Apache Shiro：Filter vs Realm，使用哪一个？

Question

使用案例：HTTP上下文中，我需要限制访问URL给定的会话属性状态

在自定义过滤器中扩展AccessControlFilter的is *方法，但它看起来有点难看：我没有Realm。

AFAIK领域用于LDAP，JDBC，INI后端等事物。每当我的“领域”实际上是网络约束的，即HttpSession本身就是领域。

1. 是我的自定义过滤器，以确保适当的方式，因为我有我需要在HttpSession
2. 如果没有的信息，你会怎么绑定境界到基于Web的情境？就像HttpSession中甚至HttpServletRequest的

Answer 1

您应该使用域绑定你的用户[主题]，即使你只是在一些物体通过从你的过滤器（即从会话或HTTP头拉到资讯）

领域是将进行身份验证和授权的对象。一般来说，有两种类型的过滤器：构建传递给域的令牌的过滤器（例如表单验证，基本验证等）以及需要某种授权的过滤器（声明一个或多个角色和/或权限）