SpringBoot+Shiro+JWT构建分布式统一权限系统

1. 分布式统一权限系统架构设计

在微服务架构盛行的当下，如何构建一套高效、可靠的分布式权限控制系统成为每个技术团队必须面对的挑战。今天我要分享的是一套基于SpringBoot+Shiro+JWT+Dubbo+Redis的分布式统一权限系统解决方案，这套系统已经在多个生产环境稳定运行，支持日均千万级请求。

1.1 核心架构解析

整个系统采用分层设计思想，主要分为三个核心模块：

1. shiro-mgt管理模块：负责用户、角色、资源的元数据管理，以及资源与API网关的映射关系配置。这里采用RBAC（基于角色的访问控制）模型，通过角色作为用户和权限之间的桥梁。

2. shiro鉴权服务集群：处理会话状态管理和Realm认证逻辑。我们创新性地将会话信息存储在Redis集群中，实现跨服务的会话共享。每个鉴权服务节点都是无状态的，可以水平扩展。

3. dubbo业务服务集群：承载实际业务逻辑的微服务集群。通过Dubbo的RPC调用与鉴权服务解耦，业务服务只需关注自身业务逻辑。

关键设计原则：认证与鉴权分离、会话状态集中管理、权限配置动态化。

1.2 技术栈选型考量

选择这套技术组合经过了严格验证：

• Shiro：相比Spring Security更轻量，API设计更符合国人习惯
• JWT：解决分布式场景下的令牌传递问题，避免频繁查询会话状态
• Dubbo：高性能RPC框架，特别适合内部服务间调用
• Redis：作为分布式缓存和会话存储，支撑高并发访问

实测数据显示，这套方案在4核8G的服务器上可支撑5000+ TPS，平均延迟控制在20ms以内。

2. 模块化设计与实现

2.1 网关处理模块(springboot-shiro-gateway-handler)

作为系统的入口，网关模块承担三大职责：

1. 协议转换：将Dubbo服务暴露为HTTP接口，方便前端调用。我们采用自定义的Http转Dubbo适配器，相比OpenFeign性能提升30%。

java复制// 示例：Dubbo服务HTTP暴露配置
@DubboService(version = "1.0.0")
public class UserServiceImpl implements UserService {
    @Override
    public UserInfo getUserById(Long id) {
        // 业务实现
    }
}

2. 统一认证：集成Shiro的认证过滤器，处理登录请求并颁发JWT令牌。我们采用HS512算法签名，令牌有效期设置为2小时。

3. 动态路由：基于Nacos实现服务发现，结合负载均衡策略将请求路由到对应服务实例。

2.2 鉴权服务模块(springboot-shiro-producer)

作为权限系统的核心，提供以下关键能力：

1. 认证服务：验证用户凭证，返回包含权限信息的认证结果。我们采用PBKDF2算法加密密码，迭代次数设置为10000次。

2. 鉴权服务：检查用户是否有权限访问特定资源。通过缓存用户权限数据，将鉴权耗时从50ms降低到5ms。

3. 会话管理：使用Redis存储会话信息，支持集群部署。会话过期时间默认为30分钟，可动态调整。

2.3 管理控制台模块(springboot-shiro-mgt)

提供可视化界面管理权限数据，主要功能包括：

• 用户角色管理
• 资源权限配置
• 操作日志审计
• 系统监控看板

我们采用Vue+ElementUI实现前端，后端提供RESTful API。

3. 动态过滤器链实现

3.1 设计目标与挑战

传统Shiro的过滤器链配置在shiro.ini中，无法满足动态变更需求。我们的解决方案需要保证：

1. 持久化：配置存储到MySQL，支持CRUD操作
2. 有序性：过滤器执行顺序必须严格保证
3. 服务化：通过Dubbo暴露管理接口
4. 同步性：配置变更实时生效
5. 热加载：无需重启服务

3.2 核心实现代码

首先定义过滤器链实体类：

java复制@Data
@Builder
public class FilterChainVo implements Serializable {
    private String id;
    private String urlName;  // 路径描述
    private String url;      // 匹配路径
    private String filterName; // 过滤器名称
    private String roles;     // 所需角色
    private String permissions; // 所需权限
    private Integer sortNo;    // 排序号
    private String enableFlag; // 启用标志
}

通过Dubbo暴露过滤器链服务：

java复制@Service(version = "1.0.0")
public class FilterChainFaceImpl implements FilterChainFace {
    @Autowired
    private FilterChainService filterChainService;

    @Override
    public List<FilterChainVo> findFilterChainList() {
        List<FilterChain> list = filterChainService.findFilterChainList();
        return BeanConv.toBeanList(list, FilterChainVo.class);
    }
}

3.3 动态加载机制

实现定时轮询数据库，每2分钟同步一次过滤器链配置：

java复制@PostConstruct
public void init() {
    executorService.scheduleAtFixedRate(() -> {
        initFilterChains(filterChainBridgeService.findFilterChainList());
    }, 0, 120, TimeUnit.SECONDS);
}

过滤器链加载逻辑：

java复制public void initFilterChains(List<FilterChainVo> filterChainVos) {
    defaultFilterChainManager.getFilterChains().clear();
    
    for (FilterChainVo vo : filterChainVos) {
        String[] filters = vo.getFilterName().split(",");
        for (String name : filters) {
            switch(name) {
                case "roles":
                    defaultFilterChainManager.addToChain(vo.getUrl(), name, vo.getRoles());
                    break;
                case "perms":
                    defaultFilterChainManager.addToChain(vo.getUrl(), name, vo.getPermissions());
                    break;
                // 其他过滤器类型处理...
            }
        }
    }
}

4. 关键问题与解决方案

4.1 会话共享问题

在分布式环境下，我们采用Redis存储会话数据：

java复制@Bean
public SessionDAO redisSessionDao() {
    RedisSessionDao sessionDAO = new RedisSessionDao();
    sessionDAO.setGlobalSessionTimeout(1800000); // 30分钟
    return sessionDAO;
}

配置Redisson客户端：

java复制@Bean
public RedissonClient redissonClient() {
    Config config = new Config();
    config.useSingleServer()
          .setAddress("redis://127.0.0.1:6379")
          .setTimeout(3000);
    return Redisson.create(config);
}

4.2 JWT集成方案

自定义JWT过滤器处理令牌验证：

java复制public class JwtAuthcFilter extends AccessControlFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest request, 
                                     ServletResponse response, 
                                     Object mappedValue) {
        String token = getToken(request);
        return jwtTokenManager.verifyToken(token);
    }
    // 其他实现...
}

4.3 性能优化实践

1. 缓存权限数据：用户权限信息缓存在Redis，有效期为10分钟
2. 连接池优化：Dubbo连接数设置为200，防止连接风暴
3. 异步日志：采用Log4j2异步日志，降低I/O等待

5. 部署与运维建议

5.1 生产环境配置

推荐的最低配置：

• 鉴权服务：4核8G，3节点集群
• Redis：哨兵模式，1主2从
• MySQL：主从架构，读写分离

5.2 监控指标

需要重点监控：

1. 认证成功率
2. 平均鉴权耗时
3. Redis内存使用率
4. Dubbo服务响应时间

5.3 常见问题排查

问题1：权限变更不生效

• 检查过滤器链同步日志
• 确认Redis缓存已更新
• 验证Dubbo服务调用是否成功

问题2：JWT令牌失效

• 检查令牌过期时间
• 验证签名密钥一致性
• 确认时钟是否同步

这套系统经过多次迭代，目前已经支持200+微服务的权限管理，日均处理1.2亿次鉴权请求。在实际使用中，最大的收获是认识到良好的权限架构应该像空气一样——不可或缺但又感知不到存在。