Shiro的authc过滤器的执行流程
1.先執行isAccessAllowed(),通過subject.isAuthenticated()判斷當前session中的subject是否已经登陆过。如果在当前session即会话中已经登陆过,返回true,authc过滤器放行请求到loginUrl。
**问题?:?*这里会有一个问题,如果我登陆成功后,再次访问loginUrl,会执行isAccessAllowed()并返回true放行,那么我访问到了loginUrl。如果此时我在loginUrl中输入新的用户名密码,再提交则先执行isAccessAllowed(),因为当前session中的subject是已经登陆过的,isAccessAllowed()返回true,autch放行,请求又会到loginUrl。因为在登陆的情况下,再访问loginUrl则isAccessAllowed()始终返回true,不会执行到onAccessDenied()方法,即不会验证请求中的新的用户名和密码。
2.如果isAccessAllowed()是false即拒絕訪問后執行onAccessDenied()方法:
2.1判斷是否是登陆请請求(即request中的url和我們設置的loginUrl是否一致)
2.1.1如果请求的url和我们在配置文件中设置的loginUrl一样
2.1.1.1如果是get請求,則返回true,即該過濾器連放行,讓請求訪問到loginUrl
2.1.1.2如果是post請求,则創建subjet和tocken 調用subject的login方法進行認證(即開始執行realm的doGetAuthenticationInfo方法)
2.1.1.2.1如果認證成功則會返回false阻止filterChain繼續執行即不讓請求達到loginUrl,而是在這裏直接重定向我們上次訪問的非logurl