不用搞那么麻烦的，用这样方式吧，
/**
* 配置处理器
*/
public void configHandler(Handlers me) {
// Druid监控
DruidStatViewHandler dvh = new DruidStatViewHandler("/druid", new IDruidStatViewAuth() {

@Override
public boolean isPermitted(HttpServletRequest request) {
return true;
}
});
me.add(dvh);
}
（1）、不需要你在web.xml专门配置帐户。
（2）、上面代码中的isPermitted处理下你想要配置的访问权限就完事了。

@lyh061619 是在这样的，我的是一个前后完全分离的项目，我在请求/druid/index.html 根本就不能携带token，而前后分离也没有用session来维持回话，我在浏览器中我发现，每次的响应cookie都没有jessionid的响应。

今天我也发现这个问题了，，应该是username为空。如果在web.xml中配置loginPassword和loginUsername的话，亲测是可以获取到的。理论上这个username在这里应该就是loginUsername的值，同理loginPassword.
1. 在com.alibaba.druid.support.http.ResourceServlet类的initAuthEnv()方法中，可以获取web.xml中配置loginPassword和loginUsername的值。另外，ResourceServlet这个抽象类的 service()方法中有跟报错位置相同的代码，但ResourceServlet类中的46行有`protected String username = null;`username这个属性，所以在这个类中没问题；
2. 同样是这个包下的 StatViewServlet继承了这个ResourceServlet抽象类。
3. com.jfinal.plugin.druid.DruidStatViewHandler类中35行`private StatViewServlet servlet = new JFinalStatViewServlet();`，JFinalStatViewServlet是DruidStatViewHandler的内部类，85行`class JFinalStatViewServlet extends StatViewServlet`显示它继承了com.alibaba.druid.support.http.StatViewServlet类。
4. JFinalStatViewServlet这个内部类overload重载了com.alibaba.druid.support.http.ResourceServlet中的service()方法。然而，ResourceServlet中有username属性，DruidStatViewHandler中并没有username属性，所以118行报错了。
如果没猜错的话，应该是这个原因。。
@JFinal

@shang 额，，是重写Overwrite，不是重载Overload。。。

@shang 话说你怎么解决的？

@HingLo @HingLo 上面回复中的 @lyh061619 同学给的代码，其中的 isPermitted() 方法中，你 return false 就不让当前用户访问，你 return true 就可以让当前用户访问

如何决定是 return true 还是 return false ，从 HttpServletRequest request 参数中拿到当前用户的身份就可以

@JFinal 非常感谢，原理我是明白的，就是我后台认证是通过token（jwt 加密用户Id）来认证的，并没有通过session来保持回话，token是放在请求头中的，而浏览器访问/druid/index.html 的时候根本无法携带token。从而导致我无法在 isPermitted() 中得到token信息，也就无法得到他的权限信息。

@HingLo 从请求头里面获取即可：
request.getHeader(...);

@JFinal 访问/druid/index.html的时候我根本没办法给它添加header,因为这个url值druid自生就有的，我没办法给它添加认证header

我把那个handle重写了直接赋值，测试了下就可以了