先粘出登入的程式碼

@RequestMapping(value="/submitLogin",method = RequestMethod.POST)
    @ResponseBody
    public Map<String, Object> submitLogin(String username,String password){
        System.out.println(username+"-----"+password);
        String msg = "";
        Map<String, Object> map = new HashMap<>();
        try {
            UsernamePasswordToken token = token = new UsernamePasswordToken(username, password);
            char[] password1 = token.getPassword();
            String s = password1.toString();

            System.out.println("*******"+s);
            SecurityUtils.getSubject().login(token);
            token.setRememberMe(true);
            map.put("status",200);
        } catch (UnknownAccountException e) {
            msg = "UnknownAccountException -- > 賬號不存在：";
            map.put("status",400);
        } catch (IncorrectCredentialsException e){
            msg = "IncorrectCredentialsException -- > 密碼不正確：";
            map.put("status",500);
        }catch (Exception exception){
            msg = "else >> "+exception;
            System.out.println("else -- >" + exception);
        }
        return map;
    }
 

可以看到已經獲取到了username和password ，為了接下來的認證過程，我們需要獲取subject物件，也就是代表當前登入使用者，並且要將username和password兩個變數設定到UsernamePasswordToken物件的token中， 呼叫SecurityUtils.getSubject().login(token)方法，將 token傳入

接下來看看login方法的實現：

主要還是用到了securityManager安全管理器

進入securityManager裡邊的login方法，看看他的實現：

 在這個方法中定義了AuthenticationInfo物件來接受從Realm傳來的認證資訊

進入authenticate方法中

public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
        return this.authenticator.authenticate(token);
    }

發現呼叫了authenticator的authenticate這個方法

進入this.authenticator.authenticate(token)這個方法中

在這個 類中呼叫了這個方法，再進去看他的實現

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
        this.assertRealmsConfigured();
        Collection<Realm> realms = this.getRealms();
        return realms.size() == 1?this.doSingleRealmAuthentication((Realm)realms.iterator().next(), authenticationToken):this.doMultiRealmAuthentication(realms, authenticationToken);
    }
 

在這裡才是剛才前邊的那個authenticator的實現， this.assertRealmsConfigured() 這個方法是判斷realm是否存在，不存在則丟擲異常，他會根據realm的個數來判斷執行哪個方法，上篇中springboot整合shiro我只配置了一個realm，所以他只會執行this.doSingleRealmAuthentication((Realm)realms.iterator().next(), authenticationToken)這個方法，並且會將 realm和token作為引數傳入，這裡的realm其實就是自己定義的MyShiroRealm

接下來再進入doSingleRealmAuthentication這個方法中，

在這裡 他會先判斷realm是否支援token

接下來執行else中的getAuthenticationInfo方法

this.getCachedAuthenticationInfo(token)這個方法是從shiro快取中讀取使用者資訊，如果沒有，才從realm中獲取資訊。如果是第一次登陸，快取中肯定沒有認證資訊，所以會執行this.doGetAuthenticationInfo(token)這個方法。

檢視this.doGetAuthenticationInfo(token)方法，會發現有這麼幾個類提供我們選擇

其中就有我們自定義的realm，進去

 所以 ，上邊的doGetAuthorizationInfo是 執行的我們自定義realm中重寫的doGetAuthorizationInfo這個方法。這個方法就會從資料庫中讀取我們所需要的資訊，最後封裝成SimpleAuthorizationInfo返回去。

現在獲取到認證資訊了，接下來就是shiro怎麼去進行認證，我們返回去看

 獲取 完資訊之後就是進行密碼匹配,進入assertCredentialsMatch方法中看一下，

首先 獲取一個CredentialsMatcher物件，譯為憑證匹配器，這個類的主要作用就是將使用者輸入的密碼一某種計算加密。

再看一下cm.doCredentialsMatch(token,info)

這裡會用到equals方法對token中加密的密碼和從資料庫中取出來的info中的密碼進行對比，如果認證相同就返回true，失敗就返回false，並丟擲AuthenticationException，將info返回到defaultSecurityManager中，到此認證過程結束。