用Redis来搞Shiro权限管理，感觉效率和灵活性都挺不错的方案分享

最近在研究怎么把Shiro的权限管理做得更高效、更灵活一点，大家都知道，Shiro自己默认是用EhCache或者直接存在Session里来管理权限数据的，比如用户角色、权限字符串这些，项目小的时候没啥感觉，但用户一多，尤其是涉及到集群部署的时候，原来的方式就有点力不从心了，比如Session共享问题,缓存清理不及时导致权限变了不能马上生效等等。

后来就想到了用Redis来替代Shiro默认的缓存和Session存储，试了一下，感觉效果确实挺不错的,主要好处体现在效率和灵活性这两个方面。

先说效率为啥提升了。

（来源：基于Redis的Shiro缓存和Session管理实践） 最直接的感觉就是“快”，Redis是内存数据库，数据都存在内存里，读写速度比访问硬盘或者从应用服务器自己的内存里反复序列化反序列化要快得多，Shiro在检查权限的时候，需要频繁地查找用户的角色和权限信息，如果用传统的EhCache，每次请求都要在JVM堆内存里查一遍，虽然也快，但内存占用大了对GC有压力，而Redis是独立进程，把这块内存压力分离出去了,应用服务器本身更轻量。

更重要的是，用Redis做集中式缓存，特别适合集群环境。（来源：分布式系统下Shiro的会话管理）以前用默认的Session管理，用户第一次访问被负载均衡到A服务器登录了，Session存在A服务器上，下次请求万一被转到B服务器，B服务器上找不到这个Session，用户就得重新登录，体验非常差，把Session存到Redis里，所有服务器都从一个地方读Session，用户在哪台机器上登录的就没关系了，实现了真正的无缝切换,解决了集群环境下的大难题。

再来说灵活性，这个感觉更明显。

（来源：利用Redis特性增强Shiro功能） 第一个灵活性是权限实时生效，以前修改了某个用户的权限，或者给用户换了角色，得要等用户Session过期，或者手动清空缓存，新权限才能生效，这在实际运营中很麻烦，比如用户投诉没权限，管理员后台给他加上了，还得告诉他“你退出重新登录一下”，体验不好，用Redis后，我们可以在后台修改权限时，直接通过代码把Redis里对应用户的权限缓存删掉，下次这个用户再访问系统时，Shiro发现缓存里没有他的权限信息，就会自动去数据库重新查一遍，加载的就是最新的权限，这样就可以实现“秒级”的权限生效,非常灵活。

第二个灵活性是精细控制Session生命周期，Redis可以给每个键值对设置过期时间，我们存Session的时候可以精确设置失效时间，还可以利用Redis的过期键通知功能，当Session过期时，我们能收到一个事件回调，这样就能做一些事情，比如记录用户在线时长，或者在Session过期时执行一些清理逻辑,比Tomcat这类容器自带的Session管理要灵活得多。

第三个灵活性是能利用Redis的其他数据结构，我们想统计在线用户数，或者查看当前有哪些用户活跃，用Redis的Set（集合）或者ZSet（有序集合）数据结构就能轻松实现，用户登录时，把他的用户ID放到一个叫"online:users"的Set里；退出时移除，这样统计在线人数就是一条命令的事，非常方便,这种扩展功能是默认的Session管理器很难提供的。

用Redis也不是说一点麻烦没有。（来源：引入Redis可能带来的考量）主要是引入了外部依赖，Redis万一挂了，会影响整个系统的登录和权限验证，所以得保证Redis本身的高可用，比如做主从复制、哨兵模式或者集群部署，网络延迟也会有一点点影响，毕竟多了一次网络IO，但相对于它带来的好处,这点损耗在内部网络环境下基本可以忽略不计。

把Shiro的缓存和Session存储放到Redis上，是一个投入不大但回报很高的改进，它既解决了分布式环境下的Session共享这个硬伤，又通过集中式缓存提升了性能，还借助Redis强大的特性和数据结构，给了我们在权限管理和会话控制上更大的灵活性和想象空间，如果你的项目正在走向分布式，或者对权限实时性要求比较高,这个方案真的值得一试。