1. 由於最近自己寫的一個專案上用到了多realm的使用，遇到了一個這樣的問題：

　　1. 自己繼承了BasicHttpAuthenticationFilter，實現了獲取token,然後直接請求api的方法，但是每次第一次呼叫的時候都是無效的，第二次請求又是正常的。

以下為配置檔案

    @Bean
    public ShiroFilterFactoryBean shirFilter(org.apache.shiro.mgt.SecurityManager securityManager) {
        logger.debug("ShiroConfiguration.shiroFilter()");
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //攔截器.
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        // 配置不會被攔截的連結 順序判斷
        filterChainDefinitionMap.put("/css/**", "anon");
        filterChainDefinitionMap.put("/fonts/**", "anon");
        filterChainDefinitionMap.put("/img/**", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        filterChainDefinitionMap.put("/index.html", "anon");
        filterChainDefinitionMap.put("/login.html", "anon");
        filterChainDefinitionMap.put("/register.html", "anon");
        //配置退出 過濾器,其中的具體的退出程式碼Shiro已經替我們實現了
        filterChainDefinitionMap.put("/auth/logout", "logout");
        filterChainDefinitionMap.put("/auth/login", "anon");
        filterChainDefinitionMap.put("/wx/app/login/**", "anon");
        filterChainDefinitionMap.put("/auth/register", "anon");
        //<!-- 過濾鏈定義，從上向下順序執行，一般將/**放在最為下邊 -->:這是一個坑呢，一不小心程式碼就不好使了;
        //<!-- authc:所有url都必須認證通過才可以訪問; anon:所有url都都可以匿名訪問-->
        filterChainDefinitionMap.put("/**", "authc,token");
        // 如果不設定預設會自動尋找Web工程根目錄下的"/login.jsp"頁面
        //配置shiro預設登入介面地址，前後端分離中登入介面跳轉應由前端路由控制，後臺僅返回json資料
        shiroFilterFactoryBean.setLoginUrl("/unauth");
        // 登入成功後要跳轉的連結
        shiroFilterFactoryBean.setSuccessUrl("/index");
        //未授權介面;
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        Map<String,Filter> filterMap=new HashedMap();
        filterMap.put("token",headerHttpAuthenticationFilter());
        shiroFilterFactoryBean.setFilters(filterMap);
        return shiroFilterFactoryBean;
    }

　　2. 貼出主要的配置檔案

2.分析問題：

　　1. 由於第一次不正常，第二次正常，又因為shiro的許可權認證是根據sessionId+過濾器實現的，每次刪除sessionId的cookie後，第一次通過token方式進行請求都會出現沒有許可權的問題。

　　2. 檢查HeaderHttpAuthenticationFilter類發現正常，在該類中打斷點，發現方法能夠正常進入到該方法中，並且是正常的

      3. 查詢shiro中的Filter呼叫鏈，發現ProxiedFilterChain類中是這樣進行呼叫的

    public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {
        if (this.filters != null && this.filters.size() != this.index) {
            if (log.isTraceEnabled()) {
                log.trace("Invoking wrapped filter at index [" + this.index + "]");
            }

            ((Filter)this.filters.get(this.index++)).doFilter(request, response, this);
        } else {
            if (log.isTraceEnabled()) {
                log.trace("Invoking original filter chain.");
            }

            this.orig.doFilter(request, response);
        }

    }

　　獲取filters然後進行一個一個呼叫，查詢以及跟蹤斷點發現，authc該方式中對應的為BasicHttpAuthenticationFilter

在BasicHttpAuthenticationFilter打上斷點

發現每次會請求到該方法上，查詢原因發現，由於我是token請求，並沒有帶該引數導致的

問題解決：

　　1. 檢視ShiroConfig類中發現

        filterChainDefinitionMap.put("/**", "authc,token");

　　位置放置許可權filter鑑權有問題，由於token的鑑權會比authc的許可權高，自定義許可權比普通的表單認證的優先順序高。所以應該將其放到前面，修改為如下

        filterChainDefinitionMap.put("/**", "token,authc");

　　2. 重啟專案，執行正常了