写在前面
这是我开始整理自己前面所遇到的问题所写下的笔记,希望遇到相同问题的你,能够得到些许帮助,可能会有很多不完善的地方,也希望大家给予指正,谢谢!
问题:在shiro第一登录成功以后,用户在第二次进行请求时
- 前提:这块的知识点时Shiro使用DefaultWebSecurityManager 所操作的用户认证
- 情景:用户通过Login.do提交过来的User和password,组装为token
Subject.login(token)
来实现该subject的认证- 疑问:下一个请求会产出新的subject,但是这个subject没有通过login方法认证,却直接能够通过Shirofilter过滤,直接调用Controller
探究结果
当第一次认证成功,Shiro会将用户的认证信息存储在session(会话)里面,也就是说在这一次会话中,所有的请求都会通过JSESSIONID(在本地的Cookie之中)跟服务器端的session查询,看是否有这个用户的认证信息
- session中的认证信息只在本次会话中有效,当你关闭浏览器,尽管你没有调用
logout()
,但是你依旧需要重新验证 - 但你调用
subject.logout()
会发生很多事情