——从“重新登录”到“权限自然生效”的工程化实践
在使用Apache Shiro的系统中,几乎所有团队都会遇到同一个问题:
后台修改了角色权限,为什么用户的权限没有立刻生效?
更糟糕的是,很多系统的解决方案是:
提示用户重新登录
或强制踢下线
或直接
clearAllCachedAuthorizationInfo()
这些做法在小系统里“能用”,但在中大型系统、SaaS 系统、多租户系统中,都会逐渐演变成架构负担。
本文将系统性地讲清楚:
Shiro 权限为什么不会自动更新
正确、可控的权限重新加载方式
如何与“事件驱动失效”结合,做到不踢人、低成本、可扩展
一、先搞清楚:Shiro 的权限模型到底是什么
1. Shiro 中的“权限”指的是什么
在 Shiro 语义里,AuthorizationInfo只包含两类信息:
角色(Roles)
功能权限(String Permissions)
例如:
角色:admin 权限:order:view、order:edit注意:
Shiro 并不关心“能看哪些数据”
也不关心“哪些字段可见”
这些都不属于 Shiro 的职责范围。
2. 为什么权限更新后不生效
Shiro 的授权流程是:
第一次进行权限校验
调用
doGetAuthorizationInfo返回
AuthorizationInfo结果被缓存
后续不再访问数据库
因此:
你更新了数据库
但 Shiro 仍然使用缓存中的旧权限
这是设计行为,不是 Bug。
二、核心结论:Shiro 权限更新 = 清缓存
一句话总结:
Shiro 不支持“热更新权限”,
它只支持“清掉旧的授权缓存,然后重新加载”。
因此,唯一正确的方向是:显式清理授权缓存。
三、标准做法:清理指定用户的授权缓存(推荐)
1. 在 Realm 中暴露清缓存能力
public class UserRealm extends AuthorizingRealm { public void clearAuthorizationCacheByUserId(Long userId) { SimplePrincipalCollection principals = new SimplePrincipalCollection(userId, getName()); super.clearCachedAuthorizationInfo(principals); } }关键点:
userId必须和登录时放入的principal完全一致Realm 名称必须正确
2. 角色权限变更后调用
userRealm.clearAuthorizationCacheByUserId(userId);效果:
不需要用户重新登录
下一次权限校验时,Shiro 会重新加载权限
权限立即生效
四、角色权限更新,通常影响的是“一批用户”
现实中,角色权限修改往往是:
给“财务角色”加一个权限
给“管理员角色”去掉一个权限
这意味着:
需要让“所有拥有该角色的用户”权限失效
推荐实现方式
List<Long> userIds = userService.findUserIdsByRole(roleId); for (Long userId : userIds) { userRealm.clearAuthorizationCacheByUserId(userId); }工程建议
用户量较大时,异步执行
不阻塞后台管理操作
不要一次性清全量缓存
五、为什么不推荐clearAllCachedAuthorizationInfo()
realm.clearAllCachedAuthorizationInfo();这个方法看似方便,但在生产环境中问题很大:
所有用户权限同时失效
高并发下会产生权限重算抖动
首次访问敏感接口时可能形成瞬时压力
结论只有一句话:
这是调试手段,不是架构方案。
六、与“事件驱动失效”结合(中大型系统必选)
当系统具备以下特征时:
多实例部署
SaaS / 多租户
权限中心化管理
强烈建议使用事件驱动。
1. 权限变更时发布事件
publishEvent(new RolePermissionChangedEvent(roleId));2. 事件监听器中统一处理
@EventListener public void onRolePermissionChanged(RolePermissionChangedEvent event) { List<Long> userIds = userService.findUserIdsByRole(event.getRoleId()); userIds.forEach(userRealm::clearAuthorizationCacheByUserId); // 如果有数据权限 / 字段权限 // 同时清理你自己的权限缓存 }这样做的好处是:
权限变更逻辑集中
与业务解耦
支持后续 MQ、分布式扩展
七、一个必须强调的边界问题
❗ Shiro 只管“功能权限”,不管“数据权限”
正确分工:
| 类型 | 是否进 Shiro |
|---|---|
| 角色 | 是 |
| 菜单 / 按钮权限 | 是 |
| 数据行权限 | 否 |
| 字段级权限 | 否 |
如果把数据权限塞进 Shiro:
权限字符串爆炸
缓存失效不可控
后台改一次,系统大面积抖动
八、最小可落地方案总结
如果你现在要“立刻改对”:
Realm 中只返回角色 + 功能权限
权限变更后,清对应用户的授权缓存
不强制用户重新登录
不全量清缓存
数据权限自己单独做失效机制
这已经是生产级方案。
九、一句话总结(给团队统一认知用)
Shiro 的权限更新不是“重新加载”,
而是“让旧的授权信息失效”。
清谁、什么时候清、清到什么粒度,
决定了你的权限系统是否可维护。
