JwtTokenFilter 中，判断该请求是否校验过——存在的必要性

[158008001]

源码位置

最初看到此处代码，内心的感觉是一个字“妙”，不过想来想去还是感觉不对劲。

问题就是——怀疑它是否有存在的必要性：

项目中并没有禁止Session（猜测与此有关），但前后端分离后axios默认会丢失session_id，那么最后的结果依然是每条请求都是需要验证的（前端项目是否已经主动携带还没有看）。

即便如此，此处的判断存在于 查询到request中包含了 正确 jwt_token 的情况下，如果请求不携带token 那么也会被视作游客，Session好像全程都并没有参与进来。

配置类中给出的 JWT 参考过期时间为5天，可以理解的方向就是用jwt代替session。那么是否应该禁用session并删除此处的判断呢？

[MQPearth]

你的想法是对的.
这个项目是在校的时候写的, 部分代码可能有坑, Security和JWT的整合我直接copy来的, 在确认了权限认证功能是正常的之后并没有仔细研究整个授权流程. 这些流程我后续再确认优化下吧, 也欢迎你的pr.