摘要： 今天突然想到一个问题关于前后不分shiro的WEB项目sessionid安全问题. 前后分离可以使用token作为用户唯一标志凭证，这个token可以自定义生成规则， 那么前后不分的shiro项目返回的是一串32位的字符串， 我们这里假设攻击方客户端足够多，服务端用户足够多， 那么在一定时间，攻击方 阅读全文