Sa-Token框架中SaSession并发写入问题解析与解决方案

2025-05-12 06:04:49作者：平淮齐Percy

问题背景

在使用Sa-Token框架进行会话管理时，开发者可能会遇到一个典型的并发写入问题：当多个操作同时针对同一个loginId的SaSession对象进行set操作时，只有最后一个set方法会生效。这种情况在分布式环境下尤为明显，可能导致权限信息丢失等严重问题。

问题重现与分析

让我们通过一个典型场景来重现这个问题：

// 获取指定id的SaSession
SaSession saSession = StpUtil.getSessionByLoginId(1, true);
StpUtil.getSessionByLoginId(1, true).set("ROLE_LIST", new String[]{"role"});
saSession.set("PERMISSION_LIST", new String[]{"permission"});

在这个例子中，开发者期望同时设置角色列表和权限列表，但实际上只有权限列表会被最终保存。这是因为Sa-Token的SaSession实现机制导致的。

底层机制分析

SaSession的set方法实现如下：

public SaSession set(String key, Object value) {
    dataMap.put(key, value);
    update();
    return this;
}

public void update() {
    SaManager.getSaTokenDao().updateSession(this);
}

每次调用set方法时，都会立即执行update操作将整个SaSession对象更新到持久化存储中。这种设计在单线程环境下工作正常，但在并发场景下会产生竞态条件。

并发问题详解

当多个线程或请求同时操作同一个loginId的SaSession时，会出现以下问题：

线程A和线程B同时获取到原始SaSession对象
线程A修改ROLE_LIST并更新到存储
线程B修改PERMISSION_LIST并更新到存储
最终存储中只有线程B的修改生效，线程A的修改被覆盖

这种问题在分布式系统中尤为常见，可能导致权限信息丢失、用户状态不一致等严重问题。

解决方案

1. 用户层面解决方案

对于应用开发者，可以采用以下方式避免问题：

方案一：保证操作原子性

// 使用同一SaSession对象完成所有操作
SaSession saSession = StpUtil.getSessionByLoginId(1, true);
saSession.set("ROLE_LIST", new String[]{"role"});
saSession.set("PERMISSION_LIST", new String[]{"permission"});

方案二：使用分布式锁

// 获取分布式锁
String lockKey = "session_lock:" + loginId;
try {
    if (分布式锁获取(lockKey)) {
        SaSession saSession = StpUtil.getSessionByLoginId(1, true);
        saSession.set("ROLE_LIST", new String[]{"role"});
        saSession.set("PERMISSION_LIST", new String[]{"permission"});
    }
} finally {
    分布式锁释放(lockKey);
}