1.先執(zhí)行isAccessAllowed()，通過subject.isAuthenticated()判斷當(dāng)前session中的subject是否已經(jīng)登陸過。如果在當(dāng)前session即會話中已經(jīng)登陸過，返回true，authc過濾器放行請求到loginUrl。
問題?
這里會有一個問題，如果我登陸成功后，再次訪問loginUrl，會執(zhí)行isAccessAllowed()并返回true放行，那么我訪問到了loginUrl,如果此時我在loginUrl中輸入新的用戶名密碼，再提交則先執(zhí)行isAccessAllowed()，因?yàn)楫?dāng)前session中的subject是已經(jīng)登陸過的，isAccessAllowed()返回true，autch放行，請求又會到loginUrl。因?yàn)樵诘顷懙那闆r下，再訪問loginUrl則isAccessAllowed()始終返回true，不會執(zhí)行到onAccessDenied()方法，即不會驗(yàn)證請求中的新的用戶名和密碼。
2.如果isAccessAllowed()是false即拒絕訪問后執(zhí)行onAccessDenied()方法:
2.1判斷是否是登陸請請求(即request中的url和我們設(shè)置的loginUrl是否一致)
2.1.1如果請求的url和我們在配置文件中設(shè)置的loginUrl一樣
2.1.1.1如果是get請求，則返回true，即該過濾器連放行，讓請求訪問到loginUrl
2.1.1.2如果是post請求,則創(chuàng)建subjet和tocken 調(diào)用subject的login方法進(jìn)行認(rèn)證(即開始執(zhí)行realm的doGetAuthenticationInfo方法)
2.1.1.2.1如果認(rèn)證成功則會返回false阻止filterChain繼續(xù)執(zhí)行即不讓請求達(dá)到loginUrl，而是在這里直接重定向我們上次訪問的非logurl的請求地址去(這個請求地址在你訪問的時候已經(jīng)被保存到session中了)如果沒有上次訪問的地址，則到我們設(shè)置的SuccessUrl
2.1.1…2.2如果認(rèn)證失敗則會返回true，將認(rèn)證失敗的異常信息放到reqeust屬性中，即放行讓fliterChain繼續(xù)執(zhí)行，讓請求達(dá)到loginUrl。
2.2如果否即request中的url不是loginUrl，則保存請求(應(yīng)該是到session里)，再將請求重定向到loginUrl(瀏覽器又會訪問通過get方法訪問loginUrl，又會被authc攔截，再重複上面流程，此時是登陸請求且是GET請求則authc會放行訪問到loginUrl)，執(zhí)行完重定向后返回false阻止filterChain繼續(xù)執(zhí)行。

綜上所述:
只有以下四種情況會到loginUrl:
//1.還沒有登陸成功的情況下:get請求我們在配置文件中設(shè)置的loginUrl，authc會放行請求到這里
//2.還沒有登陸成功的情況下:post請求我們在配置文件中設(shè)置的loginUrl，authc在認(rèn)證失敗后會讓瀏覽器重定向到這里
//3.還沒有登陸成功的情況下:請求(不管post還是get)的頁面不是loginUrl且需要authc過濾,那么authc也會讓瀏覽器重定向到這里
//4.登陸成功后，瀏覽器再次訪問loginUrl(不管post或get)，authc也會放行到這里。
怎么解決上面登陸成功后再訪問loginUrl，不會執(zhí)行新用戶認(rèn)證的問題呢？只有重寫authc過濾器的isAccessAllowed()方法

public class MyAuthcFilter extends FormAuthenticationFilter {@Overrideprotected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue){System.out.println("執(zhí)行自定義過濾");//如果請求的是loginUrl 并且是POST請求，那么肯定是要驗(yàn)證密碼的，這里直接返回false 就會執(zhí)行onAcessDenied()方法if (isLoginRequest(request, response) && isLoginSubmission(request, response)){return false;}//如果是其他請求 則執(zhí)行父類的方法return super.isAccessAllowed(request, response, mappedValue);} }

最后再配置文件中注冊該類，覆蓋掉shiro原本的過濾器FormAuthenticationFilter:

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><property name="securityManager" ref="securityManager" /><property name="loginUrl" value="/login" /><property name="successUrl" value="/index.jsp" /><property name="unauthorizedUrl" value="/unauthorized.jsp" /><property name="filters"><map><entry key="authc" value-ref="myAuthcFilter" /></map></property><property name="filterChainDefinitions"><value># some example chain definitions:/login = authc/logout = logout/1.jsp = user/** = authc# more URL-to-FilterChain definitions here</value></property></bean>

login的寫法:

@Controller public class UsersController {@RequestMapping("login")public String login(HttpServletRequest req) {//只有//1.還沒有登陸成功的情況下:get請求我們在配置文件中設(shè)置的loginUrl，authc會放行請求到這里//2.還沒有登陸成功的情況下:post請求我們在配置文件中設(shè)置的loginUrl，authc在認(rèn)證失敗后會讓瀏覽器重定向到這里//3.還沒有登陸成功的情況下:請求(不管post還是get)的頁面不是loginUrl且需要authc過濾,那么authc也會讓瀏覽器重定向到這里//4.登陸成功后，瀏覽器再次訪問loginUrl(不管post或get)，authc也會放行到這里。如果我們在自定義的過濾器中//設(shè)置成如果是POST請求的loginUrl，我們返回false。那么post請求的loginUrl就會執(zhí)行在過濾器中執(zhí)行onAcessDenied()方法,如果post的loginUrl驗(yàn)證失敗了會到這里，如果驗(yàn)證成功則到secessUrl這里。String errorClassName = (String) req.getAttribute(FormAuthenticationFilter.DEFAULT_ERROR_KEY_ATTRIBUTE_NAME);if(UnknownAccountException.class.getName().equals(errorClassName)) {req.setAttribute("error", "用戶名/密碼錯誤");} else if(IncorrectCredentialsException.class.getName().equals(errorClassName)) {req.setAttribute("error", "用戶名/密碼錯誤");} else if(errorClassName != null) {req.setAttribute("error", "未知錯誤：" + errorClassName);}return "login.jsp";} }

session和cookie:
通過瀏覽器第一次發(fā)送http請求時，服務(wù)器會創(chuàng)建一個session和cookie(cookie中保存sessionid)，這個session服務(wù)器的默認(rèn)時間30分鐘，可以設(shè)置。服務(wù)第一次響應(yīng)時也把cookie放到響應(yīng)中給瀏覽器，瀏覽器
收到cookie后，會判斷cookie有沒有設(shè)置過期時間，如果沒有則只保存在內(nèi)存中。如果有則存到硬盤里。
如果只是保存到內(nèi)存中，服務(wù)器端的session依然會保留30分鐘。那么瀏覽器一關(guān)閉，cookie消失，sessionid也消失了。。但此時打開瀏覽器再訪問服務(wù)器時，雖然服務(wù)器的session依然存在，但瀏覽器中的cookie(sessionid)消失了
瀏覽器發(fā)送的請求頭里沒有cookie(沒有sessionid)，服務(wù)器會當(dāng)作一個新的請求，會再創(chuàng)建一個新session。服務(wù)器中的之前的session 30分鐘侯清除。
如果保存到硬盤里了， 服務(wù)器端的session依然會保留30分鐘。那么關(guān)閉瀏覽器后，再打開瀏覽器訪問服務(wù)器時，瀏覽器會找到存到硬盤里的cookie(sessionId), 瀏覽器再次請求服務(wù)器時會帶上cookie，服務(wù)器收到請求后發(fā)現(xiàn)有cookie(sessionId)并且服務(wù)器
端的session也存在。那么服務(wù)器就依然會使用之前的session。不會再創(chuàng)建一個新的session。
所以session默認(rèn)關(guān)閉瀏覽器就失效了。

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯，堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎

總結(jié)

以上是生活随笔為你收集整理的Shiro的authc过滤器的执行流程的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。