之前我们的 Shiro 的会话状态跟踪是基于 Session 和 Cookie 的，客户端会保存服务端返回的 Shiro SessionID 到 Cookie，并且在请求时传输 Cookie 中会包含 SessionID 信息。 但如果用户禁用 Cookie 或者使用的是不支持 Cookie 的客户端，这种方式就是无效的。此时我们无法跟踪用户的会话状态，也就无法进行登录状态检查和权限检验等。 1.用请求头传递 SessionID 其实解决上述问题最简单的方式是客户端不再通过 Cookie 传递 SessionID，…