转载自:https://www.cnblogs.com/OnlyCT/p/8391274.html
在shiro使用过程中,我们是可以调到httpSession对象的,调用方式即为shiro获取session的方法。
(1)controller中的request,在shiro过滤器中的doFilterInternal方法,将被包装为ShiroHttpServletRequest 。
(2)在controller中,通过 request.getSession(_) 获取会话 session ,该session到底来源servletRequest 还是由shiro管理并管理创建的会话,主要由 安全管理器 SecurityManager 和 SessionManager 会话管理器决定。
(3)不管是通过 request.getSession或者subject.getSession获取到session,操作session,两者都是等价的。在使用默认session管理器的情况下,操作session都是等价于操作HttpSession。
它们获取session的方法:
servlet通过request获取session
Session session = request.getSession();
shiro获取session
Subject currentUser = SecurityUtils.getSubject();
Session session = currentUser.getSession();
如果自己想做一个简单的论证,shiro获取的session值是不是httpSession中的?其实很简单,shiro框架搭好后,在controller层得到session对象,存入一个值,然后在service层用shiro调用session,取出值,看是否是刚存入httpsession的值即可。