开源商城技术探索：多商户环境下的权限管理与Shiro应用

一、多商户权限模型的技术架构：从 “单商户” 到 “多租户” 的扩展

1. 四层级权限模型的技术设计

• 用户层：分 “平台用户” 和 “商户用户”，用户表用 “merchant_id” 字段标清楚归属 —— 平台用户的 merchant_id 是 0，商户用户就关联具体的商户 ID；
• 角色层：每个商户都有自己独立的角色池，比如商户 A 的 “运营角色” 和商户 B 的 “运营角色”，权限各是各的，这样就不会因为角色复用把权限泄露出去；
• 权限层：把权限分成三类 ——“平台全局权限”（像商户审核这种）、“商户专属权限”（比如管理自家商品）、“跨商户权限”（比如搞联合营销），用权限编码规则（比如 “platform:merchant:audit”“merchant:1001:goods:add”）来区分范围；
• 资源层：API 接口、页面元素、数据字段都算 “受保护资源”，每个资源都有唯一的权限标识，形成 “资源 - 权限” 的对应关系。

2. Shiro 与多商户模型的适配改造

• 自定义 Realm：重写 Shiro 的 AuthorizingRealm，认证的时候（doGetAuthenticationInfo）从用户名里解析出商户 ID，授权的时候（doGetAuthorizationInfo）只加载这个商户下的角色和权限；
• 权限编码解析器：开发了 “商户权限过滤器”，解析权限标识里的商户 ID（比如 “merchant:1001:goods:add” 里的 “1001”），跟当前登录用户的商户 ID 比一比，不一样就不让访问；
• ThreadLocal 存储上下文：把当前商户 ID 存到 ThreadLocal 里，数据访问层（DAO）会自动拼上 “merchant_id = ?” 的查询条件，实现 “不用手动传参也能隔离数据”。

二、Shiro 在多商户认证中的技术实现

1. 多端统一的认证流程设计

• 认证入口标准化：所有端的登录请求都走 “/api/auth/login” 接口，传 “用户名 / 手机号 + 密码 / 验证码 + 端标识” 这些参数；
• 凭证匹配器扩展：针对不同登录方式（密码登录、验证码登录、第三方授权），自己定义 Shiro 的 CredentialsMatcher，比如验证码登录时，就去校验 Redis 里的验证码对不对，不是验密码哈希；
• 身份信息增强：认证通过后，在 Shiro 的 Subject 里存 “用户 ID + 商户 ID + 角色集合 + 数据权限范围” 这些完整信息，给后面的授权打基础。

2. 商户身份的安全绑定机制

• 登录时强制校验：商户用户登录，系统会查他账号所属商户的状态（比如有没有审核通过、有没有被冻结），状态不对就不让登录；
• 会话中身份固化：认证通过后，把商户 ID 写到 Shiro 会话（Session）里，还设成 “不能改”，防止有人改会话突破商户边界。

三、多商户授权的动态管控：Shiro 的权限拦截与动态调整

1. 基于 URL 的精细化权限拦截

• URL 规则设计：API 路径里包含商户标识（比如 “/api/merchant/\{merchantId\}/goods”），Shiro 拦截器从路径变量里取出商户 ID，跟当前会话的商户 ID 比，不一样就拦下来；
• 权限标识映射：每个 API 接口对应一个唯一的权限标识（比如 “GET /api/merchant/\{id\}/orders → merchant:orders:view”），拦截器会自动把 “HTTP 方法 + 路径” 转成权限标识；
• 动态过滤器链：“URL - 权限” 的映射关系存在数据库里，系统启动时加载到内存，能通过后台配置实时更新过滤规则，不用重启服务。

2. 权限缓存的分层设计

• 本地缓存：应用内存里缓存当前会话用户的权限集合，10 分钟有效期，适合像查询商品列表这种高频操作；
• 分布式缓存：Redis 里存所有用户的权限集合，键的格式是 “shiro:perms:\{userId\}:\{merchantId\}”，支持集群环境共享权限；
• 数据库持久化：权限最终还是存在数据库里，缓存过期或者权限调整了，就从数据库里加载更新缓存。

3. 权限动态调整的技术实现

• 缓存即时清理：改了权限后，马上删掉这个用户在 Redis 和本地的权限缓存，下次校验时自动加载新权限；
• 会话权限刷新：通过 WebSocket 给在线用户发 “权限更新通知”，前端收到后重新拿权限列表，避免页面操作和实际权限对不上；
• 未完成操作兼容：正在进行的操作（比如编辑商品）不受权限调整影响，操作完了再用新权限，保证业务能继续走。

四、Shiro 会话管理在多商户场景的扩展应用

1. 商户维度的会话隔离与统计

• 会话存储扩展：自己定义 SessionDAO，存会话的时候记上 “merchantId”，能实现 “按商户查会话”“批量踢掉某商户所有在线用户” 这些功能；
• 会话统计分析：用定时任务扫会话数据，生成 “各商户在线用户数”“平均会话时长” 这些指标，给平台资源调度当参考。

2. 基于商户等级的会话资源管控

• 会话数量限制：给不同等级的商户设在线用户上限（比如 Lv1 商户 50 人，Lv5 商户 500 人），用 Shiro 的 SessionListener 盯着，超了就不让新用户登录；
• 会话超时差异化：普通商户会话 30 分钟超时，VIP 商户延长到 2 小时，减少频繁登录对用户体验的影响。

五、技术挑战与解决方案：多商户权限管理的实战经验

1. 权限冲突的检测与解决

• 权限优先级定义：给权限设优先级（比如 “拒绝权限” 比 “允许权限” 高，“平台权限” 比 “商户权限” 高），冲突了就按优先级来；
• 冲突检测工具：开发权限诊断页面，展示用户 “角色 - 权限” 的继承关系，标冲突的权限，还给解决建议。

2. 高并发下的权限性能优化

• 权限校验异步化：非核心操作（比如查商品浏览记录）的权限校验改成异步，不卡主流程；
• 热点权限预加载：提前把高频访问的权限（比如查商品列表）加载到本地缓存，少访问分布式缓存；
• 权限计算本地化：把复杂的权限逻辑（比如过滤数据范围）通过规则引擎编成本地代码执行，不用多次查数据库。

六、技术价值与应用扩展

• 可扩展性：靠 “商户维度隔离” 设计，商户数量从 10 个涨到 10000 个都能平滑扩展，不用重构权限体系；
• 可维护性：权限配置全是可视化的，平台管理员在后台就能完成 90% 的权限调整，不用麻烦技术人员；
• 安全性：经过 3 轮渗透测试，没发现权限越界、身份伪造这些高危漏洞，能达到支付级安全标准。