shiro登录源码

  //1、获取SecurityManager工厂，此处使用Ini配置文件初始化SecurityManager
        Factory<org.apache.shiro.mgt.SecurityManager> factory =
                new IniSecurityManagerFactory(configFile);

   //2、得到SecurityManager实例 并绑定给SecurityUtils
        org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

SecurityUtils.setSecurityManager(securityManager)源码：
* *
*设置一个VM(静态)单例SecurityManager，专门用于透明使用
* {@link #getSubject() getSubject()}实现。
* < p / >
* <b>此方法调用主要用于框架开发支持。应用程序开发人员很少，
*如果需要，需要调用这个方法。</b>
* < p / >
Shiro开发团队更喜欢SecurityManager实例是非静态的单例应用程序
*和<em>不是</em> VM静态单例。不使用静态内存的应用程序单例需要一些排序
*应用程序配置框架，为您维护应用程序范围的SecurityManager实例
*(例如，Spring或EJB3环境)，这样对象引用就不需要是静态的。
* < p / >
在这些环境中，Shiro通过自己的线程根据当前正在执行的线程获取主题数据
*框架集成代码，这是使用Shiro的首选方式。
* < p / >
*然而在一些环境中，例如一个独立的桌面应用程序或applet不使用Spring或
* EJB或类似的配置框架，VM-singleton可能更有意义(尽管前者仍然是首选)。
*在这些环境中，通过此方法设置SecurityManager将自动启用
* {@link #getSubject() getSubject()}调用函数，配置很少。
* < p / >
*例如，在这些环境中，这将工作:
* <前>
* DefaultSecurityManager securityManager = new {@link org.apache.shiro.mgt。DefaultSecurityManager DefaultSecurityManager} ();
* securityManager。setRealms (…);//一个或多个域
* < b > SecurityUtils。setSecurityManager (securityManager); < / b > < / pre >
* < p / >
*然后在应用程序代码的任何地方，下面的调用将返回应用程序的主题:
* <前>
* currentUser = securityutil . getsubject ();</pre>
*
* @param securityManager将securityManager实例设置为一个VM静态单例。
* /
public void setSecurityManager(SecurityManager SecurityManager) {
SecurityUtils。securityManager = securityManager;
}

 //3、得到Subject及创建用户名/密码身份验证Token（即用户身份/凭证）
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);

UsernamePasswordToken(username, password):源码：
/ * *
*构造一个新的UsernamePasswordToken，封装提交的用户名和密码
*在验证过程中，使用<tt>null</tt> {@link #getHost() host}和
* a <tt>remember berme </tt> default <tt>false</tt>
* < p / >
* <p>这是一个方便的构造函数，通过一个字符在内部维护密码
* array，即<tt>password.toCharArray();注意，将密码存储为字符串
*在您的代码中可能存在安全隐患，如类JavaDoc.</p>中所述
*
提交认证的用户名
提交用于身份验证的密码字符串
* /
  public UsernamePasswordToken(final String username, final String password) {
        this(username, password != null ? password.toCharArray() : null, false, null);
    }

 subject.login(token)：源码：
/ * *
*为该主题/用户执行一次登录尝试。
如果不成功,
抛出{@link AuthenticationException}，它的子类表示尝试失败的原因。
*如果成功，与提交的主体/凭证相关联的帐户数据将是
*与这个{@code Subject}相关联，该方法将悄悄地返回。
* < p / >
*静悄悄返回后，可以考虑这个{@code Subject}实例
* authenticated和{@link #getPrincipal() getPrincipal()}将是非空的
* {@link #isAuthenticated() isAuthenticated()}将是{@code true}。
*
* @param令牌该令牌封装了要传递给的主题的主体和凭据
*验证子系统。
* @throws org.apache.shiro.authc.AuthenticationException
*如果身份验证尝试失败。
* @since 0.9
* /
void login(AuthenticationToken token) throws AuthenticationException;