关于Apache Shiro权限框架的一些使用误区的解释

多了不说了，进入正题，shiro是个权限框架提供权限管理等功能，网上的教程一般都是互相抄，比如<shiro:principal property="xxx"/>这个标签，网上教程告诉你可以用来获取登录用户的任何属性，但现实中如果你这么写，并且按照开涛教程上写的登陆逻辑，肯定百分百报错，这是为什么呢？因为网上教程的登录部分一般这么写：

这是重写authorizingrealm的dogetAuthenticationinfo方法：

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

// TODO Auto-generated method stub

String username=(String) token.getPrincipal();

User user=userService.getUserByUsername(username);

if(user==null){

throw new UnknownAccountException();

}

if(user.getUserState()==4){

throw new LockedAccountException();

}

SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(

user.getUsername(),

user.getPassword(),

ByteSource.Util.bytes(user.getCredentialsSalt()),

this.getName()

);

return info;

} 
网上很多教程都是这么教给大家的， 然后在controller里用：
UsernameAndPasswordToken token=new UsernameAndPasswordToken(username,password);
subject.login(token);
....
这一系列逻辑来进行登陆，登陆成功后在页面通过<shiro:principal property="username"/>来获取登录用户属性，然后你这么做了就报错了。
为什么？来看源码，源码一是一手鞋，官方文档是二手鞋，网上教程是三手鞋，鞋都穿三手了，兴许会有脚气。。。

public SimpleAuthenticationInfo(Object principal, Object hashedCredentials, ByteSource credentialsSalt, String realmName) {

this.principals = new SimplePrincipalCollection(principal, realmName);

this.credentials = hashedCredentials;

this.credentialsSalt = credentialsSalt;

}
上面是SimpleAuthenticationInfo源码的一个构造方法，这里第一个参数就是你刚才传入的用户名，第二个参数就是你传入的密码，但是方法定义中这两个参数都是Object类型，尤其是第一个principal参数，它的意义远远不止用户名那么简单，它是用户的所有认证信息集合，登陆成功后，<shiro:principal/>标签一旦有property属性，PrincipalTag类也就是标签的支持类，会从Subject的principalcollection里将principal取出，取出的就是你传入的第一个参数，如果你传了个string类型的用户名，那么你只能获取用户名。
仔细看那个this.principals=new SimplePrincipalCollection，这一行，这一行构造了一个新的对象并将引用给了principals，而principals就是principalcollection。
再来看Principal那个标签<shiro:principal property=""/>那个，打开PrincipalTag类，看到onDoStartTag方法：

public int onDoStartTag() throws JspException {

String strValue = null;

if (getSubject() != null) {

// Get the principal to print out

Object principal;

if (type == null) {

principal = getSubject().getPrincipal();

} else {

principal = getPrincipalFromClassName();

}

// Get the string value of the principal

if (principal != null) {

if (property == null) {

strValue = principal.toString();

} else {

strValue = getPrincipalProperty(principal, property);

}

}

}

// Print out the principal value if not null

if (strValue != null) {

try {

pageContext.getOut().write(strValue);

} catch (IOException e) {

throw new JspTagException("Error writing [" + strValue + "] to JSP.", e);

}

}

return SKIP_BODY;

} 
看到那个Object principal这个方法变量了么？如果标签里没有type属性，那么就直接调用getPrincipal方法，再打开这个方法，看到subject里是这么写的：

public Object getPrincipal() {

return getPrimaryPrincipal(getPrincipals());

} 
getPrincipals是获取principalcollection，getprimaryprincipal就是获取这个principalcollection的第一个元素，用的是迭代器的方式获取。具体的我不列出来了，请参见SimplePrincipalcollection的源代码。
第一个元素你最初放的是用户名，所以你可以取得这个用户名。 如果type不为空，就会去principalcollection中找和这个type类型一致的一个对象，看源码：

private Object getPrincipalFromClassName() {

Object principal = null;

try {

Class cls = Class.forName(type);

principal = getSubject().getPrincipals().oneByType(cls);

} catch (ClassNotFoundException e) {

if (log.isErrorEnabled()) {

log.error("Unable to find class for name [" + type + "]");

}

}

return principal;

} 
那个oneByType方法就是在principalcollection中找和type属性一致的那个类的对象，将其作为principal，如果<shiro:property/>标签有了property属性，然后用java内省机制获取bean的属性，参见getPrincipalProperty方法，因为方法体太长我就不列出了。 
所以你现在知道该怎么做了吧？
在你的realm里这么写：

List<Object> principals=new ArrayList<Object>();

principals.add(user.getUsername());

principals.add(user);

SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(

principals,

user.getPassword(),

ByteSource.Util.bytes(user.getCredentialsSalt()),

this.getName()

);
构建一个list，第一个元素是用户名，第二个元素是user对象。第一个元素用来登陆，第二个元素用来获取登陆后user对象的属性。
他们到底怎么判断登陆的呢？
先参见HashedCredentialsMatcher类的这个方法，这是用来判断是否可以登录成功的方法：  
  public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {

Object tokenHashedCredentials = hashProvidedCredentials(token, info);

Object accountCredentials = getCredentials(info);

return equals(tokenHashedCredentials, accountCredentials);

} 
其中第一个参数token就是controller里封装的token，第二个参数info就是你刚才的simpleauthenticationinfo，因为源码层次比较深所以简单点说，这个方法就是再判断两个密码是否相等，因为两个用户名肯定是相等的info的用户名是token传过来的，所以只对比密码就可以了。 
就写这么多吧，希望大家看了能有启发。

不是我写的，是我在开发中遇到问题，特此复制别人解决办法的博客  附上 大牛的链接  http://blog.csdn.net/ccdust/article/details/52300287