前面说完了subject的创建过程,创建完成之后会保留起来,保subject的操作就需要subejctDao来实现。
既然每一次访问都会创建一个新的subject,那么为什么还需要dao来存储呢?其实Subjectdao做的事情很少,没有存储subject,只是将当前subject的校验信息(isAuthenticated)和principalCollection放入到session中。(我没有想到任何不存储第一次创建的subject的原因,包括创建的session也是,每一次访问时都会创建一个新的session,当然HttpSession是不会创建的,只是shiro封装的session会重新建立)
但是能不能放还需要参数sessionStorageEvaluator的控制,但是只有在无状态的应用中时才会用到这个,所以没有研究那个,这里我们都是用到的可以使用HttpSession来存储的。
SubjectDao接口的实现类是DefaultSubjectDAO,
两个主要的方法:save和delete
Save()方法实际上调用得到是saveToSession(),然后里面调用的是mergePrincipal和mergeAuthentication,方法内部的逻辑很简单,就是将principalCollection和校验的状态放进session中。
Delete()方法就是将save方法放入到session中的两个属性删掉。