shiro自己實現了sessionDAO換言之就是他自己也儲存了session，所以原理是一樣的。
shiro的主要作用還是權限的控制方面，標識登陸狀態這個只是其中很小的一部分。
shiro的優點，個人認為他的優點在於
1、作為安全驗證框架，使用起來比spring-security方便
2、提供web支持，可以在jsp中通過shiro標籤方便的做到細粒度的權限管控
3.可以直接使用annotation對所使用的方法做權限管控，節省程式碼。
4、可擴展，可插拔。

session的確是一種很正確的登入方式，題主一定是覺得為什麼session這麼簡單的方式不用，要用Shiro這種框架來做登入？

首先，你的系統需要使用者登入的目的一定是某些頁面需要登入才能查看，那麼在這些頁面中是否都需要加上一個判斷if(session.get(xxx) != null)判斷，這樣比較繁瑣，簡單一點應該要加上一個Filter，根據URL來過濾用戶，這樣你需要寫一個Filter。 ---- 這些Shiro已經幫你做好了

然後，你可能需要不同的用戶有不同的權限，例如A用戶可以修改數據，B用戶只有權限查看數據。那你需要設計一個使用者群組、權限，給每個方法或URL加上判斷，是否目前登入的使用者符合條件。 ---- 這些Shiro已經幫你做好了

用戶密碼明文保存是不是安全，應不應該MD5加密，是不是應該加鹽，你又要寫密碼加密的代碼。 ---- 這些Shiro已經幫你做好了

很多網站帶有「記得我」或「下次自動登入」這樣的功能，如果你去自己開發，估計又要花不少時間，還做得不一定安全。 ---- 這些Shiro已經幫你做好了