系统原先使用shiro做认证授权,服务端使用用户账号密码加密后 到中心去验证是否正确。
因登录密码安全性,现在要求集成SSO。
SSO是一个jar包,有个Filter,使用Session实现了CAS登录。
所以我现在的request请求流程是:request->SSOFilter->shiro->接口
现在有个问题是,shiro-session共享的sessionManager,会重新创建一个session,导致SSOFilter在session中保存的用户信息丢失...下次请求SSOFilter获取不到用户,导致无限循环认证。
请问有什么解决方案吗?我的想法是,不使用shiro的sessionManager,在SSOFIlter之前加一个sessionShareFilter做session共享。有没有其他更好的方法呢?