在兩天在看Shiro，開濤兄的教程還是寫的比較易讀，差不多看了一天吧，就準備拿來用了。
可能是想的太簡單了，在用的時候確實碰到一些問題，就拿最簡單的身份驗證來說吧：
需要說明的是，這裡是整合在Spring中使用，身份驗證我直接使用了Shiro提供的

org.apache.shiro.web.filter.authc.FormAuthenticationFilter

如果url應用了該攔截器，那麼處理流程是大致這樣的：

由於之前用markdown花的流程圖顯示不下，所以還是改成圖片形式了。

比如我們要用FormAuthenticationFilter來做一個簡單的身份驗證的話，也是很簡單的：

1. 首先我們分別寫好處理登陸的get請求和post請求

    @RequestMapping(value = "/login", method = RequestMethod.GET)
    public String showLoginPage() {
        return "user/login";
    }

    @RequestMapping(value = "/login", method = RequestMethod.POST)
    public String submitLoginForm(User user, HttpServletRequest request
 
,
            Model model) {

        String errorClassName = (String) request
                .getAttribute("shiroLoginFailure");

        String authticationError = null;
        if (UnknownAccountException.class.getName().equals(errorClassName)) {
            authticationError = "使用者名稱/密碼錯誤";
        } else
 
 if (IncorrectCredentialsException.class.getName().equals(
                errorClassName)) {
            authticationError = "使用者名稱/密碼錯誤";
        } else if (errorClassName != null) {
            authticationError = "未知錯誤：" + errorClassName;
        }
        model.addAttribute("authticationError", authticationError);

        return showLoginPage();
    }

在post請求中我們需要根據request中的錯誤資訊來翻譯出需要顯示的訊息內容。若需要國際化的話，也可以用ResourceBundle來做。
需要注意的是，只有當登陸報錯了才會進來這個方法中來。若身份驗證成功的話，會直接跳轉到之前的訪問地址或是successfulUrl去。好了，接下來看看配置檔案：

    <!-- 憑證匹配器 這裡簡單寫了一個無需加密的匹配 -->
    <bean id="credentialsMatcher" class="com.zhu.prototype.shiro.credential.PlainPasswordMatcher">
    </bean>

    <bean id="jdbcRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm">
        <property name="credentialsMatcher" ref="credentialsMatcher"></property>
        <property name="authenticationQuery" value="select password from user where username = ?"></property>
        <property name="dataSource" ref="dataSource"></property>
    </bean>

    <!-- 安全管理器 DefaultWebSecurityManager預設使用ServletContainerSessionManager來管理session-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realms">
            <list>
                <ref bean="jdbcRealm" />
            </list>
        </property>
    </bean>

    <!-- 基於Form表單的身份驗證過濾器 -->
    <bean id="formAuthenticationFilter"
        class="org.apache.shiro.web.filter.authc.FormAuthenticationFilter">
        <property name="usernameParam" value="username" />
        <property name="passwordParam" value="password" />
        <property name="loginUrl" value="/login" />
        <property name="successUrl" value="/news/newsList"></property>
    </bean>

登陸成功後，會在session中預設設定幾個屬性：

{org.apache.shiro.subject.support.DefaultSubjectContext_AUTHENTICATED_SESSION_KEY=true,
org.apache.shiro.web.session.HttpServletSession.HOST_SESSION_KEY=0:0:0:0:0:0:0:1,
org.apache.shiro.subject.support.DefaultSubjectContext_PRINCIPALS_SESSION_KEY=zhu}

如果我們需要註冊attribute的話，我的想法是繼承FormAuthenticationFilter（不知道Shiro是否有提供別的配置來完成？），然後重寫onLoginSuccess(…)，原定義如下：

    protected boolean onLoginSuccess(AuthenticationToken token, Subject subject,
                                     ServletRequest request, ServletResponse response) throws Exception {
        issueSuccessRedirect(request, response);
        //we handled the success redirect directly, prevent the chain from continuing:
        return false;
    }

可改寫為

    @Override
    protected boolean onLoginSuccess(AuthenticationToken token,
            Subject subject, ServletRequest request, ServletResponse response)
            throws Exception {

        super.onLoginSuccess(token, subject, request, response);
        initCustomSessionAttributes(((HttpServletRequest) request)
                .getSession(false), token);

        return false;
    }

    protected void initCustomSessionAttributes(HttpSession session,
            AuthenticationToken token) {

        String username = token.getPrincipal().toString();
        User user = userService.getUserByUsername(username);
        UserPreferences preferences = new UserPreferences();
        preferences.setUsername(user.getUsername());
        session.setAttribute("userPreferences", preferences);
    }

最後給出Shiro中常見的驗證不通過報的錯誤：

• DisabledAccountException （禁用的帳號）
• LockedAccountException （鎖定的帳號）
• UnknownAccountException（錯誤的帳號）
• ExcessiveAttemptsException（登入失敗次數過多）
• IncorrectCredentialsException （錯誤的憑證）
• ExpiredCredentialsException （過期的憑證）
• ……