Apache Shiro Jakarta EE模块登录失败时的NullPointerException问题解析

背景介绍

Apache Shiro是一个强大且易用的Java安全框架，提供了认证、授权、加密和会话管理等功能。在2.0.0版本中，Shiro提供了对Jakarta EE的支持，但在实际使用过程中，开发者可能会遇到一些配置相关的问题。

问题现象

当开发者使用Shiro 2.0.0的Jakarta EE模块时，如果在登录过程中发生认证失败，系统会抛出NullPointerException异常。具体表现为无法调用Integer.intValue()方法，因为从请求属性中获取的LOGIN_WAITTIME_ATTR_NAME值为null。

问题根源分析

这个问题的根本原因在于配置方式不当。开发者可能参考了文档中关于"不使用Jakarta EE模块或shiro.ini配置CDI"的部分，但实际上却同时使用了Jakarta EE模块的功能。这种混合配置方式导致了以下问题：

1. AuthenticationFilterDelegate.preHandle()方法没有被正确调用
2. 请求属性LOGIN_WAITTIME_ATTR_NAME没有被设置
3. 登录失败处理流程中缺少必要的参数检查

解决方案

正确的解决方法是遵循Jakarta EE模块的设计原则，采用零配置方式使用该模块：

1. 移除不必要的排除配置：不要排除shiro-jakarta-ee模块中的核心组件
2. 使用标准shiro.ini配置：按照Web应用的常规方式配置Shiro
3. 避免混合配置模式：不要同时使用CDI手动配置和Jakarta EE模块的自动配置

最佳实践建议

1. 单一配置源原则：选择使用Jakarta EE模块的自动配置或完全手动配置，不要混用
2. 版本兼容性检查：确保所有Shiro组件使用相同版本和分类器(jakarta)
3. 异常处理增强：在自定义Realm中，考虑添加对认证失败情况的更友好处理
4. 日志记录：在关键流程中添加日志记录，便于问题排查

总结

Apache Shiro的Jakarta EE模块设计为开箱即用，过度配置反而可能导致问题。开发者在使用时应当理解模块的设计意图，遵循官方推荐的最佳实践。对于认证失败等关键流程，框架应该提供更健壮的错误处理机制，这也是未来版本可以改进的方向。

通过正确配置和使用Shiro，开发者可以充分发挥其安全防护能力，同时避免类似NullPointerException这样的基础问题。