Shiro之Session分析

本文详细探讨了在Spring Boot与Shiro结合的Web工程中,如何通过SecurityUtils.getSubject()获取用户信息。文章指出,虽然在处理请求时Subject看似存储在线程变量中,但实际Tomcat的线程池机制排除了这种可能性。真正关键在于SpringShiroFilter的拦截过程,它在doFilter方法中创建Subject并绑定到ThreadContext。createSubject方法封装了request、response,并从HttpSession中获取Session和Principal。最后,Principal在登录成功后保存于session中,而Subject对象包含了session和principal等信息,便于后续请求使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文中的时序图使用在线工具https://www.websequencediagrams.com/生成

背景:使用Spring boot搭建web工程,使用shiro做认证授权工作
疑惑:成功登录之后,再次请求时,服务器是如何知道已经登录,是哪个用户,是使用HttpSession还是shiro的Session

SecurityUtils.getSubject()

在处理请求时,可以通过SecurityUtils.getSubject()来获取当前用户,我们来跟踪这个值的来源
在这里插入图片描述
这里很容易误以为登录时将Subject的值存在线程变量中,再次请求时通过线程变量获取,但实际上tomcat是使用线程池来处理请求,线程会循环利用,多个人的请求可能会落到同一个线程,一个人的请求也可能会落到不同的线程,所以这个想法肯定是不对的。那么线程变量中的Subject值是什么时候设置的呢

SpringShiroFilter

使用shiro做认证拦截是必须要声明ShiroFilterFactoryBean

@Bean
public ShiroFilterFactoryBean shiroF
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值