原理如下：第一次后臺(tái)認(rèn)證成功后，shiro肯定生成了一個(gè)sessionId關(guān)聯(lián)著某個(gè)subject。放到session管理器中。然后把sessionId通過http響應(yīng)頭set-Cookie的形式返回給瀏覽器。瀏覽器保留了該Cookie。下次訪問第二個(gè)url時(shí)，http請(qǐng)求頭里就攜帶了上次的cookie信息，也就是sessionId，然后shrio就可以通過從請(qǐng)求頭中提取，查詢內(nèi)部的session管理器，取出關(guān)聯(lián)的subject對(duì)象。

這種形式，只能適用于web。

如果前端是app或者小程序的情況，不太實(shí)用。因?yàn)橛行┛蚣苁遣恢С衷O(shè)置cookie的，但是會(huì)支持設(shè)置header。所以如果前端是app或者小程序的話，一般會(huì)通過header來返回和獲取對(duì)應(yīng)的token（相當(dāng)于sessionId）。我看jeectBoog就是放在請(qǐng)求頭和響應(yīng)頭里的。那個(gè)token。

就是存在請(qǐng)求體里面

shiro框架 應(yīng)該也是通過Jsessionid來判斷是否已經(jīng)登錄的。登錄成功后就有Jsessionid，所以可以繼續(xù)訪問其他url。你可以通過瀏覽器F12工具 把Jsessionid再次編輯成其他的內(nèi)容 然后請(qǐng)求，就會(huì)被重新打回login.html頁(yè)面了。