本文中的时序图使用在线工具https://www.websequencediagrams.com/生成
背景:使用Spring boot搭建web工程,使用shiro做认证授权工作
疑惑:成功登录之后,再次请求时,服务器是如何知道已经登录,是哪个用户,是使用HttpSession还是shiro的Session
SecurityUtils.getSubject()
在处理请求时,可以通过SecurityUtils.getSubject()来获取当前用户,我们来跟踪这个值的来源
这里很容易误以为登录时将Subject的值存在线程变量中,再次请求时通过线程变量获取,但实际上tomcat是使用线程池来处理请求,线程会循环利用,多个人的请求可能会落到同一个线程,一个人的请求也可能会落到不同的线程,所以这个想法肯定是不对的。那么线程变量中的Subject值是什么时候设置的呢
SpringShiroFilter
使用shiro做认证拦截是必须要声明ShiroFilterFactoryBean
@Bean
public ShiroFilterFactoryBean shiroF