1.先執行isAccessAllowed()，通過subject.isAuthenticated()判斷當前session中的subject是否已經登陸過。如果在當前session即會話中已經登陸過，返回true，authc過濾器放行請求到loginUrl。
問題?
這里會有一個問題，如果我登陸成功后，再次訪問loginUrl，會執行isAccessAllowed()并返回true放行，那么我訪問到了loginUrl,如果此時我在loginUrl中輸入新的用戶名密碼，再提交則先執行isAccessAllowed()，因為當前session中的subject是已經登陸過的，isAccessAllowed()返回true，autch放行，請求又會到loginUrl。因為在登陸的情況下，再訪問loginUrl則isAccessAllowed()始終返回true，不會執行到onAccessDenied()方法，即不會驗證請求中的新的用戶名和密碼。
2.如果isAccessAllowed()是false即拒絕訪問后執行onAccessDenied()方法:
2.1判斷是否是登陸請請求(即request中的url和我們設置的loginUrl是否一致)
2.1.1如果請求的url和我們在配置文件中設置的loginUrl一樣
2.1.1.1如果是get請求，則返回true，即該過濾器連放行，讓請求訪問到loginUrl
2.1.1.2如果是post請求,則創建subjet和tocken 調用subject的login方法進行認證(即開始執行realm的doGetAuthenticationInfo方法)
2.1.1.2.1如果認證成功則會返回false阻止filterChain繼續執行即不讓請求達到loginUrl，而是在這里直接重定向我們上次訪問的非logurl的請求地址去(這個請求地址在你訪問的時候已經被保存到session中了)如果沒有上次訪問的地址，則到我們設置的SuccessUrl
2.1.1…2.2如果認證失敗則會返回true，將認證失敗的異常信息放到reqeust屬性中，即放行讓fliterChain繼續執行，讓請求達到loginUrl。
2.2如果否即request中的url不是loginUrl，則保存請求(應該是到session里)，再將請求重定向到loginUrl(瀏覽器又會訪問通過get方法訪問loginUrl，又會被authc攔截，再重複上面流程，此時是登陸請求且是GET請求則authc會放行訪問到loginUrl)，執行完重定向后返回false阻止filterChain繼續執行。

綜上所述:
只有以下四種情況會到loginUrl:
//1.還沒有登陸成功的情況下:get請求我們在配置文件中設置的loginUrl，authc會放行請求到這里
//2.還沒有登陸成功的情況下:post請求我們在配置文件中設置的loginUrl，authc在認證失敗后會讓瀏覽器重定向到這里
//3.還沒有登陸成功的情況下:請求(不管post還是get)的頁面不是loginUrl且需要authc過濾,那么authc也會讓瀏覽器重定向到這里
//4.登陸成功后，瀏覽器再次訪問loginUrl(不管post或get)，authc也會放行到這里。
怎么解決上面登陸成功后再訪問loginUrl，不會執行新用戶認證的問題呢？只有重寫authc過濾器的isAccessAllowed()方法

public class MyAuthcFilter extends FormAuthenticationFilter {@Overrideprotected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue){System.out.println("執行自定義過濾");//如果請求的是loginUrl 并且是POST請求，那么肯定是要驗證密碼的，這里直接返回false 就會執行onAcessDenied()方法if (isLoginRequest(request, response) && isLoginSubmission(request, response)){return false;}//如果是其他請求 則執行父類的方法return super.isAccessAllowed(request, response, mappedValue);}
}

最后再配置文件中注冊該類，覆蓋掉shiro原本的過濾器FormAuthenticationFilter:

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><property name="securityManager" ref="securityManager" /><property name="loginUrl" value="/login" /><property name="successUrl" value="/index.jsp" /><property name="unauthorizedUrl" value="/unauthorized.jsp" /><property name="filters"><map><entry key="authc" value-ref="myAuthcFilter" /></map></property><property name="filterChainDefinitions"><value># some example chain definitions:/login = authc/logout = logout/1.jsp = user/** = authc# more URL-to-FilterChain definitions here</value></property></bean>

login的寫法:

@Controller
public class UsersController {@RequestMapping("login")public String login(HttpServletRequest req) {//只有//1.還沒有登陸成功的情況下:get請求我們在配置文件中設置的loginUrl，authc會放行請求到這里//2.還沒有登陸成功的情況下:post請求我們在配置文件中設置的loginUrl，authc在認證失敗后會讓瀏覽器重定向到這里//3.還沒有登陸成功的情況下:請求(不管post還是get)的頁面不是loginUrl且需要authc過濾,那么authc也會讓瀏覽器重定向到這里//4.登陸成功后，瀏覽器再次訪問loginUrl(不管post或get)，authc也會放行到這里。如果我們在自定義的過濾器中//設置成如果是POST請求的loginUrl，我們返回false。那么post請求的loginUrl就會執行在過濾器中執行onAcessDenied()方法,如果post的loginUrl驗證失敗了會到這里，如果驗證成功則到secessUrl這里。String errorClassName = (String) req.getAttribute(FormAuthenticationFilter.DEFAULT_ERROR_KEY_ATTRIBUTE_NAME);if(UnknownAccountException.class.getName().equals(errorClassName)) {req.setAttribute("error", "用戶名/密碼錯誤");} else if(IncorrectCredentialsException.class.getName().equals(errorClassName)) {req.setAttribute("error", "用戶名/密碼錯誤");} else if(errorClassName != null) {req.setAttribute("error", "未知錯誤：" + errorClassName);}return "login.jsp";}
}

session和cookie:
通過瀏覽器第一次發送http請求時，服務器會創建一個session和cookie(cookie中保存sessionid)，這個session服務器的默認時間30分鐘，可以設置。服務第一次響應時也把cookie放到響應中給瀏覽器，瀏覽器
收到cookie后，會判斷cookie有沒有設置過期時間，如果沒有則只保存在內存中。如果有則存到硬盤里。
如果只是保存到內存中，服務器端的session依然會保留30分鐘。那么瀏覽器一關閉，cookie消失，sessionid也消失了。。但此時打開瀏覽器再訪問服務器時，雖然服務器的session依然存在，但瀏覽器中的cookie(sessionid)消失了
瀏覽器發送的請求頭里沒有cookie(沒有sessionid)，服務器會當作一個新的請求，會再創建一個新session。服務器中的之前的session 30分鐘侯清除。
如果保存到硬盤里了， 服務器端的session依然會保留30分鐘。那么關閉瀏覽器后，再打開瀏覽器訪問服務器時，瀏覽器會找到存到硬盤里的cookie(sessionId), 瀏覽器再次請求服務器時會帶上cookie，服務器收到請求后發現有cookie(sessionId)并且服務器
端的session也存在。那么服務器就依然會使用之前的session。不會再創建一個新的session。
所以session默認關閉瀏覽器就失效了。