本文内容：Shiro 中RememberMe 功能的介绍以及实现。

1

介绍

Shiron 提供了记住我（RememberMe）的功能，比如访问如淘宝等一些网站时，关闭了浏览器下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问。

基本流程如下：

1、首先在登录页面选中RememberMe然后登录成功；如果是浏览器登录，一般会把RememberMe的Cookie写到客户端并保存下来；

2、关闭浏览器再重新打开；会发现浏览器还是记住你的；

3、访问一般的网页服务器端还是知道你是谁，且能正常访问；

4、但是比如我们访问淘宝时，如果要查看我的订单或进行支付时，此时还是需要再进行身份认证的，以确保当前用户还是你。

关于拦截器

访问一般网页，如个人在主页之类的，我们使用user拦截器即可，user拦截器只要用户登录(isRemembered()==true||isAuthenticated()==true)通过即可访问成功；

访问特殊网页，如我的订单，提交订单页面，我们使用authc拦截器，authc拦截器会判断用户是否是通过

Subject.login（isAuthenticated()==true）

登录的，如果是才放行，否则会跳转到登录页面叫你重新登录。

关于rememberMe的cookie

shiro自动对用户对象序列化并加密. 当获得请求时, 能够获取反序列化且解密之后的用户对象。

当设置rememberMe==false, 将会自动清空rememberMe cookie.

不想要自动登录怎么办?

调用shiro的logout()方法, 即消除自动登录功能。

2

实现

ShiroConfig.java 中添加配置

注意：

cookieRememberMeManager.setCipherKey

传入参数为长度16位的byte[]，否则会报Unable to init cipher instance:无法初始化密码实例的错误。

/**     * cookie对象;     * @return     */    public SimpleCookie rememberMeCookie(){        //这个参数是cookie的名称，对应前端的checkbox的name = rememberMe        SimpleCookie simpleCookie = new SimpleCookie("rememberMe");        //cookie生效时间30天,单位秒;        simpleCookie.setMaxAge(2592000);        return simpleCookie;    }/**     * cookie管理对象;记住我功能     * @return     */    public CookieRememberMeManager rememberMeManager(){        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();        cookieRememberMeManager.setCookie(rememberMeCookie());        cookieRememberMeManager.setCipherKey("ZHANGXIAOHEI_CAT".getBytes());        return cookieRememberMeManager;    }

注入到SecurityManager

@Bean(name="securityManager")  public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();    //关联realm    securityManager.setRealm(userRealm);    //使用记住我    securityManager.setRememberMeManager(rememberMeManager());    return securityManager;  }

修改登录页面login.html

<body><h3 th:text="${msg}" style="color: red"></h3>    <form method="post" action="login">         用戶：<input type="text" id="userName" name="userName"/><br/>         密碼：<input type="password" id="password" name="password"/><br/>         <input type="checkbox" name="rememberMe">记住我<br>        <input type="submit" value="登录" id="sender" >     </form></body>

修改LoginController.java

@RequestMapping(value="/login",method = RequestMethod.GET)  public String toLogin(Model model) {    Subject subject = SecurityUtils.getSubject();      System.out.println(subject.isRemembered());    System.out.println(subject.isAuthenticated());    if(subject.isRemembered()){      System.out.println("-------------------------------------------------");            System.out.println("认证成功");            DzmHisMember member = (DzmHisMember)subject.getPrincipal();            model.addAttribute("member",member);            return "redirect:/toHome";        }    return "login";  }@RequestMapping(value="/login",method = RequestMethod.POST)  public String login(String userName,String password,boolean rememberMe,Model model)  {    /**     * 使用Shiro编写认证操作     *///1.获取Subject    Subject subject = SecurityUtils.getSubject();  //2.封装用户数据    UsernamePasswordToken token = new UsernamePasswordToken(userName,password);//3.执行登录方法    try {      System.out.println(rememberMe);      token.setRememberMe(rememberMe);      subject.login(token);      //登录成功，跳转到主页面      return "redirect:/toHome";    } catch (UnknownAccountException e) {      //登录失败:用户名不存在      model.addAttribute("msg", "用户名不存在");      return "login";    }catch (IncorrectCredentialsException e) {      //登录失败:密码错误      model.addAttribute("msg", "密码错误");      return "login";    }  }

• 前一次登录勾选了记住我, 则本次登录时isRemembered()==true（如果上一次设置了rememberme, 本次登录是不会触发action中的login()的方法的, 即会直接进入登录状态）。

• 经过shiro的login()则表示为认证登录的. 就是说authentication==true. 访问权限最高.

• rememberMe==true, 则将不会进入任何action. 可以访问所有user控制的页面或路径. 但不能访问authc控制的面或路径。

这里有个关键点:

subject.isAuthenticated()==true，则 subject.isRemembered()==false；

反之同理。

3

测试

在地址栏输入http://localhost:8080/hospital/login，第一次登陆时勾选“记住我”，登陆成功后关闭该页面；再在地址栏输入

http://localhost:8080/hospital/login会直接进入主页而不是登陆页面，控制台输出如下：

至此，本文结束。欢迎各位关注我的公众号：暗星涌动。