类继承结构图

看不明白此图不要紧，后面慢慢提到此图的类：

AbstractFilter，抽象过滤器

它实现Filter、继承ServletContextSupport。

它主要实现了init(FilterConfig filterConfig)方法，此方法主要设置了本类的FilterConfig filterConfig和ServletContextSupport的ServletContext servletContext。

ServletContextSupport，ServletContext的基础支持类

此类主要提供设置参数、获取ServletContext、操作Attribute等方法。

NameableFilter，命名过滤器

此类主要用于给Fitler命名，如果没有设置命名，则用FilterName。

OncePerRequestFilter，单次请求过滤器

设置Filter是否生效

此类有一个属性boolean enabled = true，还暴露了方法访问、操作此属性，此属性用于控制此Filter是否生效：

一个请求只执行一次此Filter

我们看doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)方法。

此方法的alreadyFilteredAttributeName变量根据Filter名称组成，可唯一标识一个Filter，可见getAlreadyFilteredAttributeName方法。

通过Attribute标识此请求是否已执行，通过request.getAttribute方法判断是否存在该属性，最后在处理完过滤器后，finally块通过request.removeAttribute方法删除该属性。

向后暴露doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)抽象方法。

AbstractShiroFilter，抽象Shiro过滤器

此类的入口为doFilterInternal方法。

ShiroHttpServletRequest，Shiro的包装请求类

在doFilterInternal方法，可以看到prepareServletRequest和prepareServletResponse方法，一路跟踪进去可见ShiroHttpServletRequest，它继承HttpServletRequestWrapper，这是典型的装饰器模式。

ShiroFilter，Shiro过滤器

此类只有一个方法，就是init方法。

此方法的调用关系如下：

另一个类继承结构图

AdviceFilter，类似切面的过滤器

看此类，会发现与AOP切面的风格很相似，相当于执行过滤器链的切面。主要逻辑体现在doFilterInternal方法中。

• preHandle，前置处理，如果返回true，说明执行过滤器链，否则不执行，中断执行链。从此变量命名就可知：boolean continueChain = preHandle(request, response);
• postHandle，后置处理。执行过滤器链后，会执行此方法
• afterCompletion，完成时处理。在执行完过滤器后，无论正常返回或抛出异常，都会执行此方法，主要用于资源回收。（注：此方法的调用在cleanup方法中）

PathMatchingFilter

属性pathMatcher，是Ant风格的路径匹配器：PatternMatcher pathMatcher = new AntPathMatcher()，比如?表示一个字符，*表示0个或多个字符，**表示0个或多个目录。

方法pathsMatch，会获取请求的URI，然后使用路径匹配器去判断是否匹配。

方法preHandle是前置处理的方法，会先判断appliedPaths是否有配置的路径通配符，如果没有，则通过；然后遍历appliedPaths调用pathsMatch匹配当前请求路径。如果匹配，调用isFilterChainContinued方法。

方法isFilterChainContinued，如果此Filter有效的，则调onPreHandle决定是否继续Filter链；如此Filter无效，返回true，继续Filter链。

方法onPreHandle，默认返回true，即继续Filter链。

AccessControlFilter，访问控制过滤器

方法onPreHandle，调用isAccessAllowed方法和onAccessDenied方法确定是否继续执行。返回true则继续执行filter链，返回false则不执行。

方法isAccessAllowed，是否允许访问

方法onAccessDenied，当被方法isAccessAllowed拒绝访问时，调用此方法，此方法为处理措施，处理完毕，返回true则继续执行filter链，返回false则不执行。处理措施，比如尝试登陆。

AuthenticationFilter，认证过滤器

方法isAccessAllowed，判断是否已认证

跳转到成功页面或拦截前想前往的页面

AuthenticatingFilter，验证过滤器

方法isAccessAllowed，用AuthenticationFilter的认证判断，如果未认证，判断此请求是否登录请求、允许的请求

BasicHttpAuthenticationFilter，基础认证过滤器

方法isAccessAllowed，首先判断请求URL的请求方法是否需要认证，然后再调用父类的isAccessAllowed判断是否认证

FormAuthenticationFilter，表单认证过滤器

方法onAccessDenied，首先判断是否登录请求，如果为否，则保存请求并跳到登录页。如有为是，则判断是否POST HTTP请求，如果是则执行登录