Apache Shiro：Filter vs Realm，使用哪一個？

Question

使用案例：HTTP上下文中，我需要限制訪問URL給定的會話屬性狀態

在自定義過濾器中擴展AccessControlFilter的is *方法，但它看起來有點難看：我沒有Realm。

AFAIK領域用於LDAP，JDBC，INI後端等事物。每當我的「領域」實際上是網絡約束的，即HttpSession本身就是領域。

1. 是我的自定義過濾器，以確保適當的方式，因爲我有我需要在HttpSession
2. 如果沒有的信息，你會怎麼綁定境界到基於Web的情境？就像HttpSession中甚至HttpServletRequest的

Answer 1

您應該使用域綁定你的用戶[主題]，即使你只是在一些物體通過從你的過濾器（即從會話或HTTP頭拉到資訊）

領域是將進行身份驗證和授權的對象。一般來說，有兩種類型的過濾器：構建傳遞給域的令牌的過濾器（例如表單驗證，基本驗證等）以及需要某種授權的過濾器（聲明一個或多個角色和/或權限）