现在有个问题,当token认证通过以后,subject.isAuthenticated() = true 并且 subject.principal() 不为null,这一步操作是在哪里做的?
回到源代码 JWTFilter 中,当我们带token访问时进行到这一步
跟进去
它就是把token取出来,构造出JWToken,然后调用subject.login(token) 方法进行登录。此时我们拿到的subject 是在 AbstractShiroFilter 中构造出来的subject,它的 isAuthenticated 为 false,principal 为null。
跟进去
到了 DelegatingSubject 的 login() 方法。
此方法会先调用 securityManager 的 login() 方法进行登录,大概逻辑是调用我们自定义的 realm 中的 doGetAuthenticationInfo() 方法拿到AuthenticationInfo,与传进来的token中进行比较,相同则说明登录成功,其实也就是密码比对过程。
若登录过程没有抛出任何异常,则代码继续往下执行,会看到上图中第三个红框部分。把当前对象也就是subject的pricipals 和 authenticated 进行了设值。
至此,在该请求流程后面的任意时刻调用 subject.isAuthenticated() 都为true,subject.principals() 都不为null,即代表当前subject 已认证通过!
