Shiro提供了記住我（RememberMe）的功能，比如訪問如淘寶等一些網站時，關閉了瀏覽器下次再打開時還是能記住你是誰，下次訪問時無需再登錄即可訪問，基本流程如下：

1、首先在登錄頁面選中RememberMe然後登錄成功；如果是瀏覽器登錄，一般會把RememberMe的Cookie寫到客戶端並保存下來；

2、關閉瀏覽器再重新打開；會發現瀏覽器還是記住你的；

3、訪問一般的網頁服務器端還是知道你是誰，且能正常訪問；

4、但是比如我們訪問淘寶時，如果要查看我的訂單或進行支付時，此時還是需要再進行身份認證的，以確保當前用戶還是你。

RememberMe配置

spring-shiro-web.xml

1. <!-- 會話Cookie模板 -->
2. <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
3. <constructor-arg value="sid"/>
4. <property name="httpOnly" value="true"/>
5. <property name="maxAge" value="-1"/>
6. </bean>
7. <bean id="rememberMeCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
8. <constructor-arg value="rememberMe"/>
9. <property name="httpOnly" value="true"/>
10. <property name="maxAge" value="2592000"/><!-- 30天 -->
11. </bean>

sessionIdCookie：maxAge=-1表示瀏覽器關閉時失效此Cookie；

rememberMeCookie：即記住我的Cookie，保存時長30天；

1. <!-- rememberMe管理器 -->
2. <bean id="rememberMeManager"
3. class="org.apache.shiro.web.mgt.CookieRememberMeManager">
4. <property name="cipherKey" value="
5. #{T(org.apache.shiro.codec.Base64).decode(‘4AvVhmFLUs0KTA3Kprsdag==‘)}"/>
6. <property name="cookie" ref="rememberMeCookie"/>
7. </bean>

rememberMe管理器，cipherKey是加密rememberMe Cookie的密鑰；默認AES算法；

1. <!-- 安全管理器 -->
2. <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
3. ……
4. <property name="rememberMeManager" ref="rememberMeManager"/>
5. </bean>

設置securityManager安全管理器的rememberMeManager；

1. <bean id="formAuthenticationFilter"
2. class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
3. ……
4. <property name="rememberMeParam" value="rememberMe"/>
5. </bean>

rememberMeParam，即rememberMe請求參數名，請求參數是boolean類型，true表示rememberMe。

1. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
2. ……
3. <property name="filterChainDefinitions">
4. <value>
5. /login.jsp = authc
6. /logout = logout
7. /authenticated.jsp = authc
8. /** = user
9. </value>
10. </property>
11. </bean>

“/authenticated.jsp = authc”表示訪問該地址用戶必須身份驗證通過（Subject. isAuthenticated()==true）；而“/** = user”表示訪問該地址的用戶是身份驗證通過或RememberMe登錄的都可以。

測試：

1、訪問http://localhost:8080/chapter13/，會跳轉到登錄頁面，登錄成功後會設置會話及rememberMe Cookie；

2、關閉瀏覽器，此時會話cookie將失效；

3、然後重新打開瀏覽器訪問http://localhost:8080/chapter13/，還是可以訪問的；

4、如果此時訪問http://localhost:8080/chapter13/authenticated.jsp，會跳轉到登錄頁面重新進行身份驗證。

如果要自己做RememeberMe，需要在登錄之前這樣創建Token：UsernamePasswordToken(用戶名，密碼，是否記住我)，如：

1. Subject subject = SecurityUtils.getSubject();
2. UsernamePasswordToken token = new UsernamePasswordToken(username, password);
3. token.setRememberMe(true);
4. subject.login(token);

subject.isAuthenticated()表示用戶進行了身份驗證登錄的，即使有Subject.login進行了登錄；subject.isRemembered()：表示用戶是通過記住我登錄的，此時可能並不是真正的你（如你的朋友使用你的電腦，或者你的cookie被竊取）在訪問的；且兩者二選一，即subject.isAuthenticated()==true，則subject.isRemembered()==false；反之一樣。

另外對於過濾器，一般這樣使用：

訪問一般網頁，如個人在主頁之類的，我們使用user攔截器即可，user攔截器只要用戶登錄(isRemembered()==true or isAuthenticated()==true)過即可訪問成功；

訪問特殊網頁，如我的訂單，提交訂單頁面，我們使用authc攔截器即可，authc攔截器會判斷用戶是否是通過Subject.login（isAuthenticated()==true）登錄的，如果是才放行，否則會跳轉到登錄頁面叫你重新登錄。

因此RememberMe使用過程中，需要配合相應的攔截器來實現相應的功能，用錯了攔截器可能就不能滿足你的需求了。

示例源代碼：https://github.com/zhangkaitao/shiro-example；

shiro中記住我功能