接触和使用shiro还是有好大一段时间，可惜并没有搞明白其实的原理和机制。因为工作中使用的框架都封装好了，so……并没有去研究。

原来一直猜想的是shiro可以直接连接数据库，验证用户名和密码。但是又没在实体类中找到有什么特殊的标记注解之类的。

就有点好奇了，于是趁这两天工作不是那么紧张了，就跟了下源码。

如有不对，请留言指正。蟹蟹！

红色部分是主要代码；   UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), password, rememberMe.equals(“0”) ? false : true); Subject currentUser = AppUtils.getSubject(); try {  
  currentUser.login(token); } catch (AuthenticationException e) {     token.clear();     model.addAttribute(“user_err”, “用户名或密码错误”);     return loginUrl; }   将登录委托给subjectManager public void login(AuthenticationToken token) throws AuthenticationException {     clearRunAsIdentitiesInternal();     Subject subject = 
securityManager.login(this, token);       PrincipalCollection principals;       String host = null;       if (subject instanceof DelegatingSubject) {         DelegatingSubject delegating = (DelegatingSubject) subject;         //we have to do this in case there are assumed identities – we don’t want to lose the ‘real’ principals:         principals = delegating.principals;         host = delegating.host;     } else {         principals = subject.getPrincipals();     }       if (principals == null || principals.isEmpty()) {         String msg = “Principals returned from securityManager.login( token ) returned a null or ” +                 “empty value.  This value must be non null and populated with one or more elements.”;         throw new IllegalStateException(msg);     }     this.principals = principals;     this.authenticated = true;     if (token instanceof HostAuthenticationToken) {         host = ((HostAuthenticationToken) token).getHost();     }     if (host != null) {         this.host = host;     }     Session session = subject.getSession(false);     if (session != null) {         this.session = decorate(session);     } else {         this.session = null;     } }   subjectManager调authenticate模块进行身份认证   public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {     AuthenticationInfo info;     try {        
 info = authenticate(token);     } catch (AuthenticationException ae) {         try {             onFailedLogin(token, ae, subject);         } catch (Exception e) {             if (log.isInfoEnabled()) {                 log.info(“onFailedLogin method threw an ” +                         “exception.  Logging and propagating original AuthenticationException.”, e);             }         }         throw ae; //propagate     }       Subject loggedIn = createSubject(token, info, subject);       onSuccessfulLogin(token, info, loggedIn);       return loggedIn; }     public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {    
 return this.authenticator.authenticate(token); }     public final AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {       if (token == null) {         throw new IllegalArgumentException(“Method argumet (authentication token) cannot be null.”);     }       log.trace(“Authentication attempt received for token [{}]”, token);       AuthenticationInfo info;     try {    
    info = doAuthenticate(token);         if (info == null) {             String msg = “No account information found for authentication token [” + token + “] by this ” +                     “Authenticator instance.  Please check that it is configured correctly.”;             throw new AuthenticationException(msg);         }     } catch (Throwable t) {……     判断Realm是否有实现类 protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {     assertRealmsConfigured();     //配置文件中注入了bean     Collection<Realm> realms = getRealms();     if (realms.size() == 1) {    
    return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);     } else { //这一步还不清楚         return doMultiRealmAuthentication(realms, authenticationToken);     } }   调用重写的登录方法getAuthenticationInfo protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {     if (!realm.supports(token)) {         String msg = “Realm [” + realm + “] does not support authentication token [” +                 token + “].  Please ensure that the appropriate Realm implementation is ” +                 “configured correctly or that the realm accepts AuthenticationTokens of this type.”;         throw new UnsupportedTokenException(msg);     }     
AuthenticationInfo info = realm.getAuthenticationInfo(token);     if (info == null) {         String msg = “Realm [” + realm + “] was unable to find account data for the ” +                  “submitted AuthenticationToken [” + token + “].”;         throw new UnknownAccountException(msg);     }     return info; }

最后调用自己实现的用户名密码验证

protected AuthenticationInfo
 doGetAuthenticationInfo(AuthenticationToken arg0) {     UsernamePasswordToken upToken = (UsernamePasswordToken) arg0;     String password = String.valueOf(upToken.getPassword());     SysUserMember us = sysUserRepository.doGetAuthenticationInfoAvailable(upToken.getUsername());     if (us == null) {         throw new AuthenticationException(“查询无此用户.”);     } else if (StringUtils.isBlank(us.getUserName()) || StringUtils.isBlank(us.getUserPassword())) {         throw new AuthenticationException(“查询无此用户.”);     } else if (!us.getUserPassword().equals(password)) {         throw new AuthenticationException(“用户名或密码错误.”);     } else {         SecurityUtils.getSubject().getSession().setAttribute(AppConfig.SESSION_KEY, us);         SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(us.getUserName(), us.getUserPassword(), getName());         return info;     } }