本文探讨了如何在Shiro自定义Realm中正确处理SimpleAuthenticationInfo的principal参数,区分User对象与用户名,并解释了身份和权限缓存的清理策略。遇到的问题与解决建议集中在用户信息更新后的缓存一致性上。
背景:
在我们实现的自定义 Realm 的 doGetAuthenticationInfo() 方法中,关于返回值 SimpleAuthenticationInfo 的第一个参数,可以传 userName ,也可以传 User 对象,到底该使用哪个呢?我们来分析一下。
扩展:
shiro:cache:authenticationCache:zhangsan
它是身份认证的缓存,是 CustomRealm 中的 doGetAuthenticationInfo() 方法执行之后缓存的结果。如果是正常的调用登出操作,这个缓存会自动清除,如果非正常情况(刚登陆之后,手动清理浏览器缓存),这个 key 则会依然保留在 redis 中。如果 redis 中有这个缓存,当你下次登录的时候 ,将不再执行 doGetAuthenticationInfo() 方法,而是从缓存中获取该认证,然后进行密码比较。
但是这样就会出现一个问题,假如说用户修改了密码,但是你却没有清除这个缓存,那么再次登录的时候,新密码就不能用,还需要使用之前的老密码登录,因为 redis 中缓存的是之前老密码的认证。所以,在执行修改密码,或者支付密码之类的操作,要清理掉该缓存或者干脆就不缓存。
shiro:cache:authorizationCache:zhangsan
它是权限认证的缓存,是 CustomRealm 中的 doGetAuthorizationInfo() 方法执行之后缓存的结果。它是将数据库中角色和权限查出来,然后分别放到一个Set 中,然后序列化到 redis 中。
当你访问一个 url 的时候,会调用 CustomRealm 类的父类 AuthorizingRealm 的 isPermitted(PrincipalCollection principals, String permission) 方法判断用户是否有这个权限。如果没有就会抛出异常。
如果 redis 中有该用户权限的缓存,那就不会查询数据库,直接从缓存中获取进行判断。所以在给某个用户添加新的权限之后,要删除这个缓存,否则新分配的权限无法生效。
疑问:
遇到了这么个问题,在 SimpleAuthenticationInfo 中传的是 User 实体,我们认为 shiro:cache:authenticationCache:zhangsan 缓存的就是 User 的信息,然后使用 User user = (User)SecurityUtils.getSubject().getPrincipal(); 来获取用户信息,因为我们在删除 shiro:cache:authenticationCache:zhangsan 这个 key 后,依然可以获取到 User 的信息。也并没有查询数据库,为什么会产生这种情况呢?
其实,这个 User 在 authenticationCache 中保存了一份,在 session 中也保存了一份,你可以看下你的 session 信息,会看见里面有 User 的信息,如下所示:
当你使用 SecurityUtils.getSubject().getPrincipal();是从 session 中获取的信息,authenticationCache 那一份其实并没有什么用,所以清理掉 authenticationCache 依然可以获取到用户的信息。
而当用户信息进行修改后,如果你再使用 SecurityUtils.getSubject().getPrincipal();来获取缓存中的用户信息 ,就会产生脏读,数据是之前的老数据,而如果要删除的话, 你又不知道该用户的 sessionId 是多少,所以无法清理这个缓存。
选择:
我们先来看一下 SimpleAuthenticationInfo 的第一个参数是 principal ,principal 是什么呢?principal 参数可以是 uuid ,数据库主键,LDAP UUID 或静态 DN 或者是用户唯一的用户名。 所以说这个值必须唯一,你可以选择邮箱,或者手机号,身份证号等等。所以,我建议使用 userName ,而不是选择 User 实体,对于用户的信息缓存,单独在 redis 中进行缓存,不要跟 shiro 的掺和到一起。
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
