Apache Shiro：フィルタとレルムのどちらを使用するのですか？

Question

ユースケース：HTTPコンテキスト、私は

が拡張特定のセッション属性の状態を与えられたURLへのアクセスを制限する必要があるカスタムフィルタの作品にAccessControlFilterの*方法であるが、それはみかん醜い：私はレルムを持っていません。

AFAIKレルムは、LDAP、JDBC、INIバックエンドなどに使用されます。私の「領域」が実際にウェブに縛られているときはいつでも、すなわちHttpSession自体が領域です。

1. は私がHttpSessionの
2. ない場合に必要な情報を持っていることを考えると、確保するための適切な方法私のカスタムフィルタであり、どのようにWebベースのコンテキストにレルムをバインドするのでしょうか？ HttpSessionのような、あるいはHttpServletRequestを

Answer 1

あなたは自分のフィルターからいくつかのオブジェクトに渡している場合でも、ユーザー[件名]あなたをバインドする（セッションまたはHTTPヘッダから引き出さすなわち情報）をレルムを使用する必要があります

レルムは、認証および承認するオブジェクトです。一般に、2つのタイプのフィルタがあります：レルムに渡されるトークンを構築するフィルタ（フォーム認証、基本認証など）と、何らかの種類の認証（1つ以上のロールおよび/または許可を主張する）を必要とするフィルタ