shiro用户信息自动更新并删除授权缓存

最新推荐文章于 2021-06-16 11:33:19 发布
最新推荐文章于 2021-06-16 11:33:19 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: Spring 后端 java 文章标签: shiro 用户登录信息变更 重新授权 用户切换 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzibai/article/details/116888604
版权
java 同时被 3 个专栏收录
46 篇文章 0 订阅
订阅专栏
后端
27 篇文章 0 订阅
订阅专栏
Spring
7 篇文章 0 订阅
订阅专栏

shiro用户信息自动更新并删除授权缓存

业务场景

一个权限管理系统下需要切换系统空间,此时需要更新登录用户在不同空间下的用户信息。

一个用户在一个空间下会拥有特定的功能权限,因此切换空间的动作会引起当前登录用户功能权限变更。

思路

通过shiro框架进行登录用户权限管理

  1. 每个登录用户在shiro中都使用Subject来标识
  2. 根据subject获取principal
  3. 将principal反序列化为存储用户信息的POJO对象
  4. 修改对象中的某项参数达成更新不同空间下用户信息的需求
  5. 删除用户之前的授权缓存,让下一次鉴权时自动触发授权方法更新用户权限信息

方案

  1. 通过SecurityUtils.getSubject()可获取当前登录用户的subject
  2. subject.getPrincipal()获取当前登录用户的标识信息
  3. 通过json反序列化获取对象POJO(这一步也可根据之前在doGetAuthenticationInfo方法中生成的principal进行强转等方式完成
  4. 通过新的principal生成PrincipalCollection
  5. 调用subject.runAs切换身份
  6. 借助Authenticator的实现类CachingRealm在登出时执行的doClearCache(PrincipalCollection principals)来清空授权缓存

代码

	@Override
	public List<TreeVO> switchSystem(Integer appId) {
		// 用户切换到指定系统,类似用户切换,将返回新的menus信息
		// 需执行用户重新登录/授权的操作,或者一次性将用户不同系统的所有权限给出,其实主要是为了变更缓存的用户信息(用户所在系统空间)

		// 更新用户信息
		StaffLoginVo validStaffInfo = loginCacheUtil.getValidStaffInfo();
		log.info("before update: " + validStaffInfo);
		validStaffInfo.setAppId(appId);
		Subject subject = SecurityUtils.getSubject();
		String newLoginInfo = JSON.toJSONString(validStaffInfo);

		PrincipalCollection principals = subject.getPrincipals();
		String realmName = principals.getRealmNames().iterator().next();

		// 生成新的principal
		PrincipalCollection newPrincipalCollection = new SimplePrincipalCollection(newLoginInfo, realmName);
		// 用户身份切换
		subject.runAs(newPrincipalCollection);

		log.info("after update: " + loginCacheUtil.getValidStaffInfo());

		// 重新授权
//		loginCacheUtil.deleteCache(validStaffInfo.getUsername(),false);
		// 需要根据变更前的principals删除之前的授权信息
		loginCacheUtil.deleteCacheBySimplePrincipalCollection((SimplePrincipalCollection) principals);

		// 返回用户信息更新后的菜单数据
		return sysMenuPermissionService.listMenus();
	}

    /**
     * 根据principalCollection删除授权缓存
     * @param attribute
     */
    public void deleteCacheBySimplePrincipalCollection(SimplePrincipalCollection attribute) {
        //删除Cache,再访问受限接口时会重新授权
        DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager) SecurityUtils.getSecurityManager();
        Authenticator authc = securityManager.getAuthenticator();
        ((LogoutAware) authc).onLogout(attribute);
    }

小结

在这里插入图片描述

CodeSerial
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
spring boot + shiro 动态更新用户信息
weixin_34279246的博客
05-03 1154
spring boot + shiro 动态更新用户信息 场景 用户A在线,管理员在后台更改了用户A信息(资料或权限)之后;用户A再进行下一步操作时,会被拦截并退出登录状态,再登录才可以执行操作;来确保用户A的信息同步更新。 后台权限管理系统 技术实现 前篇: spring boot + mybatis + layui + shiro后台权限管理系统:https://blog.51cto.c...
shiro更新用户信息同时更新subject中的信息
无言的苍凉的博客
03-30 6039
使用shiro的时候,更新用户头像时发现,数据库信息已经更新了,但是页面上的头像没有发生变化(用户信息直接从subject中获取的) public static UserDO getUser() { Object object = getSubjct().getPrincipal(); return (UserDO)object; } 没有直接的办法更改,...
shiro获取登陆用户和修改用户信息的方法
热门推荐
u012954380的博客
07-04 2万+
系统中使用shrio登录后获取当前登陆的用户很简单 只需要一句代码 这是在session中获取当前登陆的用户信息。 Parent parent = (Parent) SecurityUtils.getSubject().getPrincipal(); 这段代码在系统中任何地方都可以使用,但是由于是在session中获取的,如果说用户修改了用户的个人信息,会发现明明数据库已经修改成功了,但是...
springmvc+shiro用户登录后更改用户名怎么样更新subject中的principal
lixuanfeng blog
06-24 6177
springmvc+shiro用户登录后更改用户名怎么样更新subject中的principal 用户登录后,有一个功能是修改用户信息,比如用户名,当更改过用户名后,页面顶部显示的用户信息是从之前登录时在realm中生成的AuthenticationInfo, 这里面的用户名还是修改之前的,如果想在修改用户名之后更新AuthenticationInfo,要怎么办? ShiroUser user =...
shiro整合ehCache,清除认证缓存
Seven_0110的博客
01-05 1409
清除当前用户shiro认证缓存(已验证) //修改成功后清除缓存 DefaultWebSecurityManager securityManager = (DefaultWebSecurityManager)SecurityUtils.getSecurityManager(); ShiroRealm shiroRealm = (ShiroRealm) securityManager.getRealms().iterator().next(); // shiroRealm.clearAllCache();
shiro刷新权限
u012693016的博客
06-24 1674
/** * @title 刷新用户权限 * @param principal * @desc principal为用户的认证信息 */ public static void reloadAuthorizing(Object principal) throws Exception{ RealmSecurityManager rsm = (RealmSecurityManag...
详解shiro缓存机制
08-29
以上配置启用了 UserRealm 的缓存功能,并指定了身份验证和授权缓存的名称。同时,配置了 EhCacheManager 作为缓存实现,并指定其配置文件。 总结来说,Shiro缓存机制是通过 Cache 和 CacheManager 接口实现的,...
shiro授权 shiro和企业项目整合开发
10-14
用户选择“记住我”后,Shiro 会生成一个长期的 token 存储在客户端(如 cookie),并在后续请求时自动进行身份验证。这个功能需谨慎使用,因为它降低了安全性。 以上就是关于 Shiro 授权、自定义 Realm、企业项目...
Apache Shiro教程
12-30
- **会话管理**:Shiro可以处理会话的创建、读取、更新删除和超时等操作,还可以实现分布式会话。 - **加密支持**:Shiro提供密码策略,如盐值加密码、多次迭代哈希等,以增强安全性。 4. **Shiro的API使用** ...
SpringBoot整合Shiro,实现从数据库加载权限、权限的动态更新、Session共享
04-23
- **配置Shiro Realm**:创建自定义的`Realm`,继承自`AuthorizingRealm`,并重写`doGetAuthenticationInfo`和`doGetAuthorizationInfo`方法,用于从数据库中获取用户信息和权限信息。 - **配置Shiro Filter**:在...
shiro获取登录状态和用户信息
08-04
shiro根据session获取登录状态和用户信息
LayUI+Spring Boot+MySQL+JPA+Shiro——科研信息管理系统.zip
最新发布
03-04
在科研信息管理系统中,Shiro负责用户登录验证、权限控制以及会话管理,确保只有授权用户能访问特定资源,保障系统的安全性。 6. **人工智能**:虽然在项目描述中提及了人工智能,但具体在系统中的应用并未明确...
springboot + shiro + redis管理session的时候更新身份信息无效
a3538333的专栏
12-10 694
最近在做项目的时候遇到需要管理活跃session的需求,框架是用的SpringBoot。 在登录完成后以后,session的信息如下: { "lastAccessTime": 1607589832072, "expired": false, "host": "127.0.0.1", "attributes": { "org.apache.shiro.subject.support.DefaultSubjectContext_AUTHENTICATED_SESSION_KEY":
十二.shiro更改用户信息同时更改subject中的信息
u014203449的博客
08-21 8159
当更改用户信息的时候,发现subject.却还是原来的信息, 没有直接的办法更改,只能给当前用户切换身份,切换一个认证信息给安全管理器。 当更改用户信息后,调用setUser方法,UserInfo是原来放在SimpleAuthenticationInfo中的对象,realName是原来realm的名字 public class ShiroUtils { public stati...
springboot + shiro 整合 redis 实现登出时清除不干净的缓存
快乐的小三菊的博客
06-16 1707
背景: 在实现登出操作的时候,我们发现 redis 中的当前用户的身份认证缓存并没有清理掉,虽然我们在登出的方法中已经调用了清理当前用户的身份认证和权限认证的缓存信息,但是最终的结论是权限认证的缓存清理干净了,但是身份认证的缓存并没有清理掉。 原因: 为什么这个 key 没有清除掉呢?经过调试发现,在清理身份认证缓存的时候,调用了 CustomRealm 的clearCachedAuthenticationInfo() 方法,最终调用到的是我们的 RedisCache 中...
shiro缓存的理解
ITWANGBOIT的博客
10-21 1064
一:缓存的流程 1:缓存的作用:用于缓存认证信息授权信息,不用每次都去数据库里查询数据,而是从缓存中获取。 2:shiro的本质工作是认证和授权缓存的工作shiro没有做,而是预留了接口cache,cache中有对要缓存数据的操作方法,让开发者去做不同的实现。 3:我们可以对cache接口进行redis,memcache或者ehcache的实现。 4:CacheManager接口也是s...
shiro(二):从数据库中获取用户信息,实现shiro登录/授权
coolwind的博客
11-30 4018
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;要实现登录权限管理,需要的数据有:用户、角色、权限,他们之间的关系都是多对多的,因此一共需要5张表:用户表,角色表,用户角色关联表,权限表,角色权限关联表。 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;有了这些数据后,只需要从数据库中拿到相应的信息,放入我们自定义的realm中设置即可。 首先,将...
shiro 刷新认证以及权限缓存(略坑)
qq_37959142的博客
04-20 1万+
这里提供两种清除用户缓存的方法1、通过ehcache清除缓存(已验证)这种方法简单明了,适合对cache比较了解的人思路:从shiroCacheManager获取用户的认证缓存,以及权限缓存,然后根据principal(username等可以确定用户信息的key,在配置shiro的时候由用户指定)对cache进行remove操作。代码:@Resource(name = "shiroCacheMan...
shiro 动态修改资源权限不需要重启项目或者重新登录用户
绿眼加菲的博客
09-08 1万+
shiro做权限控制的时候,变更用户或者角色的权限后刷新界面不会重新加载权限,需要重启tomcat或者用户重新登录,特别的不人性化,通过下面的方式可以解决这个问题,但仅仅针对于单机,对集群来说就不太清楚,以后有了更好的方法再去使用(菜鸟级别,还需要学习很多): 代码使用: 工具类中: /** * * @Title: clearAuth * @Description: TODO
shiro本地缓存用户信息
09-27
引用: 通过shiro-redis整合包可以实现shiro缓存,但是缓存了AuthorizationInfo(权限信息)后,如果管理员修改了权限,缓存中的信息并不会自动更新。为了解决这个问题,可以手动刷新缓存的方法。 引用: 大多数情况下,可以使用realm中的clearCachedAuthorizationInfo方法来刷新缓存。但是这个方法只能刷新操作用户自身的权限。如果想要刷新其他用户的权限,则需要采用其他方法,比如手动删除缓存。 引用: 如果只想删除缓存而不是刷新权限,可以考虑直接删除权限信息。因为下次请求时,shiro会自动重新加载并缓存新的权限信息
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值