关于shiro后台权限改动,重新登录后发现权限还是以前的问题的解决

最新推荐文章于 2024-05-06 07:51:51 发布
最新推荐文章于 2024-05-06 07:51:51 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: web学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lilovfly/article/details/78320908
版权

       我们项目中用的是shiro而且允许一个用户多个地方同时登录。在后台修改权限后,让用户登录,发现用户登录后,用户的角色还是以前的那个角色,这个问题出现了,我发现只有去看看源代码才能知道如何解决这个问题?

       经过几天的查看,以及周末在家看源代码,我终于在源代码中找到了shiro对角色的管理的流程,首先我们从DelegatingSubject这个类的public void checkRole(String role)这个检查角色方法中,找到了AuthorizingRealm这个类,从public void checkRole(PrincipalCollection principal, String role)这个方法如下:

     public void checkRole(PrincipalCollection principal, String role) throws AuthorizationException {
        AuthorizationInfo info = getAuthorizationInfo(principal);
        checkRole(role, info);
    }

    从getAuthorizationInfo(principal)这个方法中,源代码如下:

    protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {
        if (principals == null) {
            return null;
        }
        AuthorizationInfo info = null;
        if (log.isTraceEnabled()) {
            log.trace("Retrieving AuthorizationInfo for principals [" + principals + "]");
        }
        Cache<Object, AuthorizationInfo> cache = getAvailableAuthorizationCache();
        if (cache != null) {
            if (log.isTraceEnabled()) {
                log.trace("Attempting to retrieve the AuthorizationInfo from cache.");
            }
            Object key = getAuthorizationCacheKey(principals);
            info = cache.get(key);
            if (log.isTraceEnabled()) {
                if (info == null) {
                    log.trace("No AuthorizationInfo found in cache for principals [" + principals + "]");
                } else {
                    log.trace("AuthorizationInfo found in cache for principals [" + principals + "]");
                }
            }
        }
        if (info == null) {
            info = doGetAuthorizationInfo(principals);
            if (info != null && cache != null) {
                if (log.isTraceEnabled()) {
                    log.trace("Caching authorization info for principals: [" + principals + "].");
                }
                Object key = getAuthorizationCacheKey(principals);
                cache.put(key, info);
            }
        }


        return info;
    }

     从这段代码中,我发现,只要Cache<Object, AuthorizationInfo> cache = getAvailableAuthorizationCache()获取到的cache中找到的 info = cache.get(key)这个info,如果这个info不为空,我们就直接取缓存中的对应的AuthorizationInfo,如果这个为空的话,程序就调用info = doGetAuthorizationInfo(principals)去刷新权限,如果之前登录过,再次登录时,如果不清除缓存中的AuthorizationInfo,那么就不会调用重写的real的 doGetAuthorizationInfo()方法去刷新权限,所以在登录后,一定要把缓存中的AuthorizationInfo清除,这样就可以把权限刷新了。解决方法如下:

            //先登录
   subject.login(token);
            //清除缓存中的角色信息 

          //这个可用注入的方式注入DefaultWebSecurityManager 对象

            DefaultWebSecurityManager defaultWebSecurityManager= SpringContextUtil.getBean("securityManager");
            Collection<Realm> reals= defaultWebSecurityManager.getRealms();
            AccountAuthorizationRealm authorizingRealm= (AccountAuthorizationRealm) reals.toArray()[0];
            PrincipalCollection principalCollection= SecurityUtils.getSubject().getPrincipals();
            authorizingRealm.getAuthorizationCache().remove(principalCollection);

            //删除成功

   这样就删除了缓存中的权限信息。注意一定要在登录前,执行一下SecurityUtils.getSubject().logout(),目的是防止ThreadContext中有多个DefaultWebSecurityManager ,就这样解决了这个问题。

超越自己看到的
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro实现登录登出_关于Shiro登陆退出遇到的一些问题
weixin_30868873的博客
12-23 932
写在开始最近项目中出现一些问题以前可能不大关注,但是问题是实实在在存在的。问题一系统重启用户登陆或者退出报错:Disk Write of 407a1347-c2c6-434e-89e3-365aa277497c failed这个问题,并不是经常出现,看详细错误信息,应该是数据 list或者map序列化的问题。看了一下实体类都实现了序列化。解决方案突然想起,以前是没有这个问题的,自从升级了Ehca...
shiro重新登陆,修改权限
weixin_33935505的博客
05-28 585
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro的退出登录状态的方式
最新发布
2401_84091468的博客
05-06 737
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
shiro 动态修改资源权限不需要重启项目或者重新登录用户
热门推荐
绿眼加菲的博客
09-08 1万+
shiro权限控制的时候,变更用户或者角色的权限刷新界面不会重新加载权限,需要重启tomcat或者用户重新登录,特别的不人性化,通过下面的方式可以解决这个问题,但仅仅针对于单机,对集群来说就不太清楚,以后有了更好的方法再去使用(菜鸟级别,还需要学习很多): 代码使用: 工具类中: /** * * @Title: clearAuth * @Description: TODO
解决shiro修改权限后无法立刻生效
u011649691的博客
01-22 6592
由于我开启使用了shiro的缓存,目前使用的是redis缓存。如果修改了用户权限或者修改了权限的配置,但是由于有缓存,在缓存失效前shiro不会重新加载用户新的权限,这就导致了修改无法立即生效。查看了网上的解决方案有如下几种: 1、在自定义的AuthorizingRealm中调用this.clearCachedAuthorizationInfo(SecurityUtils.getSubject(...
shiro权限不生效原因分析
bubble21的博客
12-18 7526
shiro遇到的坑-项目中使用shiro登录校验和权限管理,在配置权限时遇到小坑,记录一下。环境:springboot+freemarker+shiro 场景:后台管理,配置菜单以及按钮权限,分为三个层级,一二级暂时只考虑是否查看权限,第三层级为页面按钮权限,分增删改查。详情看图 问题:一二层级正常,第三层级权限不起作用!权限标签定义如下: 标签定义 页面一 页面二 第一层级
shiro登录不退出再次登录相同账号不跳转管理页面
天梓ABU的博客
11-22 1164
shiro登录不退出再次登录相同账号不跳转管理页面 需要重写isAccessAllowed方法 下面是代码: public class AdminAuthenticationFilter extends FormAuthenticationFilter { @Override protected boolean isAccessAllowed(ServletRequest request, Se...
基于SSM+Shiro+Layui的后台权限管理系统设计源码
04-14
本项目是基于SSM+Shiro+Layui的后台权限管理系统设计源码,共有680个文件,包括176个CSS文件、147个PNG图像文件等。系统采用SSM框架、Shiro权限控制、Layui前端框架和Easyui前端组件,以Maven为项目管理工具。该系统...
ssm+shiro+layui+easyui实现的后台权限管理系统
01-02
ssm+shiro+layui+easyui实现的后台权限管理系统 项目描述 基于SSM+Shiro+Layui+Easyui实现的后台权限管理系统 丰富的代码注释会很方便于你的理解,清晰的代码层次会让你更清楚的明白企业级架构!希望能在有限的...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
通过以上步骤,我们可以构建出一个基于Springboot+Vue+Shiro的前后端分离应用,实现了权限控制,同时解决了跨域问题。这种架构不仅提高了开发效率,也使得前后端可以独立迭代,便于维护和扩展。
SpringBoot + Shiro前后端分离权限
08-25
为了解决这个问题,我们需要自定义Shiro的SessionManager,以便它可以识别前端传递的sessionID。在上述代码中,我们创建了一个名为`PowerShiroSessionManager`的类,继承自`DefaultWebSessionManager`。在这个类中,...
Shiro安全登录认证、权限授权封装模块代码
01-23
在这个项目中,你得到了一个基于 Shiro 的安全登录认证和权限授权的封装模块代码。这个模块可能已经被集成到 SpringBoot 和 MyBatis 框架中,使得在 SpringBoot 应用中轻松实现用户的身份验证和权限控制。 1. **...
shiro-1、修改密码后原密码能登录,而新密码不可以登录
qq_38058332的博客
10-26 4861
又看了一遍源码才找到问题,可能解决方法有点土,各位大神还望给点意见 shiro的logout登出,只是将放置PrincipalCollection这个集合置空,删除了session,但是没有清空缓存,所以当修改密码重新登录的时候,按照以下流程,调试模式,一步步走 controller中的 subject.login(token); (下面均为shiro...
shiro配合html实现权限隐藏,Spring Boot 整合 Shiro 实现登录认证与权限控制
weixin_35651916的博客
06-04 251
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;import org.apache.shiro.spring.web.ShiroFilter...
权限管理系统之集成Shiro实现登录、url和页面按钮的访问控制
MarkerHub的博客
09-01 789
小Hub领读:SpringBoot整合Shiro,如何做按钮级别的控制,看完就懂了!作者:小崔笔记本https://www.cnblogs.com/5ishare/p/10461073....
修改用户密码(基于SSM及shiro
weixin_44188129的博客
02-14 5438
第一步:持久层Dao代码实现: Dao层参数对应于数据库,username或者id作为唯一标识,password是数据库中已加密过的旧密码,salt是盐值。 public interface SysUserDao { /** * 修改密码操作 有多个参数以及一个参数用在动态sql中需要加@Param * Dao层参数来自数据库 * @param username 用户名 * ...
Shiro学习--解决修改权限后需要重启的问题
u010351766的专栏
10-27 6623
使用shiro可能会遇到修改了用户权限后,却没有生效,需要重启Tomcat才能生效的问题,在项目中这样显然是不合理的。 这种情况是因为缓存的原因,很好解决,只需在每次登陆成功后使用以下代码清理一下缓存就可以了清理一下缓存就可以了,看代码 clearCachedAuthorizationInfo(SecurityUtils.getSubject().getPrincipals()); 不过这种
springboot整合shiro实现基础的用户角色权限管理
登峰小蚁
09-19 2949
文章目录1. 用户角色权限需要解决问题shiro解决方案2. 过滤器3. 登录并获取菜单权限4. shiro授权5. 总结 项目地址 1. 用户角色权限需要解决问题shiro解决方案 灵活配置需要和不需要拦截的页面 shiro提供了过滤器可以灵活配置需要和不需要拦截的页面 实现用户认证 shiro整合了HttpSession(web应用)可以保存用户登录的信息。 根据...
如何优雅的更新角色信息
Kera_s的博客
09-06 248
唯一索引解决用户信息更新问题
Shiro权限管理详解:用户认证与授权
无论是在用户认证还是权限授权方面,Shiro都提供了丰富的API和灵活的配置选项,使得开发者可以根据需求轻松定制权限策略。在实际项目中,合理利用Shiro的特性,可以实现既安全又易于维护的权限管理体系。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值