SpringBoot整合实现基于数据库的细粒度动态权限管理系统实例

...

inclide=”文件路径::局部代码片段名称”

7.shiro配置

配置文件ShiroConfig

package com.study.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;

import com.github.pagehelper.util.StringUtil;

import com.study.model.Resources;

import com.study.service.ResourcesService;

import com.study.shiro.MyShiroRealm;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;

import org.apache.shiro.mgt.SecurityManager;

import org.apache.shiro.spring.LifecycleBeanPostProcessor;

import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;

import org.crazycake.shiro.RedisCacheManager;

import org.crazycake.shiro.RedisManager;

import org.crazycake.shiro.RedisSessionDAO;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

import java.util.List;

import java.util.Map;

/**

* Created by yangqj on 2017/4/23.

*/

@Configuration

public class ShiroConfig {

@Autowired(required = false)

private ResourcesService resourcesService;

@Value("${spring.redis.host}")

private String host;

@Value("${spring.redis.port}")

private int port;

@Value("${spring.redis.timeout}")

private int timeout;

@Bean

public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {

return new LifecycleBeanPostProcessor();

}

/**

* ShiroDialect，为了在thymeleaf里使用shiro的标签的bean

* @return

*/

@Bean

public ShiroDialect shiroDialect() {

return new ShiroDialect();

}

/**

* ShiroFilterFactoryBean 处理拦截资源文件问题。

* 注意：单独一个ShiroFilterFactoryBean配置是或报错的，因为在

* 初始化ShiroFilterFactoryBean的时候需要注入：SecurityManager

*

Filter Chain定义说明

1、一个URL可以配置多个Filter，使用逗号分隔

2、当设置多个过滤器时，全部验证通过，才视为通过

3、部分过滤器可指定参数，如perms，roles

*

*/

@Bean

public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager){

System.out.println("ShiroConfiguration.shirFilter()");

ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

// 必须设置 SecurityManager

shiroFilterFactoryBean.setSecurityManager(securityManager);

// 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面

shiroFilterFactoryBean.setLoginUrl("/login");

// 登录成功后要跳转的链接

shiroFilterFactoryBean.setSuccessUrl("/usersPage");

shiroFilterFactoryBean.setUnauthorizedUrl("/403");

//拦截器.

Map<string> filterChainDefinitionMap = new LinkedHashMap<string>();/<string>/<string>

//配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了

filterChainDefinitionMap.put("/logout", "logout");

filterChainDefinitionMap.put("/css/**","anon");

filterChainDefinitionMap.put("/js/**","anon");

filterChainDefinitionMap.put("/img/**","anon");

filterChainDefinitionMap.put("/font-awesome/**","anon");

//:这是一个坑呢，一不小心代码就不好使了;

//

//自定义加载权限资源关系

List<resources> resourcesList = resourcesService.queryAll();/<resources>

for(Resources resources:resourcesList){

if (StringUtil.isNotEmpty(resources.getResurl())) {

String permission = "perms[" + resources.getResurl()+ "]";

filterChainDefinitionMap.put(resources.getResurl(),permission);

}

}

filterChainDefinitionMap.put("/**", "authc");

shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

return shiroFilterFactoryBean;

}

@Bean

public SecurityManager securityManager(){

DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

//设置realm.

securityManager.setRealm(myShiroRealm());

// 自定义缓存实现 使用redis

//securityManager.setCacheManager(cacheManager());

// 自定义session管理 使用redis

securityManager.setSessionManager(sessionManager());

return securityManager;

}

@Bean

public MyShiroRealm myShiroRealm(){

MyShiroRealm myShiroRealm = new MyShiroRealm();

myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());

return myShiroRealm;

}

/**

* 凭证匹配器

* （由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了

* 所以我们需要修改下doGetAuthenticationInfo中的代码;

* ）

* @return

*/

@Bean

public HashedCredentialsMatcher hashedCredentialsMatcher(){

HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();

hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;

hashedCredentialsMatcher.setHashIterations(2);//散列的次数，比如散列两次，相当于 md5(md5(""));

return hashedCredentialsMatcher;

}

/**

* 开启shiro aop注解支持.

* 使用代理方式;所以需要开启代码支持;

* @param securityManager

* @return

*/

@Bean

public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){

AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();

authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);

return authorizationAttributeSourceAdvisor;

}

/**

* 配置shiro redisManager

* 使用的是shiro-redis开源插件

* @return

*/

public RedisManager redisManager() {

RedisManager redisManager = new RedisManager();

redisManager.setHost(host);

redisManager.setPort(port);

redisManager.setExpire(1800);// 配置缓存过期时间

redisManager.setTimeout(timeout);

// redisManager.setPassword(password);

return redisManager;

}

/**

* cacheManager 缓存 redis实现

* 使用的是shiro-redis开源插件

* @return

*/

public RedisCacheManager cacheManager() {

RedisCacheManager redisCacheManager = new RedisCacheManager();

redisCacheManager.setRedisManager(redisManager());

return redisCacheManager;

}

/**

* RedisSessionDAO shiro sessionDao层的实现 通过redis

* 使用的是shiro-redis开源插件

*/

@Bean

public RedisSessionDAO redisSessionDAO() {

RedisSessionDAO redisSessionDAO = new RedisSessionDAO();

redisSessionDAO.setRedisManager(redisManager());

return redisSessionDAO;

}

/**

* shiro session的管理

*/

@Bean

public DefaultWebSessionManager sessionManager() {

DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();

sessionManager.setSessionDAO(redisSessionDAO());

return sessionManager;

}

}

配置自定义Realm

package com.study.shiro;

import com.study.model.Resources;

import com.study.model.User;

import com.study.service.ResourcesService;

import com.study.service.UserService;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.authc.*;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.session.Session;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.util.ByteSource;

import javax.annotation.Resource;

import java.util.HashMap;

import java.util.List;

import java.util.Map;

/**

* Created by yangqj on 2017/4/21.

*/

public class MyShiroRealm extends AuthorizingRealm {

@Resource

private UserService userService;

@Resource

private ResourcesService resourcesService;

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

User user= (User) SecurityUtils.getSubject().getPrincipal();//User{id=1, username='admin', password='3ef7164d1f6167cb9f2658c07d3c2f0a', enable=1}

Map<string> map = new HashMap<string>();/<string>/<string>

map.put("userid",user.getId());

List<resources> resourcesList = resourcesService.loadUserResources(map);/<resources>

// 权限信息对象info,用来存放查出的用户的所有的角色（role）及权限（permission）

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

for(Resources resources: resourcesList){

info.addStringPermission(resources.getResurl());

}

return info;

}

//认证

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

//获取用户的输入的账号.

String username = (String)token.getPrincipal();

User user = userService.selectByUsername(username);

if(user==null) throw new UnknownAccountException();

if (0==user.getEnable()) {

throw new LockedAccountException(); // 帐号锁定

}

SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(

user, //用户

user.getPassword(), //密码

ByteSource.Util.bytes(username),

getName() //realm name

);

// 当验证都通过后，把用户信息放在session里

Session session = SecurityUtils.getSubject().getSession();

session.setAttribute("userSession", user);

session.setAttribute("userSessionId", user.getId());

return authenticationInfo;

}

}

认证：

shiro的主要模块分别就是授权和认证和会话管理。

我们先讲认证。认证就是验证用户。比如用户登录的时候验证账号密码是否正确。

我们可以把对登录的验证交给shiro。我们执行要查询相应的用户信息，并传给shiro。如下代码则为用户登录：

@RequestMapping(value="/login",method=RequestMethod.POST)

public String login(HttpServletRequest request, User user, Model model){

if (StringUtils.isEmpty(user.getUsername()) || StringUtils.isEmpty(user.getPassword())) {

request.setAttribute("msg", "用户名或密码不能为空！");

return "login";

}

Subject subject = SecurityUtils.getSubject();

UsernamePasswordToken token=new UsernamePasswordToken(user.getUsername(),user.getPassword());

try {

subject.login(token);

return "redirect:usersPage";

}catch (LockedAccountException lae) {

token.clear();

request.setAttribute("msg", "用户已经被锁定不能登录，请与管理员联系！");

return "login";

} catch (AuthenticationException e) {

token.clear();

request.setAttribute("msg", "用户或密码不正确！");

return "login";

}

}

可见用户登陆的代码主要就是 subject.login(token);调用后就会进去我们自定义的realm中的doGetAuthenticationInfo()方法。

//认证

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

//获取用户的输入的账号.

String username = (String)token.getPrincipal();

User user = userService.selectByUsername(username);

if(user==null) throw new UnknownAccountException();

if (0==user.getEnable()) {

throw new LockedAccountException(); // 帐号锁定

}

SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(

user, //用户

user.getPassword(), //密码

ByteSource.Util.bytes(username),

getName() //realm name

);

// 当验证都通过后，把用户信息放在session里

Session session = SecurityUtils.getSubject().getSession();

session.setAttribute("userSession", user);

session.setAttribute("userSessionId", user.getId());

return authenticationInfo;

}

而我们在ShiroConfig中配置了凭证匹配器：

@Bean

public MyShiroRealm myShiroRealm(){

MyShiroRealm myShiroRealm = new MyShiroRealm();

myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());

return myShiroRealm;

}

@Bean

public HashedCredentialsMatcher hashedCredentialsMatcher(){

HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();

hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;

hashedCredentialsMatcher.setHashIterations(2);//散列的次数，比如散列两次，相当于 md5(md5(""));

return hashedCredentialsMatcher;

}

所以在认证时的密码是加过密的，使用md5散发将密码与盐值组合加密两次。则我们在增加用户的时候，对用户的密码则要进过相同规则的加密才行。

添加用户代码如下：

@RequestMapping(value = "/add")

public String add(User user) {

User u = userService.selectByUsername(user.getUsername());

if(u != null)

return "error";

try {

user.setEnable(1);

PasswordHelper passwordHelper = new PasswordHelper();

passwordHelper.encryptPassword(user);

userService.save(user);

return "success";

} catch (Exception e) {

e.printStackTrace();

return "fail";

}

}

PasswordHelper：

package com.study.util;

import com.study.model.User;

import org.apache.shiro.crypto.RandomNumberGenerator;

import org.apache.shiro.crypto.SecureRandomNumberGenerator;

import org.apache.shiro.crypto.hash.SimpleHash;

import org.apache.shiro.util.ByteSource;

public class PasswordHelper {

//private RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();

private String algorithmName = "md5";

private int hashIterations = 2;

public void encryptPassword(User user) {

//String salt=randomNumberGenerator.nextBytes().toHex();

String newPassword = new SimpleHash(algorithmName, user.getPassword(), ByteSource.Util.bytes(user.getUsername()), hashIterations).toHex();

//String newPassword = new SimpleHash(algorithmName, user.getPassword()).toHex();

user.setPassword(newPassword);

}

public static void main(String[] args) {

PasswordHelper passwordHelper = new PasswordHelper();

User user = new User();

user.setUsername("admin");

user.setPassword("admin");

passwordHelper.encryptPassword(user);

System.out.println(user);

}

}

接下来讲下授权。在自定义relalm中的代码为：

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

User user= (User) SecurityUtils.getSubject().getPrincipal();//User{id=1, username='admin', password='3ef7164d1f6167cb9f2658c07d3c2f0a', enable=1}

Map<string> map = new HashMap<string>();/<string>/<string>

map.put("userid",user.getId());

List<resources> resourcesList = resourcesService.loadUserResources(map);/<resources>

// 权限信息对象info,用来存放查出的用户的所有的角色（role）及权限（permission）

SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

for(Resources resources: resourcesList){

info.addStringPermission(resources.getResurl());

}

return info;

}

从以上代码中可以看出来，我根据用户id查询出用户的权限，放入SimpleAuthorizationInfo。关联表user_role，role_resources，resources，三张表，根据用户所拥有的角色，角色所拥有的权限，查询出分配给该用户的所有权限的url。当访问的链接中配置在shiro中时，或者使用shiro标签，shiro权限注解时，则会访问该方法，判断该用户是否拥有相应的权限。

在ShiroConfig中有如下代码：

@Bean

public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager){

System.out.println("ShiroConfiguration.shirFilter()");

ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

// 必须设置 SecurityManager

shiroFilterFactoryBean.setSecurityManager(securityManager);

// 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面

shiroFilterFactoryBean.setLoginUrl("/login");

// 登录成功后要跳转的链接

shiroFilterFactoryBean.setSuccessUrl("/usersPage");

shiroFilterFactoryBean.setUnauthorizedUrl("/403");

//拦截器.

Map<string> filterChainDefinitionMap = new LinkedHashMap<string>();/<string>/<string>

//配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了

filterChainDefinitionMap.put("/logout", "logout");

filterChainDefinitionMap.put("/css/**","anon");

filterChainDefinitionMap.put("/js/**","anon");

filterChainDefinitionMap.put("/img/**","anon");

filterChainDefinitionMap.put("/font-awesome/**","anon");

//:这是一个坑呢，一不小心代码就不好使了;

//

//自定义加载权限资源关系

List<resources> resourcesList = resourcesService.queryAll();/<resources>

for(Resources resources:resourcesList){

if (StringUtil.isNotEmpty(resources.getResurl())) {

String permission = "perms[" + resources.getResurl()+ "]";

filterChainDefinitionMap.put(resources.getResurl(),permission);

}

}

filterChainDefinitionMap.put("/**", "authc");

shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

return shiroFilterFactoryBean;

}

该代码片段为配置shiro的过滤器。以上代码将静态文件设置为任何权限都可访问，然后

List<resources> resourcesList = resourcesService.queryAll();/<resources>

for(Resources resources:resourcesList){

if (StringUtil.isNotEmpty(resources.getResurl())) {

String permission = "perms[" + resources.getResurl()+ "]";

filterChainDefinitionMap.put(resources.getResurl(),permission);

}

}

在数据中查询所有的资源，将该资源的url当作key，配置拥有该url权限的用户才可访问该url。

最后加入 filterChainDefinitionMap.put(“/*”, “authc”);表示其他没有配置的链接都需要认证才可访问。注意这个要放最后面，因为shiro的匹配是从上往下，如果匹配到就不继续匹配了，所以把 /放到最前面，则 后面的链接都无法匹配到了。

而这段代码是在项目启动的时候加载的。加载的数据是放到内存中的。但是当权限增加或者删除时，正常情况下不会重新启动来，重新加载权限。所以需要调用以下代码的updatePermission()方法来重新加载权限。其实下面的代码有些重复了，可以稍微调整下，我就先这么写了。

package com.study.shiro;

import com.github.pagehelper.util.StringUtil;

import com.study.model.Resources;

import com.study.model.User;

import com.study.service.ResourcesService;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.mgt.RealmSecurityManager;

import org.apache.shiro.session.Session;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.subject.SimplePrincipalCollection;

import org.apache.shiro.subject.support.DefaultSubjectContext;

import org.apache.shiro.web.filter.mgt.DefaultFilterChainManager;

import org.apache.shiro.web.filter.mgt.PathMatchingFilterChainResolver;

import org.apache.shiro.web.servlet.AbstractShiroFilter;

import org.crazycake.shiro.RedisSessionDAO;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.stereotype.Service;

import java.util.*;

/**

* Created by yangqj on 2017/4/30.

*/

@Service

public class ShiroService {

@Autowired

private ShiroFilterFactoryBean shiroFilterFactoryBean;

@Autowired

private ResourcesService resourcesService;

@Autowired

private RedisSessionDAO redisSessionDAO;

/**

* 初始化权限

*/

public Map<string> loadFilterChainDefinitions() {/<string>

// 权限控制map.从数据库获取

Map<string> filterChainDefinitionMap = new LinkedHashMap<string>();/<string>/<string>

filterChainDefinitionMap.put("/logout", "logout");

filterChainDefinitionMap.put("/css/**","anon");

filterChainDefinitionMap.put("/js/**","anon");

filterChainDefinitionMap.put("/img/**","anon");

filterChainDefinitionMap.put("/font-awesome/**","anon");

List<resources> resourcesList = resourcesService.queryAll();/<resources>

for(Resources resources:resourcesList){

if (StringUtil.isNotEmpty(resources.getResurl())) {

String permission = "perms[" + resources.getResurl()+ "]";

filterChainDefinitionMap.put(resources.getResurl(),permission);

}

}

filterChainDefinitionMap.put("/**", "authc");

return filterChainDefinitionMap;

}

/**

* 重新加载权限

*/

public void updatePermission() {

synchronized (shiroFilterFactoryBean) {

AbstractShiroFilter shiroFilter = null;

try {

shiroFilter = (AbstractShiroFilter) shiroFilterFactoryBean

.getObject();

} catch (Exception e) {

throw new RuntimeException(

"get ShiroFilter from shiroFilterFactoryBean error!");

}

PathMatchingFilterChainResolver filterChainResolver = (PathMatchingFilterChainResolver) shiroFilter

.getFilterChainResolver();

DefaultFilterChainManager manager = (DefaultFilterChainManager) filterChainResolver

.getFilterChainManager();

// 清空老的权限控制

manager.getFilterChains().clear();

shiroFilterFactoryBean.getFilterChainDefinitionMap().clear();

shiroFilterFactoryBean

.setFilterChainDefinitionMap(loadFilterChainDefinitions());

// 重新构建生成

Map<string> chains = shiroFilterFactoryBean/<string>

.getFilterChainDefinitionMap();

for (Map.Entry<string> entry : chains.entrySet()) {/<string>

String url = entry.getKey();

String chainDefinition = entry.getValue().trim()

.replace(" ", "");

manager.createChain(url, chainDefinition);

}

System.out.println("更新权限成功！！");

}

}

}

会话管理

这个例子使用了redis保存session。这样可以实现集群的session共享。在ShiroConfig中有代码：

@Bean

public SecurityManager securityManager(){

DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();

//设置realm.

securityManager.setRealm(myShiroRealm());

// 自定义缓存实现 使用redis

//securityManager.setCacheManager(cacheManager());

// 自定义session管理 使用redis

securityManager.setSessionManager(sessionManager());

return securityManager;

}

配置了自定义session，网上已经有大神实现了 使用redis 自定义session管理，直接拿来用，引入包

<dependency>

<groupid>org.crazycake/<groupid>

<artifactid>shiro-redis/<artifactid>

<version>2.4.2.1-RELEASE/<version>

然后再配置：

/**

* 配置shiro redisManager

* 使用的是shiro-redis开源插件

* @return

*/

public RedisManager redisManager() {

RedisManager redisManager = new RedisManager();

redisManager.setHost(host);

redisManager.setPort(port);

redisManager.setExpire(1800);// 配置缓存过期时间

redisManager.setTimeout(timeout);

// redisManager.setPassword(password);

return redisManager;

}

/**

* cacheManager 缓存 redis实现

* 使用的是shiro-redis开源插件

* @return

*/

public RedisCacheManager cacheManager() {

RedisCacheManager redisCacheManager = new RedisCacheManager();

redisCacheManager.setRedisManager(redisManager());

return redisCacheManager;

}

/**

* RedisSessionDAO shiro sessionDao层的实现 通过redis

* 使用的是shiro-redis开源插件

*/

@Bean

public RedisSessionDAO redisSessionDAO() {

RedisSessionDAO redisSessionDAO = new RedisSessionDAO();

redisSessionDAO.setRedisManager(redisManager());

return redisSessionDAO;

}

/**

* shiro session的管理

*/

@Bean

public DefaultWebSessionManager sessionManager() {

DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();

sessionManager.setSessionDAO(redisSessionDAO());

return sessionManager;

配置文件 application.properties中加入：

#redis

# Redis服务器地址

spring.redis.host= localhost

# Redis服务器连接端口

spring.redis.port= 6379

# 连接池中的最大空闲连接

spring.redis.pool.max-idle= 8

# 连接池中的最小空闲连接

spring.redis.pool.min-idle= 0

# 连接池最大连接数（使用负值表示没有限制）

spring.redis.pool.max-active= 8

# 连接池最大阻塞等待时间（使用负值表示没有限制）

spring.redis.pool.max-wait= -1

# 连接超时时间（毫秒）

spring.redis.timeout= 0

当然运行的时候要先启动redis。将自己的redis配置在以上配置中。这样session就存在redis中了。

上面ShiroConfig中的securityManager()方法中，我把

//securityManager.setCacheManager(cacheManager());

这行代码注了，是这样的，因为每次在需要验证的地方，比如在subject.hasRole(“admin”) 或 subject.isPermitted(“admin”)、@RequiresRoles(“admin”) 、 shiro:hasPermission=”/users/add”的时候都会调用MyShiroRealm中的doGetAuthorizationInfo()。但是以为这些信息不是经常变的，所以有必要进行缓存。把这行代码的注释打开，的时候都会调用MyShiroRealm中的doGetAuthorizationInfo()的返回结果会被redis缓存。但是这里稍微有个小问题，就是在刚修改用户的权限时，无法立即失效。本来我是使用了ShiroService中的clearUserAuthByUserId()想清除当前session存在的用户的权限缓存，但是没有效果。不知道什么原因。希望哪个大神看到后帮忙弄个解决方法。所以我干脆就把doGetAuthorizationInfo()的返回结果通过spring cache的方式加入缓存。

@Cacheable(cacheNames="resources",key="#map['userid'].toString()+#map['type']")

public List<resources> loadUserResources(Map<string> map) {/<string>/<resources>

return resourcesMapper.loadUserResources(map);

}

这样也可以实现，然后在修改权限时加上注解

@CacheEvict(cacheNames="resources", allEntries=true)

这样修改权限后可以立即生效。其实我感觉这样不好，因为清楚了我是清除了所有用户的权限缓存，其实只要修改当前session在线中被修改权限的用户就行了。 先这样吧，以后再研究下，修改得更好一点。

按钮控制

在前端页面，对按钮进行细粒度权限控制，只需要在按钮上加上shiro:hasPermission

<button>新增/<button>

这里的参数就是我们在ShiroConfig-shirFilter()权限加载时的过滤器 中的value，也就是资源的url。

filterChainDefinitionMap.put(resources.getResurl(),permission);

8.效果图

9.运行、下载

下载项目后运行resources下的shiro.sql文件。需要运行redis后运行项目。访问http://localhost:8080/ 账号密码：admin admin 或user1 user1.新增的用户也可以登录。

———————————–分割线 2018-01-21——————————–

之前说了一个问题，是将doGetAuthorizationInfo()的返回结果存放在redis 无效，然后改成了spring cache的方式。后来因为换工作的原因，一直没时间去弄这个。在此谢谢 noWayBinding 这位同学在评论出，给出了解决方法。我今天修改了下重新上传了。

还有同学说redis 连接不上，我的项目因为引用了别人写好的shiro-redis。所以代码里的RedisConfig 其实并没有用上，大家要加上密码的话，应该在ShiroConfig 中设置redisManager.setPassword(password); 。

————————————————

更多干货请关注我，免费Java架构视频资料私信

閱讀更多 雲析學院 的文章

關鍵字: jQuery 实例 XML