我们项目中用的是shiro而且允许一个用户多个地方同时登录。在后台修改权限后,让用户登录,发现用户登录后,用户的角色还是以前的那个角色,这个问题出现了,我发现只有去看看源代码才能知道如何解决这个问题?
经过几天的查看,以及周末在家看源代码,我终于在源代码中找到了shiro对角色的管理的流程,首先我们从DelegatingSubject这个类的public void checkRole(String role)这个检查角色方法中,找到了AuthorizingRealm这个类,从public void checkRole(PrincipalCollection principal, String role)这个方法如下:
public void checkRole(PrincipalCollection principal, String role) throws AuthorizationException {
AuthorizationInfo info = getAuthorizationInfo(principal);
checkRole(role, info);
}
从getAuthorizationInfo(principal)这个方法中,源代码如下:
protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {
if (principals == null) {
return null;
}
AuthorizationInfo info = null;
if (log.isTraceEnabled()) {
log.trace("Retrieving AuthorizationInfo for principals [" + principals + "]");
}
Cache<Object, AuthorizationInfo> cache = getAvailableAuthorizationCache();
if (cache != null) {
if (log.isTraceEnabled()) {
log.trace("Attempting to retrieve the AuthorizationInfo from cache.");
}
Object key = getAuthorizationCacheKey(principals);
info = cache.get(key);
if (log.isTraceEnabled()) {
if (info == null) {
log.trace("No AuthorizationInfo found in cache for principals [" + principals + "]");
} else {
log.trace("AuthorizationInfo found in cache for principals [" + principals + "]");
}
}
}
if (info == null) {
info = doGetAuthorizationInfo(principals);
if (info != null && cache != null) {
if (log.isTraceEnabled()) {
log.trace("Caching authorization info for principals: [" + principals + "].");
}
Object key = getAuthorizationCacheKey(principals);
cache.put(key, info);
}
}
return info;
}
从这段代码中,我发现,只要Cache<Object, AuthorizationInfo> cache = getAvailableAuthorizationCache()获取到的cache中找到的 info = cache.get(key)这个info,如果这个info不为空,我们就直接取缓存中的对应的AuthorizationInfo,如果这个为空的话,程序就调用info = doGetAuthorizationInfo(principals)去刷新权限,如果之前登录过,再次登录时,如果不清除缓存中的AuthorizationInfo,那么就不会调用重写的real的 doGetAuthorizationInfo()方法去刷新权限,所以在登录后,一定要把缓存中的AuthorizationInfo清除,这样就可以把权限刷新了。解决方法如下:
//先登录
subject.login(token);
//清除缓存中的角色信息
//这个可用注入的方式注入DefaultWebSecurityManager 对象
DefaultWebSecurityManager defaultWebSecurityManager= SpringContextUtil.getBean("securityManager");
Collection<Realm> reals= defaultWebSecurityManager.getRealms();
AccountAuthorizationRealm authorizingRealm= (AccountAuthorizationRealm) reals.toArray()[0];
PrincipalCollection principalCollection= SecurityUtils.getSubject().getPrincipals();
authorizingRealm.getAuthorizationCache().remove(principalCollection);
//删除成功
这样就删除了缓存中的权限信息。注意一定要在登录前,执行一下SecurityUtils.getSubject().logout(),目的是防止ThreadContext中有多个DefaultWebSecurityManager ,就这样解决了这个问题。