在WebSecurity和HttpSecurity中没有配置session的过滤器,为什么每个请求都会被session过滤器过滤,并且还是早于其它过滤器的第一个,因为其它过滤器都可以随意的访问和修改session,并且controller的方法也可以访问?
springsession的应用是通过SessionRepositoryFilter实现的。
经过这一系列的引用和配置操作就保证了在应用启动时,spring的容器里拥有一个包含SessionRepositoryFilter的FilterRegistrationBean。
为什么要这样做呢?是为了编程性的控制tomcat容器启动时加载session过滤器。这又是怎么实现的呢?
原文:https://www.cnblogs.com/StarkBrothers/p/13904074.html