一、Shiro認證過程

1、收集實體/憑據(jù)信息

UsernamePasswordToken支持最常見的用戶名/密碼的認證機制。同時，由于它實現(xiàn)了RememberMeAuthenticationToken接口，我們可以通過令牌設(shè)置“記住我”的功能。
但是，“已記住”和“已認證”是有區(qū)別的：
已記住的用戶僅僅是非匿名用戶，你可以通過subject.getPrincipals()獲取用戶信息。但是它并非是完全認證通過的用戶，當你訪問需要認證用戶的功能時，你仍然需要重新提交認證信息。
這一區(qū)別可以參考亞馬遜網(wǎng)站，網(wǎng)站會默認記住登錄的用戶，再次訪問網(wǎng)站時，對于非敏感的頁面功能，頁面上會顯示記住的用戶信息，但是當你訪問網(wǎng)站賬戶信息時仍然需要再次進行登錄認證。

2、提交實體/憑據(jù)信息

收集了實體/憑據(jù)信息之后，我們可以通過SecurityUtils工具類，獲取當前的用戶，然后通過調(diào)用login方法提交認證。

3、認證處理

如果login方法執(zhí)行完畢且沒有拋出任何異常信息，那么便認為用戶認證通過。之后在應(yīng)用程序任意地方調(diào)用SecurityUtils.getSubject() 都可以獲取到當前認證通過的用戶實例，使用subject.isAuthenticated()判斷用戶是否已驗證都將返回true.
相反，如果login方法執(zhí)行過程中拋出異常，那么將認為認證失敗。Shiro有著豐富的層次鮮明的異常類來描述認證失敗的原因，如代碼示例。

二、登出操作

登出操作可以通過調(diào)用subject.logout()來刪除你的登錄信息，如：

當執(zhí)行完登出操作后，Session信息將被清空，subject將被視作為匿名用戶。

三、認證內(nèi)部處理機制

以上，是Shiro認證在應(yīng)用程序中的處理過程，下面將詳細解說Shiro認證的內(nèi)部處理機制。





如上圖，我們通過Shiro架構(gòu)圖的認證部分，來說明Shiro認證內(nèi)部的處理順序：

1、應(yīng)用程序構(gòu)建了一個終端用戶認證信息的AuthenticationToken 實例后，調(diào)用Subject.login方法。
2、Sbuject的實例通常是DelegatingSubject類（或子類）的實例對象，在認證開始時，會委托應(yīng)用程序設(shè)置的securityManager實例調(diào)用securityManager.login(token)方法。
3、SecurityManager接受到token(令牌)信息后會委托內(nèi)置的Authenticator的實例（通常都是ModularRealmAuthenticator類的實例）調(diào)用authenticator.authenticate(token). ModularRealmAuthenticator在認證過程中會對設(shè)置的一個或多個Realm實例進行適配，它實際上為Shiro提供了一個可拔插的認證機制。
4、如果在應(yīng)用程序中配置了多個Realm，ModularRealmAuthenticator會根據(jù)配置的AuthenticationStrategy(認證策略)來進行多Realm的認證過程。在Realm被調(diào)用后，AuthenticationStrategy將對每一個Realm的結(jié)果作出響應(yīng)。
注：如果應(yīng)用程序中僅配置了一個Realm，Realm將被直接調(diào)用而無需再配置認證策略。
5、判斷每一個Realm是否支持提交的token，如果支持，Realm將調(diào)用getAuthenticationInfo(token); getAuthenticationInfo 方法就是實際認證處理，我們通過覆蓋Realm的doGetAuthenticationInfo方法來編寫我們自定義的認證處理。

四、使用多個Realm的處理機制：

1、Authenticator
默認實現(xiàn)是ModularRealmAuthenticator,它既支持單一Realm也支持多個Realm。如果僅配置了一個Realm，ModularRealmAuthenticator 會直接調(diào)用該Realm處理認證信息，如果配置了多個Realm，它會根據(jù)認證策略來適配Realm，找到合適的Realm執(zhí)行認證信息。
自定義Authenticator的配置：

2、AuthenticationStrategy（認證策略）

當應(yīng)用程序配置了多個Realm時，ModularRealmAuthenticator將根據(jù)認證策略來判斷認證成功或是失敗。
例如，如果只有一個Realm驗證成功，而其他Realm驗證失敗，那么這次認證是否成功呢？如果大多數(shù)的Realm驗證成功了，認證是否就認為成功呢？或者，一個Realm驗證成功后，是否還需要判斷其他Realm的結(jié)果？認證策略就是根據(jù)應(yīng)用程序的需要對這些問題作出決斷。
認證策略是一個無狀態(tài)的組件，在認證過程中會經(jīng)過4次的調(diào)用：
在所有Realm被調(diào)用之前
在調(diào)用Realm的getAuthenticationInfo 方法之前
在調(diào)用Realm的getAuthenticationInfo 方法之后
在所有Realm被調(diào)用之后
認證策略的另外一項工作就是聚合所有Realm的結(jié)果信息封裝至一個AuthenticationInfo實例中，并將此信息返回，以此作為Subject的身份信息。
Shiro有3中認證策略的具體實現(xiàn)：

3、Realm的順序

由剛才提到的認證策略，可以看到Realm在ModularRealmAuthenticator 里面的順序?qū)φJ證是有影響的。
ModularRealmAuthenticator 會讀取配置在SecurityManager里的Realm。當執(zhí)行認證是，它會遍歷Realm集合，對所有支持提交的token的Realm調(diào)用getAuthenticationInfo 。
因此，如果Realm的順序?qū)δ闶褂玫恼J證策略結(jié)果有影響，那么你應(yīng)該在配置文件中明確定義Realm的順序，如：