有的项目会将登录用户的资料存于session的一个属性中,这样方便获取一些数据使用,但是用户退出时需要将session的这个属性清除,一面造成一些不必要的麻烦,但是有些时候,在后台清除了这个属性,在拦截器处依然可以获得这个属性,导致系统非法登录,这种情况出现的可能是,因为这个属性是通过spring注解添加的@SessionAttribute,但是清除是通过 request .getSession.removeAttribute 操作的,导致这个session属性清除不彻底.有这种情况的可以试试.