDefinitionMap" ref="filterChainDefinitionMap"></property>
</bean><bean id="filterChainDefinitionMap"factory-bean="filterChainDefinitionMapBuilder" factory-method="buildFilterChainDefinitionMap"/><!-- 配置一个bean，该bean实际上是一个Map，通过实例工厂方法的方式 -->
<bean id="filterChainDefinitionMapBuilder"class="com.test.shiro.factory.FilterChainDefinitionMapBuilder"/>

而在FilterChainDefinitionMapBuilder中返回了含有页面授权信息的Map：

package com.test.shiro.factory;
import java.util.LinkedHashMap;
public class FilterChainDefinitionMapBuilder {public LinkedHashMap<String,String> buildFilterChainDefinitionMap(){LinkedHashMap<String,String> map = new LinkedHashMap<>();/*配置哪些页面需要受保护. 以及访问这些页面需要的权限. 1). anon 可以被匿名访问2). authc 必须认证(即登录)后才可能访问的页面. 3). logout 登出4). roles 角色过滤器*/map.put("/login.jsp","anon");map.put("/userAuth/login","anon");map.put("/userAuth/logout","logout");map.put("/User.jsp","authc,roles[user]");//需要认证并且有user角色map.put("/admin.jsp","authc,roles[admin]");//需要认证并且有admin角色map.put("/**","authc");return map;}
}

注意：这里用filterChainDefinitionMapBuilder实例工厂从Java类中获取页面权限限定的Map，也可以使用
filterChainDefinitions属性在XML中直接配置页面权限。
在FilterChainDefinitionMapBuilder的buildFilterChainDefinitionMap方法的Map中添加“list.jsp”页面的权限限定，将其限定为“user”用户拦截器，即用户通过身份验证或“记住我”都可以访问：

package com.test.shiro.factory;
import java.util.LinkedHashMap;
public class FilterChainDefinitionMapBuilder {public LinkedHashMap<String,String> buildFilterChainDefinitionMap(){LinkedHashMap<String,String> map = new LinkedHashMap<>();/*配置哪些页面需要受保护. 以及访问这些页面需要的权限. 1). anon 可以被匿名访问2). authc 必须认证(即登录)后才可能访问的页面. 3). logout 登出4). roles 角色过滤器*/map.put("/login.jsp","anon");map.put("/userAuth/login","anon");map.put("/userAuth/logout","logout");map.put("/User.jsp","authc,roles[user]");//需要认证并且有user角色map.put("/admin.jsp","authc,roles[admin]");//需要认证并且有admin角色map.put("/list.jsp","user");//认证过或“记住我”都可访问list.jspmap.put("/**","authc");return map;}
}

然后记得之前我们在登录Controller的login服务中，在登录验证成功之后，会设置“记住我”为true：

@RequestMapping("login")
public String login(String username,String password){//获取当前的SubjectSubject currentUser = SecurityUtils.getSubject();//测试当前用户是否已经被认证(即是否已经登录)if (!currentUser.isAuthenticated()) {//将用户名与密码封装为UsernamePasswordToken对象UsernamePasswordToken token = new UsernamePasswordToken(username, password);token.setRememberMe(true);//记录用户try {currentUser.login(token);//调用Subject的login方法执行登录} catch (AuthenticationException e) {//所有认证时异常的父类System.out.println("登录失败："+e.getMessage());} }return "redirect:/list.jsp";
}

同时回顾一下我们的授权Realm，里面有模拟数据库的四个测试账号：

package com.test.shiro.realms;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import com.test.shiro.po.User;
public class ShiroRealm extends AuthorizingRealm{private static Map<String,User> userMap = new HashMap<String,User>();static{//使用Map模拟数据库获取User表信息userMap.put("administrator", new User("administrator","5703a57069fce1f17882d283132229e0",false));//密码明文：aaa123userMap.put("jack", new User("jack","43e66616f8730a08e4bf1663301327b1",false));//密码明文：aaa123userMap.put("tom", new User("tom","3abee8ced79e15b9b7ddd43b95f02f95",false));//密码明文：bbb321userMap.put("jean", new User("jean","1a287acb0d87baded1e79f4b4c0d4f3e",true));//密码明文：ccc213}@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {System.out.println("[ShiroRealm]");//1.把AuthenticationToken转换为UsernamePasswordTokenUsernamePasswordToken userToken = (UsernamePasswordToken) token;//2.从UsernamePasswordToken中获取usernameString username = userToken.getUsername();//3.调用数据库的方法，从数据库中查询Username对应的用户记录System.out.println("从数据看中获取UserName为"+username+"所对应的信息。");//Map模拟数据库取数据User u = userMap.get(username);//4.若用户不行存在，可以抛出UnknownAccountExceptionif(u==null){throw new UnknownAccountException("用户不存在");}//5.若用户被锁定，可以抛出LockedAccountExceptionif(u.isLocked()){throw new LockedAccountException("用户被锁定");}//7.根据用户的情况，来构建AuthenticationInfo对象,通常使用的实现类为SimpleAuthenticationInfo//以下信息是从数据库中获取的//1)principal：认证的实体信息，可以是username，也可以是数据库表对应的用户的实体对象Object principal = u.getUsername();//2)credentials：密码Object credentials = u.getPassword();//3)realmName：当前realm对象的name，调用父类的getName()方法即可String realmName = getName();//4)credentialsSalt盐值ByteSource credentialsSalt = ByteSource.Util.bytes(principal);//使用账号作为盐值SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal,credentials,realmName);info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);return info;}//给Shiro的授权验证提供授权信息@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {//1.从principals中获取登录用户的信息Object principal = principals.getPrimaryPrincipal();//2.利用登录用户的信息获取当前用户的角色（有数据库的话，从数据库中查询）Set<String> roles = new HashSet<String>();//放置用户角色的set集合(不重复)roles.add("user");//放置所有用户都有的普通用户角色if("administrator".equals(principal)){roles.add("admin");//当账号为administrator时，添加admin角色}//3.创建SimpleAuthorizationInfo，并设置其roles属性SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);//4.返回SimpleAuthorizationInfo对象return info;}
}

list.jsp页面代码：

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%@ taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html><head><title>首页</title></head><body>登录成功！欢迎<shiro:principal/>访问首页O(∩_∩)O<a href="userAuth/logout">登出</a><br/><br/><a href="admin.jsp">Admin Page</a><br/><br/><a href="User.jsp">User Page</a></body>
</html>

此时我们启动Web系统，然后登录一个普通用户“jack”(doGetAuthorizationInfo会自动分配“user”权限)：

让后进入首页list.jsp：

此时分别点击admin.jsp和User.jsp的超链接是一个可进入一个不可进入(因为普通用户只有user角色，没有admin角色)：

那么这个时候关闭浏览器，重新打开，这个时候访问admin.jsp/User.jsp都访问不了，会直接跳回登录页：

而直接去访问list.jsp，发现依然可以：

这就说明list.jsp/admin.jsp/user.jsp页面访问权限过滤是有效的，特别是list.jsp，不管是登录认证，还是“记住我”都可以。

实际开发时会在登录页面放置一个checkBox复选框，让用户勾选是否“记住我”，以此来判断是否在后台调用“token.setRememberMe(true);”方法。

最后，我们可以给RememberMe设置一个生效时长（一个月/一年等），我们在登录时，会使用securityManager配置的实现类DefaultWebSecurityManager，在其中含有rememberMeManager对象，其中含有一个cookie对象，在cookie对象中有一个名为maxAge的参数，代表了“记住我”的默认最大生效时间：

可以看到默认为31536000秒。所以我们可以通过设置securityManager的rememberManager的cookie对象的maxAge参数，来设置rememberMe的生效时间：

<!--1. 配置 SecurityManager-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><property name="cacheManager" ref="cacheManager"/><property name="authenticator" ref="authenticator"/><property name="realms"><list><ref bean="shiroRealm"/><ref bean="secordRealm"/></list></property><!-- 设置rememeberMe的时常为30分钟(1800秒) --><property name="rememberMeManager.cookie.maxAge" value="1800"></property>
</bean>

或