云原生之家

在Shiro中，登录操作是由Subject的login()方法完成的，Subject是个接口，在Web环境中，实现类为WebDelegatingSubject，login方法从DeletatingSubject继承而来：public void login(AuthenticationToken token) throws AuthenticationException { clearRunA

由于本文是基于源码分析Shiro认证流程，所以假设阅读者对Shiro已经有一定的了解，如果对Shiro还不大了解的话，推荐一下博文：跟我学Shiro目录贴Apache Shiro作为一个优秀的权限框架，其最重要的两项工作：其一是认证，即解决登录的用户的身份是否合法；其二是用户登录后有什么样的权限。本文将基于Shiro源码来剖析Shiro的认证流程，只有深层次的理解Shiro认证流程，认

在一个用户登录后，即身份认证通过，只能证明该登录身份是合法的，至于具体能访问系统中的什么资源，需要通过授权来控制。一般系统中都是通过用户关联角色、角色再关联权限来实现判断一个用户是否有某资源的使用权限，Shiro也提供了相应的实现权限控制。 Shiro中的权限控制也是通过Filter来实现的，在前面认证流程中讲到，Shiro的DefaultFilterChainManager类会创建

在Shiro中，无论是认证还是权限控制都是通过过滤器来实现的，在应用中可能会配置很多个过滤器，但对于不同的访问请求所需要经过的过滤器肯定是不一样的，那么当发起一个请求时，到底会应用上哪些过滤器，对于我们使用Shiro就显示得格外重要；下面就来讲讲一个请求到底会经过哪些过滤器。在Shiro中，确证一个请求会经过哪些过滤器是通过org.apache.shiro.web.filter....