发项目使用springboot单体应用,使用shiro进行权限控制出现问题,记录下:
框架:springboot+shiro;缓存使用redis,使用spring-session-redis进行token验证;通过fastjson进行类的序列化和反序列化
期望结果:在登录时使用shiro进行登录,将当前登录成功的seesion直接保存到redis中去,并进行权限控制;
存在问题:
- session保存到redis时出现反序列化异常:
处理方案:在redis中可以看到该seesion保存数据内容:在第五条中的SimplePrincipalCollection类中有个getRealmNames提示无相关属性,因此在反序列化中没有对应的setRealmNames进行设置,其实也不需要,因此需要在反序列化之前对该字段进行移出 - 权限不生效
处理方案:通过第一点处理后,shiro已经能够正常登录,但在进行权限校验的时候出现问题,不执行自定义realm的doGetAuthorizationInfo方法,问题还是出现在SimplePrincipalCollection类中,SimplePrincipalCollection中
该字段因为没get、set方法,因此不会被持久化,因此进行反序列化的时候,登录的用户就会找不到对应的realm,因此无法进行鉴权,处理该方法时重写SimplePrincipalCollection,建议将SimplePrincipalCollection复制一遍,然后设置对应新增对应的set、get方法,由于该方法只是在序列化和反序列化的时候调用,因此可以自定义修改不会引起异常。private Map<String, Set> realmPrincipals;
说明:看网上其他使用shiro和redis的,重写较多,人比较懒,就想采用这种配置比较少的,效果如何不知道,或许那种能更好的解决。