您的意思是我把登录后的userId返回到前端，存入cookie,每次ajax请求时传到rest层做一下对比？

有跨域问题所有rest方法都加了@Filters(@By(type=CrossOriginFilter.class))

我在有权限的方法加了@RequiresAuthentication
就是想看看
登录后能不能访问它

结果不能访问，我现在不知道怎么做了

加@RequiresGuest的方法能访问

//测试shiro注解
@At
@Filters(@By(type=CrossOriginFilter.class))
@GET
@RequiresAuthentication
public boolean updateAccount(){
log.debug("测试shiro注解");
return true;
}

@At
@GET
@Filters(@By(type=CrossOriginFilter.class))
@RequiresGuest
public boolean signUp(){
    log.debug("测试shiro注解 Guest 权限");
    return false;
}

登录
@At
@AdaptBy(type=JsonAdaptor.class)
@Filters(@By(type=CrossOriginFilter.class)) // 覆盖UserModule类的@Filter设置,因为登陆可不能要求是个已经登陆的Session
@POST
@Ok("json") //输出用json格式
public boolean login(@Param("username") String username,
@Param("password") String password ){
if (Strings.isBlank(username) || Strings.isBlank(password)){
log.debug("username or password is null");
return false;
}
int userId = userService.fetch(username, password);
if (userId < 0){
log.debug("no such user = " + username);
return false;
} else {
//添加token为后来的权限做验证
SecurityUtils.getSubject().login(new SimpleShiroToken(userId));
return true;
}
}

这样呀！！！！！