我准备使用shiro+token对用户进行身份认证,为了减少查询数据库的次数,想说添加一个认证缓存。
但是我遇到一个问题:同一用户在A处发出的请求和在B处发出的请求中带的token是不一样的,如果某用户先在A处请求某资源并通过了认证并把认证信息(用户名,token)添加到了缓存,那么该用户再在B处发起请求,由于请求中带的token信息不一致,即本次请求的认证信息与缓存中的不一致,导致B处认证失败。针对这种情况应该怎么处理呢?
后来不知道究竟该如何解决上面的问题,我就想了个比较笨的办法,把“用户名+token”作为principal,这样可以实现同一用户在A、B处都认证成功,但是又有另外一个问题:用户的状态可能会被其他人改变,例如用户被锁定了,那么需要清除缓存中该用户的认证信息,然而该用户有多个principal,如何清理该用户的所有认证缓存而不需要清理所有用户的缓存?