先说下为什么写这篇文章，因为实际项目需要，需要对我们现在项目页面小到每个部件都要做权限控制，然后查了下网上常用的权限框架，一个是shrio，一个是spring security，看了下对比，都说shrio比较轻量，比较好用，然后我也就选择了shrio来做整个项目的权限框架，同时结合网上大佬做过的一些spring boot+shrio整合案例，只能说大家图都画的挺好的…，看着大家的功能流程图仔细想想是那么回事，然后自己再实践就走不动了，各种坑都有啊。。。，回归到具体实现真的是步步都是坑。在实践的过程中想了下面几种方案，有些要么是还没开始coding就已经想着走不通了，有些就是代码敲了一半了发现行不通了，在本项目中我也参考了RCBA权限设计模型（图源权限设计方案）。

1、将shrio和网关gateway放在同一个服务中，但是这就带来一个问题，众所周知，shrio的数据中心realm需要用到用户服务当中的数据（查询用户、角色、权限之间的关系及数据），因此这里shrio就需要使用服务发现组件（我这里用的dubbo）去发现用户服务，但是用户服务中的登录又需要用到shrio的认证，到这里可能有人要说了，可以在用户服务中再去远程调用shrio服务啊，如果这种方法可以的话大家就可以用这种方法就不用往下看了…所以这就造成两个服务耦合在一块儿去了，这种方法直接pass掉。 2、在每一个服务中都共享一个shrio配置模块，这种方式同样也有问题，和上面出现的问题类似，现在shrio是个单独的模块，需要用到用户服务，可以使用dubbo远程调用，而用户服务需要将shrio配置模块通过maven导入进来，现在启动用户服务，肯定会报错：在shrio配置模块中没有找到服务的提供者。因此这种方案也可以pass掉了。

相信上面两种方案肯定不止我一个人这么做过，只能说shrio还是适合单体架构啊…当然，也不是说shrio不能做微服务的权限控制，在经过我长达一周的钻研和尝试之后，终于还是发现微服务用shrio怎样做权限设计了，下面说一下我的方案。

结合上面两种行不通的方法，我们取长补短，新的方案如下。

既然用户服务和shrio模块需要分开但是两者又是需要互相依赖，我们可以针对用户服务专门配置一个shrio模块，其他服务共享一个shrio模块。当然这两个shrio模块需要共享session会话

示例项目使用springboot+mysql+mybatis-plus实现，服务发现和注册工具采用dubbo+zookeeper（这里我主要是想学习下这两个组件的用法，大家也可以使用eureka+feign）。

common模块：整个项目的公共模块，common-core就包含了其他微服务需要的一些常量数据、返回值、异常，common-cache模块中包含了所有微服务需要的shrio缓存配置，除了用户服务其他服务需要的授权模块common-auth。 gateway-service服务：网关服务，所有其他服务的入口。 user-api：用户服务定义的数据接口。 user-provider-service：用户服务接口的实现，用户服务的提供者。 user-consumer-service：用户服务的最外层，供nginx访问调用的服务，用户服务的消费者。 video-api：同用户服务api。 video-provider：同用户服务provider。 video-consumer：同用户服务consumer。

先说一下我们为什么需要共享session会话，因为我们的项目是由多个微服务组成，当用户服务接收到用户的登录请求并登录成功时我们给用户返回一个sessionId并保存在用户的浏览器中的cookie里，用户此时再请求用户服务就会携带cookie当中的sessionId而服务器端就可以根据用户携带的sessionId取出保存在服务器的用户信息，但是此时如果用户去请求视频服务就不能取出保存在服务器的用户信息，因为视频服务根本就不知道你是否登录过，所以这就需要我们将登录成功的用户信息进行共享而不仅仅是用户服务才可以访问。

我们在写shrio的相关配置时，都知道需要自定义shrio的安全管理器，也就是重写DefaultWebSecurityManager，我们看一下实例化这个安全管理器类中间有哪些组件会被初始化。 首先是DefaultWebSecurityManager的构造器。

进入DefaultWebSecurityManager的父类DefaultSecurityManager，查看DefaultSecurityManager的构造器。

进入DefaultSecurityManager的父类SessionsSecurityManager，查看SessionsSecurityManager的构造器。

在这个构造器中我们看到了实例化了一个默认的session管理器DefaultSessionManager。我们点进去看看。可以看到DefaultSessionManager中默认的就是使用的是内存来保存session（MemorySessionDAO就是对session进行操作的类）。

根据上面我们的分析，如果要想在各个微服务中共享session就不能把session放在某个微服务所在服务器的内存中，需要把session单独拿出来共享，因此我们就需要写一个自定义的SessionDAO来覆盖默认的MemorySessionDAO，下面来看看怎么实现自定义的SessionDAO。

根据上面sessionDAO关系图我们可以知道，AbstractSessionDAO主要有两个子类，一个是已经实现好的EnterpriseCacheSessionDAO，另一个就是MemorySessionDAO，现在我们需要替换默认的MemorySessionDAO，要么我们继承AbstractSessionDAO实现其中的读写session的方法，要么直接使用它已经给我们实现好的EnterpriseCacheSessionDAO。在这里我选择直接使用EnterpriseCacheSessionDAO类。

不过在上面类的构造方法中我们可以发现它默认是给我们new了一个AbstractCacheManager缓存管理器，并且使用的是ConcurrentHashMap来保存会话session，因此如果我们要用这个EnterpriseCacheSessionDAO类来实现缓存操作，那么我们就需要需要写一个自定义的CacheManager来覆盖它默认的CacheManager。