shiro修改用户权限后并刷新对应用户缓存授权

最新推荐文章于 2024-09-08 10:40:56 发布
最新推荐文章于 2024-09-08 10:40:56 发布
阅读量4.3k 收藏 10
点赞数 6
分类专栏: 我的成长 文章标签: java shiro 缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32354049/article/details/106368939
版权

shiro修改用户权限后并刷新缓存授权

在网上找了很多关于刷新缓存认证的文章,很多都是刷新自己的授权信息,本文案例为修改他人权限后,刷新他人的缓存授权信息。由于第一次写博文,写的不好还请手下留情,废话不多说,直接上干货

先看一下原理

先看一下我在自定义的Realm中认证的方法
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		Long userId = ShiroUtils.getUserId();
		MenuService menuService = ApplicationContextRegister.getBean(MenuService.class);
		Set<String> perms = menuService.listPerms(userId);//查询数据库里该用户有哪些权限
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		info.setStringPermissions(perms);
		return info;//返回认证信息
	}
然后我们发起请求

在UserController中加上注解 @RequiresPermissions(“sys:user:add”)
需要用户拥有sys:user:add的权限

	@RequiresPermissions("sys:user:add")
	@Log("添加用户")
	@GetMapping("/add")
	String add(Model model) {
		service.add(model);
	}

shiro会帮我们拦截,查看是否拥有sys:user:add 的权限 核心方法

 AuthorizingRealm类的isPermitted(Permission permission, AuthorizationInfo info)方法
  protected boolean isPermitted(Permission permission, AuthorizationInfo info) {
       AuthorizationInfo info = this.getAuthorizationInfo(principals);/获取info,info中保存的是用户的权限
        ....//比对用户的 info中是否拥有sys:user:add 的权限 
   }
   下面这个方法是原理的核心 
AuthorizingRealm类 getAuthorizationInfo(PrincipalCollection principals) //此方法获取info {
protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {
        if (principals == null) {
            return null;
        } else {
            AuthorizationInfo info = null;
        	...
            Cache<Object, AuthorizationInfo> cache = this.getAvailableAuthorizationCache();//先去缓存去取用户的认证信息
            Object key;
            if (cache != null) {
              ....
                key = this.getAuthorizationCacheKey(principals);
                info = (AuthorizationInfo)cache.get(key);//在缓存中取到了认证信息
               ....
            }

            if (info == null) {
                info = this.doGetAuthorizationInfo(principals);//如果缓存中没有的话,走这个方法,这个方法是个抽象方法,需要自己实现 ,我们自定义的realm中已经实现此方法,在最上面的代码中
                if (info != null && cache != null) {
                 ....
                    key = this.getAuthorizationCacheKey(principals);// 查询到info后,再存到缓存中
                    cache.put(key, info);
                }
            }

            return info;
        }
    }
}
小结: 原理就是第一次查询AuthorizationInfo 保存到了缓存中, 我们刷新的实现就是修改了用户的权限后 删除掉缓存中的对应用户的认证信息。而且我们已经找到了key, 然后直接删除就OK了

代码

在ShiroUtil 类中定义删除方法
public class ShiroUtils {
//注意:此处sessionDao 是static  不能使用@autowired 自动注入,网上有教程注入的方法,自己测了一下并没有成功
我们使用此方法来获取,
    private static RedisSessionDAO sessionDAO = SpringUtil.getBean(RedisSessionDao.class);

    public static Subject getSubjct() {
        return SecurityUtils.getSubject();
    }
    /**
     * 获取当前用户信息
     * @Return SysUserEntity 用户信息
     */
    public static UserDO getUser() {
        Object object = getSubjct().getPrincipal();
        return (UserDO)object;
    }
    public static Long getUserId() {
        return getUser().getUserId();
    }
    public static void logout() {
        getSubjct().logout();
    }

    public static List<Principal> getPrinciples() {
        List<Principal> principals = null;
        Collection<Session> sessions = sessionDAO.getActiveSessions();
        return principals;
    }

    /**
     * 获取当前用户Session
     * @Return SysUserEntity 用户信息
     */
    public static Session getSession() {
        return SecurityUtils.getSubject().getSession();
    }
    /**
     * 删除用户缓存信息
     * @Param  username  用户名称
     * @Param  isRemoveSession 是否删除Session,删除后用户需重新登录
     */
    public static void deleteCache(String username, boolean isRemoveSession){
        //从缓存中获取Session
        Session session = null;
        // 获取当前已登录的用户session列表
        Collection<Session> sessions = sessionDAO.getActiveSessions();
        UserDO sysUserEntity;
        Object attribute = null;
        // 遍历Session,找到该用户名称对应的Session
        for(Session sessionInfo : sessions){
            attribute = sessionInfo.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY);
            if (attribute == null) {
                continue;
            }
            sysUserEntity = (UserDO) ((SimplePrincipalCollection) attribute).getPrimaryPrincipal();
            if (sysUserEntity == null) {
                continue;
            }
            if (Objects.equals(sysUserEntity.getUsername(), username)) {
                session=sessionInfo;
                // 清除该用户以前登录时保存的session,强制退出  -> 单用户登录处理
                if (isRemoveSession) {
                    sessionDAO.delete(session);
                }
            }
        }

        if (session == null||attribute == null) {
            return;
        }
        //删除session
        if (isRemoveSession) {
            sessionDAO.delete(session);
        }
        //删除Cache,再访问受限接口时会重新授权
        DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager();
        Authenticator authc = securityManager.getAuthenticator();
        ((LogoutAware) authc).onLogout((SimplePrincipalCollection) attribute);
    }

    /**
     * 从缓存中获取指定用户名的Session
     * @param username
     */
    private static Session getSessionByUsername(String username){
        // 获取当前已登录的用户session列表
        Collection<Session> sessions = sessionDAO.getActiveSessions();
        UserDO user;
        Object attribute;
        // 遍历Session,找到该用户名称对应的Session
        for(Session session : sessions){
            attribute = session.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY);
            if (attribute == null) {
                continue;
            }
            user = (UserDO) ((SimplePrincipalCollection) attribute).getPrimaryPrincipal();
            if (user == null) {
                continue;
            }
            if (Objects.equals(user.getUsername(), username)) {
                return session;
            }
        }
        return null;
    }
}
其中 redisSessionDao 是 shiro-redis包下的类

这里贴一下依赖

        <dependency>
            <groupId>org.crazycake</groupId>
            <artifactId>shiro-redis</artifactId>
            <version>3.1.0</version>
        </dependency>
springUtil也贴一下吧
@Component
public class SpringUtil implements ApplicationContextAware {
    private static ApplicationContext context;

    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
        context = applicationContext;
    }

    
    public static <T> T getBean(Class<T> beanClass) {
        return context.getBean(beanClass);
    }

    public static <T> T getBean(String beanName) {
        return (T) context.getBean(beanName);
    }
}

做到这里准备工作就完成了, 我们开始走起

模拟userService updateUser方法


  public int update(User user) {
        
        int r = userMapper.update(user);
        ShiroUtils.deleteCache(user.getUsername(),false);//更新用户并删除缓存
        return r;
    }

写的比较粗糙, 希望可以帮到大家, 有疑问也可以给我留言,也欢迎大家批评指正。。。

大昭逸
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[原创]Spring boot Shiro授权 授权缓存的清除
qq_40079715的博客
03-18 6215
Shiro授权时我们开启了缓存,导致更改用户权限无法生效,必须要清除缓存才能生效。Shiro他去查询你当前是否开始缓存缓存是否有改Subject的principals。 Shiro查询授权的源码: protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) { if...
我的shiro之旅: 九 shiro 清理缓存权限信息
热门推荐
Dylan的博文
02-17 2万+
博客已移至 http://blog.gogl.top 在文章八讲到了shiro缓存权限信息然后达到共享目的,不过存在一个问题,当用户权限发生改变的时候,需要用户重新登录,从新缓存用户权限信息。这篇文章将介绍在改变用户权限时,如何清理用户权限。我这里写了一个帮助类,先贴也代码。   package com.concom.security.infrastructure.helper; ...
shiro-1、修改密码后原密码能登录,而新密码不可以登录
qq_38058332的博客
10-26 4924
又看了一遍源码才找到问题,可能解决方法有点土,各位大神还望给点意见 shiro的logout登出,只是将放置PrincipalCollection这个集合置空,删除了session,但是没有清空缓存,所以当修改密码重新登录的时候,按照以下流程,调试模式,一步步走 controller的 subject.login(token); (下面均为shiro...
shiro缓存更新用户权限实现刷新缓存
Leezed525的博客
01-09 1762
背景 首先我通过shiro-redis整合包实现了shiro缓存,但是我突然想到了一个问题,如果缓存了AuthorizationInfo(权限信息)的话,如果管理员修改了他的权限,那样在缓存里并不会变,这是一个问题 解决思路 百度了许久我发现大多数用的都是realm的clearCachedAuthorizationInfo方法,但是这个好像只能刷新操作用户自身的权限,再左思右想之下,决定采用最笨的办法,手写一个刷新缓存的方法 首先我的权限信息是用户 对应多个角色,角色对应多个权限,但是我并没有想着刷新
Shrio00 Shiro角色授权Shiro权限授权、开启Shiro缓存
weixin_30519071的博客
12-07 104
1 需求01   用户进行过认证登录后,某些接口是有权限限制的;如何实现只有相应权限用户才可以调用相应接口 2 修改shiro配置类 ShiroConfiguration package cn.xiangxu.apache_shiro; import org.apache.shiro.mgt.SecurityManager; import org.apache.sh...
shiro 用户权限修改 动态更新权限 重新赋值权限
jizhunboss的专栏
12-13 2万+
shiro重新赋值权限 (比如:给一个角色临时添加一个权限,需要调用此方法刷新权限,否则还是没有刚赋值的权限)
shiro整合ehCache,清除认证缓存
Seven_0110的博客
01-05 1553
清除当前用户shiro认证缓存(已验证) //修改成功后清除缓存 DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager)SecurityUtils.getSecurityManager(); ShiroRealm shiroRealm = (ShiroRealm) securityManager.getRealms().iterator().next(); // shiroRealm.clearAllCache();
shiro更新权限更新cache里的权限等信息
夏微凉秋微暖的博客
03-12 7403
在spring-xml配置文件,我们配置了缓存开启: &lt;!-- 缓存管理 --&gt; &lt;bean id="shiroCacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"&gt;&lt;/bean&gt; &lt;!-- 使用Shiro自带的JdbcRealm类 指定...
shiro 刷新认证以及权限缓存(略坑)
qq_37959142的博客
04-20 1万+
这里提供两种清除用户缓存的方法1、通过ehcache清除缓存(已验证)这种方法简单明了,适合对cache比较了解的人思路:从shiroCacheManager获取用户的认证缓存,以及权限缓存,然后根据principal(username等可以确定用户信息的key,在配置shiro的时候由用户指定)对cache进行remove操作。代码:@Resource(name = "shiroCacheMan...
shiro在编辑权限后,清除用户之前缓存权限信息
qq_38711879的博客
04-01 1310
最近在做ssh+shiro的整合,完成自己的毕设,正好遇到这个问题,于是网上找了相关资源,现给出下列代码: /** * 重新赋值权限(在比如:给一个角色临时添加一个权限,需要调用此方法刷新权限,否则还是没有刚赋值的权限) * @param shiroRealm 自定义的realm * @param username 用户名 */ pu...
java shiro实现退出登陆清空缓存
08-31
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份验证、授权、会话管理和加密服务。在 Java Web 应用Shiro 可以帮助开发者轻松地处理用户登录、登出以及权限控制等问题。在本文,我们将讨论如何利用 ...
springboot整和jwt、shiro、redis实现token自动刷新
08-19
结合JWT(JSON Web Token)和Shiro,我们可以构建一个高效的身份验证和授权系统,同时利用Redis缓存来提高性能和用户体验。下面将详细介绍如何在Spring Boot整合JWT、Shiro和Redis实现Token自动刷新。 JWT是一种...
SpringBoot整合Shiro,实现从数据库加载权限权限的动态更新、Session共享
04-23
- **刷新权限**:一旦检测到权限变化,调用`SecurityUtils.getSubject().getSession().getAttribute("permissions")`清除当前用户权限缓存,并重新加载权限信息。 5. **Session共享**: - **跨应用Session**:...
Shiro权限管理
ycfxhsw的博客
04-25 694
Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,相比Spring Security而言相当简单, 可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西, 所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本文只介绍基本的Shiro使用,不会过多分析源码等,重在使用。 Shiro架构 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以
spring boot 集成shiro(用户授权权限控制)
ForeverLove的博客
09-05 2595
在上一节我们编写了简单的一个小程序,但是我们会发现我们随便访问index,login 以及任何一个界面,无需登录也可以进行访问,但是这不是我们所想要的,我们想要的是希望在用户没有登录的情况下,跳转login页面进行登录。那么这个时候Shiro就闪亮登场了。 集成shiro大概分这么一个步骤: (a) pom.xml添加Shiro依赖; (b) 注入Shiro Factory和Sec
shiro刷新权限
lilovfly的专栏
08-12 3609
近期做的那个项目购买之后需要刷新权限,这个之前没做过,通过查看http://jinnianshilongnian.iteye.com/blog/2044616与http://jinnianshilongnian.iteye.com/blog/2044616找到了动态刷新权限的方式,加入我的项目如下进行权限修改:                 RealmSecurityManager rsm =
spring mvc+Mybatis整合shiro 第六章 关于更新缓存权限的几个要点
程序猿小窝
09-21 787
public void refreshAuth() { try { Ini ini = new Ini(); ini.load("/static/**=anon"); Section section = ini.getSection(Ini.DEFAULT_SECTION_NAME); s
spring事务详细讲解-深入浅出
最新发布
小电玩
09-08 316
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方式将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境设置的隔离级别,调整数据库隔离级别。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值