shiro过滤器，web.xml中默认访问页面，springMVC拦截器执行顺序

1，环境

在我自己的一个在web项目使用了shiro的Filter，让shiroFilter来代理整个web的FiltershiroFilter的大致配置如下：

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
      <property name="securityManager" ref="securityManager" />
      <property name="loginUrl" value="/" />
      <property name="unauthorizedUrl" value="homePage" /> 
      <property name="filterChainDefinitions">
      
        <value>
          /preLogin                =     anon
          /toLogin                 =     anon
          /userregister            =     anon
          /registerpage            =     anon
          /static/**               =     anon
          /login                   =     anon
          /logout                  =     logout
          /analysis/test           =     authc
          /analysis/test1          =     authc,perms[admin:edit] 
          /**                      =     user  
        value>
      property>
    bean>

在web.xml中shiroFilter的配置如下：

<filter>
    <filter-name>shiroFilterfilter-name>
    
    <filter-class>org.springframework.web.filter.DelegatingFilterProxyfilter-class>
  filter>
  <filter-mapping>
    <filter-name>shiroFilterfilter-name>
    <url-pattern>/*url-pattern>
  filter-mapping>

配置的Filter管理所有的访问控制。

同时在项目中还在web.xml中指定了一个项目欢迎页面。代码如下：

  file-list>
    file>index.jspfile>
  file-list> 

而在欢迎页面是一个jsp的跳转标签，用来跳转到真正项目的首页。index.jsp如下：

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<jsp:forward page="/preLogin" />

这里跳转的preLogin就是项目真正的首页。
同时在springMVC中也配置了相关拦截器用来判断用户是否登录，若未登录则跳转到登录界面。拦截代码如下：

public boolean preHandle(HttpServletRequest request, HttpServletResponse response,
            Object handler) throws Exception {
        String urlPath = request.getRequestURL().toString();
        if(urlPath.matches(Const.StaticPath)) { //访问的url是静态资源
            return true;
        } else { //访问其他的非静态资源的url,当前仅判断用户是否登录，若未登录则跳转到登录界面
            User user = (User)sessionUtil.getSessionAttribute(Const.currentUser);
            if(user != null) { //用户已登录
                return true;
            } else { //用户未登录
                response.sendRedirect(request.getContextPath() + Const.Login);
                return false;
            }
        }
        //return true;
    }

---

因为刚开始学习shiro所以这几个拦截访问混在一起就搞不清楚谁先访问谁后访问，以及shiro判定访问权限后再如何跳转。

2，探索过程

 web的过滤器与springMVC拦截器的访问顺序参考http://blog.csdn.net/chenleixing/article/details/44573495。
    通过这篇博客可以知道过滤器Filter的优先级是要大于springMVC的拦截器Interceptor的。或者说，当有访问来到时，是先执行Filter里的逻辑，然后在执行Interceptor的。而shiro的Filter会代理web的Filter，所以会先执行shiro的过滤器在执行springMVC的拦截器。在给程序打断点，F6一步一步执行的过程中也可以发现这一点。
     那么在web.xml中设置的欢迎页面与shiroFilter谁会先执行呢？
再回答这个问题的时候，要先看看我写的shiroFilter的配置。

<property name="loginUrl" value="/" />
<property name="unauthorizedUrl" value="homePage" /> 

用户没有认证时（即没有执行subject.login()方法）若有权限的限制，会到转到根目录即index.jsp页面，而index.jsp页面又会马上跳转到preLogin页面。当我在页面上输入http://localhost:8080/spiderAndAnalysis/（即：访问项目的根目录/时）我就搞不清楚到底是通过Filter访问的preLogin页面还是直接先访问的index.jsp页面未经过Filter。所以后来我将< property name=”loginUrl” value=”/” />的value换成了analysis，再次访问项目根目录，发现这次直接跳转到了analysis页面。所以shiroFilter的优先级高于欢迎界面，即在配置了shiroFilter管理web访问时，所有请求都要先经过shiroFilter，再经过其他过滤器拦截器等。

3，shiroFilter部分参数的含义

     在配置shiroFilter的时候用到了loginUrl，unauthorizedUrl以及filterChainDefinitions等参数。个人理解的配置含义：
    loginUrl：当用户未认证（即：未执行subject.login()函数登录成功），若此时访问有访问权限的url时，会跳转到loginUrl指定的登录界面，若访问无权限的url则会直接访问。
以本文的配置为例：若直接访问preLogin ，toLogin ，userregister这类没有访问权限的url时，将直接访问，不用跳转。若访问analysis/test这个url，并且用户未登录时，将跳转到loginUrl指定的登录界面。
    unauthorizedUrl：当用户认证了，访问了没有权限访问的url时会跳转到unauthorizedUrl指定的地址。例如：用户A已经登录但是用户A只有admin:add权限时，用户A访问analysis/test1这个需要admin:edit权限的url时，将跳转到unauthorizedUrl指定的homePage地址。