Shiro提供了類似於Spring的Cache抽象,即Shiro本身不實現Cache,但是對Cache進行了又抽象,方便更換不同的底層Cache實現。對於Cache的一些概念可以參考我的《Spring Cache抽象詳解》:http://jinnianshilongnian.iteye.com/blog/2001040。
Shiro提供的Cache接口:
- public interface Cache<K, V> {
- //根據Key獲取緩存中的值
- public V get(K key) throws CacheException;
- //往緩存中放入key-value,返回緩存中之前的值
- public V put(K key, V value) throws CacheException;
- //移除緩存中key對應的值,返回該值
- public V remove(K key) throws CacheException;
- //清空整個緩存
- public void clear() throws CacheException;
- //返回緩存大小
- public int size();
- //獲取緩存中所有的key
- public Set<K> keys();
- //獲取緩存中所有的value
- public Collection<V> values();
- }
Shiro提供的CacheManager接口:
- public interface CacheManager {
- //根據緩存名字獲取一個Cache
- public <K, V> Cache<K, V> getCache(String name) throws CacheException;
- }
Shiro還提供了CacheManagerAware用於注入CacheManager:
- public interface CacheManagerAware {
- //注入CacheManager
- void setCacheManager(CacheManager cacheManager);
- }
Shiro內部相應的組件(DefaultSecurityManager)會自動檢測相應的對象(如Realm)是否實現了CacheManagerAware並自動注入相應的CacheManager。
本章用例使用了與第六章的代碼。
Realm緩存
Shiro提供了CachingRealm,其實現了CacheManagerAware接口,提供了緩存的一些基礎實現;另外AuthenticatingRealm及AuthorizingRealm分別提供了對AuthenticationInfo 和AuthorizationInfo信息的緩存。
ini配置
- userRealm=com.github.zhangkaitao.shiro.chapter11.realm.UserRealm
- userRealm.credentialsMatcher=$credentialsMatcher
- userRealm.cachingEnabled=true
- userRealm.authenticationCachingEnabled=true
- userRealm.authenticationCacheName=authenticationCache
- userRealm.authorizationCachingEnabled=true
- userRealm.authorizationCacheName=authorizationCache
- securityManager.realms=$userRealm
- cacheManager=org.apache.shiro.cache.ehcache.EhCacheManager
- cacheManager.cacheManagerConfigFile=classpath:shiro-ehcache.xml
- securityManager.cacheManager=$cacheManager
userRealm.cachingEnabled:啓用緩存,默認false;
userRealm.authenticationCachingEnabled:啓用身份驗證緩存,即緩存AuthenticationInfo信息,默認false;
userRealm.authenticationCacheName:緩存AuthenticationInfo信息的緩存名稱;
userRealm. authorizationCachingEnabled:啓用授權緩存,即緩存AuthorizationInfo信息,默認false;
userRealm. authorizationCacheName:緩存AuthorizationInfo信息的緩存名稱;
cacheManager:緩存管理器,此處使用EhCacheManager,即Ehcache實現,需要導入相應的Ehcache依賴,請參考pom.xml;
因爲測試用例的關係,需要將Ehcache的CacheManager改爲使用VM單例模式:
this.manager = new net.sf.ehcache.CacheManager(getCacheManagerConfigFileInputStream());
改爲
this.manager = net.sf.ehcache.CacheManager.create(getCacheManagerConfigFileInputStream());
測試用例
- @Test
- public void testClearCachedAuthenticationInfo() {
- login(u1.getUsername(), password);
- userService.changePassword(u1.getId(), password + "1");
- RealmSecurityManager securityManager =
- (RealmSecurityManager) SecurityUtils.getSecurityManager();
- UserRealm userRealm = (UserRealm) securityManager.getRealms().iterator().next();
- userRealm.clearCachedAuthenticationInfo(subject().getPrincipals());
- login(u1.getUsername(), password + "1");
- }
首先登錄成功(此時會緩存相應的AuthenticationInfo),然後修改密碼;此時密碼就變了;接着需要調用Realm的clearCachedAuthenticationInfo方法清空之前緩存的AuthenticationInfo;否則下次登錄時還會獲取到修改密碼之前的那個AuthenticationInfo;
- @Test
- public void testClearCachedAuthorizationInfo() {
- login(u1.getUsername(), password);
- subject().checkRole(r1.getRole());
- userService.correlationRoles(u1.getId(), r2.getId());
- RealmSecurityManager securityManager =
- (RealmSecurityManager) SecurityUtils.getSecurityManager();
- UserRealm userRealm = (UserRealm)securityManager.getRealms().iterator().next();
- userRealm.clearCachedAuthorizationInfo(subject().getPrincipals());
- subject().checkRole(r2.getRole());
- }
和之前的用例差不多;此處調用Realm的clearCachedAuthorizationInfo清空之前緩存的AuthorizationInfo;
另外還有clearCache,其同時調用clearCachedAuthenticationInfo和clearCachedAuthorizationInfo,清空AuthenticationInfo和AuthorizationInfo。
UserRealm還提供了clearAllCachedAuthorizationInfo、clearAllCachedAuthenticationInfo、clearAllCache,用於清空整個緩存。
在某些清空下這種方式可能不是最好的選擇,可以考慮直接廢棄Shiro的緩存,然後自己通過如AOP機制實現自己的緩存;可以參考:
https://github.com/zhangkaitao/es/tree/master/web/src/main/java/com/sishuok/es/extra/aop
另外如果和Spring集成時可以考慮直接使用Spring的Cache抽象,可以考慮使用SpringCacheManagerWrapper,其對Spring Cache進行了包裝,轉換爲Shiro的CacheManager實現:
Session緩存
當我們設置了SecurityManager的CacheManager時,如:
當我們設置SessionManager時:
- sessionManager=org.apache.shiro.session.mgt.DefaultSessionManager
- securityManager.sessionManager=$sessionManager
如securityManager實現了SessionsSecurityManager,其會自動判斷SessionManager是否實現了CacheManagerAware接口,如果實現了會把CacheManager設置給它。然後sessionManager會判斷相應的sessionDAO(如繼承自CachingSessionDAO)是否實現了CacheManagerAware,如果實現了會把CacheManager設置給它;如第九章的MySessionDAO就是帶緩存的SessionDAO;其會先查緩存,如果找不到才查數據庫。
對於CachingSessionDAO,可以通過如下配置設置緩存的名稱:
- sessionDAO=com.github.zhangkaitao.shiro.chapter11.session.dao.MySessionDAO
- sessionDAO.activeSessionsCacheName=shiro-activeSessionCache
activeSessionsCacheName默認就是shiro-activeSessionCache。
示例源代碼:https://github.com/zhangkaitao/shiro-example;可加羣 231889722 探討Spring/Shiro技術。