20、Shiro 实战-Shiro缓存

注：该系列所有测试均在之前创建的Shiro3的Web工程的基础上。
在使用Shiro框架进行授权或者权限管理时，可以利用Shiro框架的缓存特性来提高系统的性能。那么如何
来实现Shiro的缓存效果呢？

Shiro中提供了一个CacheManagerAware接口，实现此接口的类都可以进行缓存的一些基础操作。
同理也即是说Realm实现了CacheManagerAware接口就可以操作缓存。

当我们的Realm实现了CacheManagerAware接口或继承了实现CacheManagerAware接口的父类的时候，
在Shiro内部有组件（DefaultSecurityManager）会自动检测相应的对象（如Realm）是否实现了
CacheManagerAware并自动注入相应的CacheManager。

Shiro提供了一个叫CachingRealm的Realm类，它实现了CacheManagerAware接口，
所以该Realm提供了缓存的一些基础实现；

那么我们自己创建的，继承AuthorizingRealm类的自定义Realm其实是可以直接操作缓存的，因为
自定义Realm继承的AuthorizingRealm类继承了AuthenticatingRealm类，而AuthenticatingRealm类
继承了CachingRealm类：

正如上面所说，CachingRealm类实现了CacheManagerAware接口，可以操作缓存：

所以说我们的Realm是有缓存的。

下面我们通过一个授权操作来看一下在Realm缓存的效果。
首先回顾一下名为“Shiro3”的Web工程中的“ShiroRealm”类：

package com.test.shiro.realms;

import java.util.HashMap;
import java.util.HashSet;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

import com.test.shiro.po.User;
public class ShiroRealm extends AuthorizingRealm{

    private static Map<String,User> userMap = new HashMap<String,User>();
    static{
        //使用Map模拟数据库获取User表信息
        userMap.put("administrator", new User("administrator","5703a57069fce1f17882d283132229e0",false));//密码明文：aaa123
        userMap.put("jack", new User("jack","43e66616f8730a08e4bf1663301327b1",false));//密码明文：aaa123
        userMap.put("tom", new User("tom","3abee8ced79e15b9b7ddd43b95f02f95",false));//密码明文：bbb321
        userMap.put("jean", new User("jean","1a287acb0d87baded1e79f4b4c0d4f3e",true));//密码明文：ccc213
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken token) throws AuthenticationException {
        System.out.println("[ShiroRealm]");
        //1.把AuthenticationToken转换为UsernamePasswordToken
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;

        //2.从UsernamePasswordToken中获取username
        String username = userToken.getUsername();

        //3.调用数据库的方法，从数据库中查询Username对应的用户记录
        System.out.println("从数据看中获取UserName为"+username+"所对应的信息。");
        //Map模拟数据库取数据
        User u = userMap.get(username);

        //4.若用户不行存在，可以抛出UnknownAccountException
        if(u==null){
            throw new UnknownAccountException("用户不存在");
        }

        //5.若用户被锁定，可以抛出LockedAccountException
        if(u.isLocked()){
            throw new LockedAccountException("用户被锁定");
        }

        //7.根据用户的情况，来构建AuthenticationInfo对象,通常使用的实现类为SimpleAuthenticationInfo
        //以下信息是从数据库中获取的
        //1)principal：认证的实体信息，可以是username，也可以是数据库表对应的用户的实体对象
        Object principal = u.getUsername();
        //2)credentials：密码
        Object credentials = u.getPassword();
        //3)realmName：当前realm对象的name，调用父类的getName()方法即可
        String realmName = getName();
        //4)credentialsSalt盐值
        ByteSource credentialsSalt = ByteSource.Util.bytes(principal);//使用账号作为盐值

        SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal,credentials,realmName);
        info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);
        return info;
    }

    //给Shiro的授权验证提供授权信息
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection principals) {
        //1.从principals中获取登录用户的信息
        Object principal = principals.getPrimaryPrincipal();

        //2.利用登录用户的信息获取当前用户的角色（有数据库的话，从数据库中查询）
        Set<String> roles = new HashSet<String>();//放置用户角色的set集合(不重复)
        roles.add("user");//放置所有用户都有的普通用户角色
        if("administrator".equals(principal)){
            roles.add("admin");//当账号为administrator时，添加admin角色
        }

        //3.创建SimpleAuthorizationInfo，并设置其roles属性
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roles);

        //4.返回SimpleAuthorizationInfo对象
        return info;
    }
}

然后我们在doGetAuthorizationInfo方法的“Object principal = principals.getPrimaryPrincipal();”处
打断点，然后运行Web程序，在登录界面登录账号为“jack”的账户：

然后进入了断点：

这说明是第一次登录，此时系统还没有授权信息的缓存，会调用doGetAuthorizationInfo的方法获取用户的授权
信息。然后再一次访问页面之后，因为上一次缓存了用户的授权信息，所以就不会再进入doGetAuthorizationInfo
方法的断点了。

而前面说到，Shiro内部组件DefaultSecurityManager会自动检测相应的对象（如Realm）是否实现了
CacheManagerAware并自动注入相应的CacheManager。那么也就是说如果不注入CacheManager就无法实现
缓存的效果，所以在Web工程的Spring配置文件application.xml中是配置了CacheManager的：

<!--1. 配置 SecurityManager-->     
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="cacheManager" ref="cacheManager"/>
    <property name="authenticator" ref="authenticator"/>
    <property name="realms">
        <list>
            <ref bean="shiroRealm"/>
            <ref bean="secordRealm"/>
        </list>
    </property>
</bean>

<!--  
2. 配置 CacheManager. 
2.1 需要加入 ehcache 的 jar 包及配置文件. 
-->     
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
    <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/> 
</bean>

如果我们将以及下面相关Bean配置去掉，那么
Realm将失去缓存效果，也就是说每一次进入系统的页面时，都需要去访问doGetAuthorizationInfo方法
来获取缓存，这种操作是十分耗费性能的，这也是缓存存在的意义。

实际上在配置Realm的时候，还可以设置Realm缓存的一些属性：

而同意我们可以在ehcache配置文件ehcache.xml中可以设置这些缓存属性：

<ehcache>
    <diskStore path="java.io.tmpdir"/>

    <!-- 授权的时候使用的缓存策略 -->
    <cache name="authorizationCache"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>

    <!-- 认证的时候使用的缓存策略 -->
    <cache name="authenticationCache"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>
<ehcache>

而Session也可以使用缓存，实现方式大致相同，其也是通过实现CacheManagerAware接口或继承实现
CacheManagerAware接口的父类来获取缓存的。
如SecurityManager实现了SessionSecurityManager，其会判断SessionManager是否实现了CacheManagerAware接口，
如果实现了会把CacheManager设置给它。
SessionManager也会判断相应的SessionDAO（如继承 自CachingSessionDAO）是否实现了CacheManagerAware，
如果实现了会把CacheManager设置给它。
设置了缓存的SessionManager，查询时会先查缓存，如果找不到才查数据库。

实际开发时，通常会使用Redis来作为Session的缓存。