当前位置：首页 > news >正文

Shiro 中角色权限更新的正确姿势

news 2026/3/27 5:39:18

——从“重新登录”到“权限自然生效”的工程化实践

在使用Apache Shiro的系统中，几乎所有团队都会遇到同一个问题：

后台修改了角色权限，为什么用户的权限没有立刻生效？

更糟糕的是，很多系统的解决方案是：

提示用户重新登录
或强制踢下线
或直接clearAllCachedAuthorizationInfo()

这些做法在小系统里“能用”，但在中大型系统、SaaS 系统、多租户系统中，都会逐渐演变成架构负担。

本文将系统性地讲清楚：

Shiro 权限为什么不会自动更新
正确、可控的权限重新加载方式
如何与“事件驱动失效”结合，做到不踢人、低成本、可扩展

一、先搞清楚：Shiro 的权限模型到底是什么

1. Shiro 中的“权限”指的是什么

在 Shiro 语义里，AuthorizationInfo只包含两类信息：

角色（Roles）
功能权限（String Permissions）

例如：

角色：admin 权限：order:view、order:edit

注意：

Shiro 并不关心“能看哪些数据”
也不关心“哪些字段可见”

这些都不属于 Shiro 的职责范围。

2. 为什么权限更新后不生效

Shiro 的授权流程是：

第一次进行权限校验
调用doGetAuthorizationInfo
返回AuthorizationInfo
结果被缓存
后续不再访问数据库

因此：

你更新了数据库
但 Shiro 仍然使用缓存中的旧权限

这是设计行为，不是 Bug。

二、核心结论：Shiro 权限更新 = 清缓存

一句话总结：

Shiro 不支持“热更新权限”，
它只支持“清掉旧的授权缓存，然后重新加载”。

因此，唯一正确的方向是：显式清理授权缓存。

三、标准做法：清理指定用户的授权缓存（推荐）

1. 在 Realm 中暴露清缓存能力

public class UserRealm extends AuthorizingRealm { public void clearAuthorizationCacheByUserId(Long userId) { SimplePrincipalCollection principals = new SimplePrincipalCollection(userId, getName()); super.clearCachedAuthorizationInfo(principals); } }

关键点：

userId必须和登录时放入的principal完全一致
Realm 名称必须正确

2. 角色权限变更后调用

userRealm.clearAuthorizationCacheByUserId(userId);

效果：

不需要用户重新登录
下一次权限校验时，Shiro 会重新加载权限
权限立即生效

四、角色权限更新，通常影响的是“一批用户”

现实中，角色权限修改往往是：

给“财务角色”加一个权限
给“管理员角色”去掉一个权限

这意味着：

需要让“所有拥有该角色的用户”权限失效

工程建议

用户量较大时，异步执行
不阻塞后台管理操作
不要一次性清全量缓存

五、为什么不推荐clearAllCachedAuthorizationInfo()

realm.clearAllCachedAuthorizationInfo();

这个方法看似方便，但在生产环境中问题很大：

所有用户权限同时失效
高并发下会产生权限重算抖动
首次访问敏感接口时可能形成瞬时压力

结论只有一句话：

这是调试手段，不是架构方案。

六、与“事件驱动失效”结合（中大型系统必选）

当系统具备以下特征时：

多实例部署
SaaS / 多租户
权限中心化管理

强烈建议使用事件驱动。

1. 权限变更时发布事件

publishEvent(new RolePermissionChangedEvent(roleId));

2. 事件监听器中统一处理

@EventListener public void onRolePermissionChanged(RolePermissionChangedEvent event) { List<Long> userIds = userService.findUserIdsByRole(event.getRoleId()); userIds.forEach(userRealm::clearAuthorizationCacheByUserId); // 如果有数据权限 / 字段权限 // 同时清理你自己的权限缓存 }

这样做的好处是：