Apache Shiro V1.2 SecurityUtils与SecurityManager的关系以及Subject的创建

SecurityUtils是一个抽象的工具类，提供了 SecurityManager 实例的保存和获取的方法，以及创建Subject的方法。

一、SecurityUtils中获取subject的方法

SecurityUtils提供了 getSecurityManager()和setSecurityManager外，还有个特别的方法 getSubject()，这是获取subject的最有效的途径。

1. public static Subject getSubject() {
2. Subject subject = ThreadContext.getSubject();
3. if (subject == null) {
4. subject = (new Subject.Builder()).buildSubject();
5. ThreadContext.bind(subject);
6. }
7. return subject;
8. }

实际上，创建的subject的工作还是由SecurityManager 来完成的( DefaultSecurityManager的 createSubject()方法)。

Buidler是在 Subject的内类，在Buidler中通过SecurityUtils 获取到了SecurityManager，调用buildSubject()。

在buildSubject()中调用了securityManager.createSubject()方法，完成subject创建的。

二、最终subject创建的代码

DefaultSecurityManager 实例化的时候，生成了 SubjectFactory子类 DefaultSubjectFactory 实例的属性。

DefaultSecurityManager的createSubject()方法 调用DefaultSubjectFactory 的 createSubject()方法最终完成了subject 的创建：

下面是DefaultSubjectFactory 中createSubject()方法的代码：

1. public Subject createSubject(SubjectContext context) {
2. SecurityManager securityManager = context.resolveSecurityManager();
3. Session session = context.resolveSession();
4. boolean sessionCreationEnabled = context.isSessionCreationEnabled();
5. PrincipalCollection principals = context.resolvePrincipals();
6. boolean authenticated = context.resolveAuthenticated();
7. String host = context.resolveHost();
9. return new DelegatingSubject(principals, authenticated, host, session, sessionCreationEnabled, securityManager);
10. }

可见，subject的最终实例是DelegatingSubject的实例，并且包含host,authenticated,principals,securityManager等丰富的信息。