这个类的javadoc的解释说:这个filter是的判断条件是当前用户必须登录或者是通过之前的登录时的remember me可以获得principalCollection,也就是必须知道用户是谁才可以。否则返回false,即不能通过这个filter。
源码如下:
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
if (isLoginRequest(request, response)) {
return true;
} else {
Subject subject = getSubject(request, response);
return subject.getPrincipal() != null;
}
}
从逻辑上看如果是登录页面则直接放行,如果是其他资源则必须获得当前用户的principal,这个和淘宝网的收藏夹功能相匹配,如果我们在没有登录的情况下使用之前登录过淘宝的浏览器登录收藏夹是可以的,并且上面会提示用户名,使用这个filter就可以实现者这个功能。
他的onAccessDenied方法
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
saveRequestAndRedirectToLogin(request, response);
return false;
}
返回的永远是false,但是将当前的请求信息保存起来了。