背景:
在系统权限管理中用到了Shiro,而在很多业务逻辑类中需要使用当前用户(角色)的 信息,比如更新信息维护人等,都是通过shiro提供的方法去获得信息。正常情况都没问题,但是当出现了定时任务的需求时,产生了冲突。
原因分析:
定时任务通过quartz实现,与spring集成都没问题,但是当任务触发时,因为当前没有HTTP请求,也就没有用户的上下文信息。故导致了定时任务在调用一些业务逻辑实现时,涉及到通过shiro获取用户信息时,会出现问题。
解决方案:
1、所有的业务逻辑在处理用户信息时,都需要特殊处理,将shiro获取不到用户信息的场景给屏蔽掉。但是这种方法,需要修改业务逻辑实现,而且工作量比较大,不推荐。
2、通过Shiro提供的自定义Subject方式实现。
Shiro允许在某些特殊的情况下,用户自行定义和使用Subject(关于Subject的作用,参考Shiro的实现原理),通过自定义Subject,可以在定时任务中去模拟某个用户的身份处理业务逻辑。
具体实现示例如下:
private Principal mockDefaultPrincipal() {
User user = new User();
user.setLoginName("xxx");
return new Principal(user, null);
}
PrincipalCollection principals = new SimplePrincipalCollection(mockDefaultPrincipal(), "casAuthorizingRealm");
Subject subject = new Subject.Builder(defaultWebSecurityManager).principals(principals).buildSubject();
subject.execute(() -> {
// do you job
});
说明1:principal的定义需要与你使用的realm类里的定义保持一致
说明2:由于定义的Subject是有作用范围的(并没有绑定到当前线程上,即通过ThreadContext是无法获取到的),故Shiro提供了几种线程关联的方法。