Shiro 中角色权限更新的正确姿势

——从“重新登录”到“权限自然生效”的工程化实践

在使用Apache Shiro的系统中，几乎所有团队都会遇到同一个问题：

后台修改了角色权限，为什么用户的权限没有立刻生效？

更糟糕的是，很多系统的解决方案是：

• 提示用户重新登录

• 或强制踢下线

• 或直接clearAllCachedAuthorizationInfo()

这些做法在小系统里“能用”，但在中大型系统、SaaS 系统、多租户系统中，都会逐渐演变成架构负担。

本文将系统性地讲清楚：

• Shiro 权限为什么不会自动更新

• 正确、可控的权限重新加载方式

• 如何与“事件驱动失效”结合，做到不踢人、低成本、可扩展

一、先搞清楚：Shiro 的权限模型到底是什么

1. Shiro 中的“权限”指的是什么

在 Shiro 语义里，AuthorizationInfo只包含两类信息：

• 角色（Roles）

• 功能权限（String Permissions）

例如：

角色：admin 权限：order:view、order:edit

注意：

• Shiro 并不关心“能看哪些数据”

• 也不关心“哪些字段可见”

这些都不属于 Shiro 的职责范围。

2. 为什么权限更新后不生效

Shiro 的授权流程是：

1. 第一次进行权限校验

2. 调用doGetAuthorizationInfo

3. 返回AuthorizationInfo

4. 结果被缓存

5. 后续不再访问数据库

因此：

• 你更新了数据库

• 但 Shiro 仍然使用缓存中的旧权限

这是设计行为，不是 Bug。

二、核心结论：Shiro 权限更新 = 清缓存

一句话总结：

Shiro 不支持“热更新权限”，
它只支持“清掉旧的授权缓存，然后重新加载”。

因此，唯一正确的方向是：显式清理授权缓存。

三、标准做法：清理指定用户的授权缓存（推荐）

1. 在 Realm 中暴露清缓存能力

public class UserRealm extends AuthorizingRealm { public void clearAuthorizationCacheByUserId(Long userId) { SimplePrincipalCollection principals = new SimplePrincipalCollection(userId, getName()); super.clearCachedAuthorizationInfo(principals); } }

关键点：

• userId必须和登录时放入的principal完全一致

• Realm 名称必须正确

2. 角色权限变更后调用

userRealm.clearAuthorizationCacheByUserId(userId);

效果：

• 不需要用户重新登录

• 下一次权限校验时，Shiro 会重新加载权限

• 权限立即生效

四、角色权限更新，通常影响的是“一批用户”

现实中，角色权限修改往往是：

• 给“财务角色”加一个权限

• 给“管理员角色”去掉一个权限

这意味着：

需要让“所有拥有该角色的用户”权限失效

推荐实现方式

List<Long> userIds = userService.findUserIdsByRole(roleId); for (Long userId : userIds) { userRealm.clearAuthorizationCacheByUserId(userId); }

工程建议

• 用户量较大时，异步执行

• 不阻塞后台管理操作

• 不要一次性清全量缓存

五、为什么不推荐clearAllCachedAuthorizationInfo()

realm.clearAllCachedAuthorizationInfo();

这个方法看似方便，但在生产环境中问题很大：

1. 所有用户权限同时失效

2. 高并发下会产生权限重算抖动

3. 首次访问敏感接口时可能形成瞬时压力

结论只有一句话：

这是调试手段，不是架构方案。

六、与“事件驱动失效”结合（中大型系统必选）

当系统具备以下特征时：

• 多实例部署

• SaaS / 多租户

• 权限中心化管理

强烈建议使用事件驱动。

1. 权限变更时发布事件

publishEvent(new RolePermissionChangedEvent(roleId));

2. 事件监听器中统一处理

@EventListener public void onRolePermissionChanged(RolePermissionChangedEvent event) { List<Long> userIds = userService.findUserIdsByRole(event.getRoleId()); userIds.forEach(userRealm::clearAuthorizationCacheByUserId); // 如果有数据权限 / 字段权限 // 同时清理你自己的权限缓存 }

这样做的好处是：

• 权限变更逻辑集中

• 与业务解耦

• 支持后续 MQ、分布式扩展

七、一个必须强调的边界问题

❗ Shiro 只管“功能权限”，不管“数据权限”

正确分工：

如果把数据权限塞进 Shiro：

• 权限字符串爆炸

• 缓存失效不可控

• 后台改一次，系统大面积抖动

八、最小可落地方案总结

如果你现在要“立刻改对”：

1. Realm 中只返回角色 + 功能权限

2. 权限变更后，清对应用户的授权缓存

3. 不强制用户重新登录

4. 不全量清缓存

5. 数据权限自己单独做失效机制

这已经是生产级方案。

九、一句话总结（给团队统一认知用）

Shiro 的权限更新不是“重新加载”，
而是“让旧的授权信息失效”。

清谁、什么时候清、清到什么粒度，
决定了你的权限系统是否可维护。