Shiro: Nie można unieważnić HttpSession

Question

Mam sesję Shiro (id = 11111) i sesję http (id = 22222).

Kiedy próbuję unieważnić HttpSession, używany jest zły identyfikator.

Kod:

 
public void logout() { 
     SecurityUtils.getSubject().logout(); 

// exception is thrown in this line 
FacesContext.getCurrentInstance().getExternalContext().invalidateSession(); 
    } 

Wyjątek:

 
java.lang.IllegalStateException: 
org.apache.shiro.session.UnknownSessionException: 
There is no session with id [22222] 

Jak mogę unieważnić HttpSession czy raczej ustawić prawidłowy identyfikator?

Answer 1

Problem został rozwiązany poprzez zaimplementowanie HttpSessionBindingListener i utworzenie odwzorowania sesji Shiro na sesje http.

Answer 2

SecurityUtils.getSubject(). Logout() zatrzymuje i unieważnia sesję z DefaultSecurityManager.logout (Temat podmiotu). Tak więc sesji nie można unieważnić po wywołaniu logout().