转载自：https://www.cnblogs.com/OnlyCT/p/8391274.html
在shiro使用过程中，我们是可以调到httpSession对象的，调用方式即为shiro获取session的方法。

（1）controller中的request，在shiro过滤器中的doFilterInternal方法，将被包装为ShiroHttpServletRequest 。

（2）在controller中，通过 request.getSession(_) 获取会话 session ，该session到底来源servletRequest 还是由shiro管理并管理创建的会话，主要由 安全管理器 SecurityManager 和 SessionManager 会话管理器决定。

（3）不管是通过 request.getSession或者subject.getSession获取到session，操作session，两者都是等价的。在使用默认session管理器的情况下，操作session都是等价于操作HttpSession。

它们获取session的方法：

servlet通过request获取session

Session session = request.getSession();
shiro获取session

Subject currentUser = SecurityUtils.getSubject();
Session session = currentUser.getSession();
如果自己想做一个简单的论证，shiro获取的session值是不是httpSession中的？其实很简单，shiro框架搭好后，在controller层得到session对象，存入一个值，然后在service层用shiro调用session，取出值，看是否是刚存入httpsession的值即可。