Shiro 的user过滤器

项目里用到了Shiro这个权限框架，感觉呢，挺方便的。

看了一天多两天的样子。然后运行了一些例子，比较容易，后来看到一个过滤器，配置如下

[main]
#默认是/login.jsp
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized
perms.unauthorizedUrl=/unauthorized

logout.redirectUrl=/login

[users]
zhang=123,admin
wang=123

[roles]
admin=user:*,menu:*

[urls]
#anon 不要登录就可以访问

/logout2=logout
/login=anon
/logout=anon
/unauthorized=anon
/static/**=anon 

#需要登录才能访问
#需要登录，并且有admin角色才能访问
/role=authc,roles[admin]
/permission=authc,perms["user:create"]
/authenticated=user
#userFilter首先是判断是不是登录页面，如果是的话，就是allowd，如果不是,如果之前登录过，并且isRememberMe=true。则可访问，但authc的不能
#

这个里面有个user过滤器的不太懂，但是你懂了，就感觉很容易了

user代表的是UserFilter

 if (isLoginRequest(request, response)) {
            return true;
        } else {
            Subject subject = getSubject(request, response);
            // If principal is not null, then the user is known and should be allowed access.
            return subject.getPrincipal() != null;
        }

这是isAccessAllowed方法的源码。大致意思是，首先如果是访问的登录页面，则允许用户访问，如果不是，则从获得当前用户，看用户是否rememberMe了，rememberMe并且在有效期内登录过，则会允许访问其路径，但不会允许访问authc的路径。user是介于，anon和authc直之间的。换句话来说：而“/authenticated= user”表示访问该地址的用户是身份验证通过或RememberMe 登录的都可以。或者说，某个页面需要登录才能看，但这个页面信息又不太重要，就可已使用这个

rememberMe的原理，是将登录的用户名，以某种加密的方式，存入cookie中，名字就叫rememberMe，下次登录就会从cookie里面找，如果有，pricipal就不会为空。另外得注意，调用subject.logout()的会将这个cookie清除