java - Spring での Apache Shiro セッション管理

Question

私はSpringとShiroの両方の初心者です。セッション管理についていくつか質問があります。

セッション管理の非常に良い紹介となる質問を見ました。

しかし、私が理解できなかったのは、Shiro がクライアントと通信してセッション情報を渡す方法と、クライアントがその後の要求で自身を再認証する方法です。Shiro はセッション ID を自動的に渡しますか? コードを作成する必要はありません。

1. ブラウザーはセッション ID を自動的に保存し、後続の要求と共に (HTTPS 経由で) 送信しますか?
2. セッションのログアウトはどのようにクライアントに伝えられますか? クライアントは、再度ログインする必要があることをどのように理解するのでしょうか?

ありがとう！

Answer 1

1. セッション ID は、ブラウザの Cookie として保存されます。

2. セッション ID Cookie は、ユーザーがログアウトするとブラウザーから削除されます (そして、セッションはサーバー上で無効になります)。Cookie がドロップされた後に行われたリクエストは、Shiro には匿名ユーザーから送信されたように見えるため、ログインが必要な URL をリクエストしようとすると、Shiro はブラウザをログイン ページにリダイレクトします。