session属性的清除和非法登录

有的项目会将登录用户的资料存于session的一个属性中，这样方便获取一些数据使用，但是用户退出时需要将session的这个属性清除，一面造成一些不必要的麻烦，但是有些时候，在后台清除了这个属性，在拦截器处依然可以获得这个属性，导致系统非法登录，这种情况出现的可能是，因为这个属性是通过spring注解添加的@SessionAttribute，但是清除是通过 request .getSession.removeAttribute 操作的，导致这个session属性清除不彻底。有这种情况的可以试试。