權(quán)限驗(yàn)證方式的驗(yàn)證代碼：

org.apache.shiro.web.servlet.AdviceFilter這個(gè)類是所有shiro框架提供的默認(rèn)權(quán)限驗(yàn)證實(shí)例類的父類

驗(yàn)證代碼：

public void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)
　　throws ServletException, IOException {

　　Exception exception = null;

　　try {

　　　　//下面的這一段代碼就是在進(jìn)行權(quán)限驗(yàn)證

　　　　boolean continueChain = PReHandle(request, response);
　　　　if (log.isTraceEnabled()) {
　　　　　　log.trace("Invoked preHandle method. Continuing chain?: [" + continueChain + "]");
　　　　}

　　　　//驗(yàn)證通過那么就跳轉(zhuǎn)到下一個(gè)過濾器

　　　　if (continueChain) {
　　　　　　executeChain(request, response, chain);
　　　　}

　　　　postHandle(request, response);
　　　　if (log.isTraceEnabled()) {
　　　　　　log.trace("Successfully invoked postHandle method");
　　　　}

　　} catch (Exception e) {
　　　　exception = e;
　　} finally {
　　　　cleanup(request, response, exception);
　　}
}

默認(rèn)的權(quán)限驗(yàn)證類別有：

anon -- org.apache.shiro.web.filter.authc.AnonymousFilterauthc -- org.apache.shiro.web.filter.authc.FormAuthenticationFilterauthcBasic -- org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilterperms -- org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilterport -- org.apache.shiro.web.filter.authz.PortFilterrest -- org.apache.shiro.web.filter.authz.HttpMethodPermissionFilterroles -- org.apache.shiro.web.filter.authz.RolesAuthorizationFilterssl -- org.apache.shiro.web.filter.authz.SslFilteruser -- org.apache.shiro.web.filter.authc.UserFilterlogout -- org.apache.shiro.web.filter.authc.LogoutFilter

anon:例子/admins/**=anon 沒有參數(shù)，表示可以匿名使用。 authc:例如/admins/user/**=authc表示需要認(rèn)證(登錄)才能使用，沒有參數(shù) roles：例子/admins/user/**=roles[admin],參數(shù)可以寫多個(gè)，多個(gè)時(shí)必須加上引號(hào)，并且參數(shù)之間用逗號(hào)分割，當(dāng)有多個(gè)參數(shù)時(shí)，例如admins/user/**=roles["admin,guest"],每個(gè)參數(shù)通過才算通過，相當(dāng)于hasAllRoles()方法。 perms：例子/admins/user/**=perms[user:add:*],參數(shù)可以寫多個(gè)，多個(gè)時(shí)必須加上引號(hào)，并且參數(shù)之間用逗號(hào)分割，例如/admins/user/**=perms["user:add:*,user:modify:*"]，當(dāng)有多個(gè)參數(shù)時(shí)必須每個(gè)參數(shù)都通過才通過，想當(dāng)于isPermitedAll()方法。 rest：例子/admins/user/**=rest[user],根據(jù)請(qǐng)求的方法，相當(dāng)于/admins/user/**=perms[user:method] ,其中method為post，get，delete等。 port：例子/admins/user/**=port[8081],當(dāng)請(qǐng)求的url的端口不是8081是跳轉(zhuǎn)到schemal://serverName:8081?queryString,其中schmal是協(xié)議http或https等，serverName是你訪問的host,8081是url配置里port的端口，queryString是你訪問的url里的？后面的參數(shù)。 authcBasic：例如/admins/user/**=authcBasic沒有參數(shù)表示httpBasic認(rèn)證 ssl:例子/admins/user/**=ssl沒有參數(shù)，表示安全的url請(qǐng)求，協(xié)議為https user:例如/admins/user/**=user沒有參數(shù)表示必須存在用戶，當(dāng)?shù)侨氩僮鲿r(shí)不做檢查