Session中的Menus在别的用户登录后被篡改

　　今天，已经上线的项目，客户忽然那边报出一个bug来。
　　
　　bug描述如下：
　　在PC1下以user1登录系统，接着以user2在PC2登录系统，之后user1的部分菜单变成了user2的菜单。

　　当时觉得这个bug很不可思议，因为系统是一个项目组的子项目，是一个web程序，菜单都是在用户登录系统的时候写进session里面的，在不同的PC上登录怎么会相互影响呢？查了很久还没找出原因。

　　后来想起不久前对系统做过一次压力测试，为了提高登录时的效率，对取菜单这部分做过优化。开始时系统的菜单是采用层次的方法划分的，也就是一级菜单、二级菜单，角色的分配是直接指定二级菜单，所以每次在登录取菜单时会直接取出所有的一级菜单，再根据用户的角色取出相应的二级菜单，接着把菜单组织成树型结构放入session中。优化的时候对取一级菜单加上了cache，就是因为加上了这个cache才导至了今天的bug。

　　ibatis配置文件中取一级菜单的代码：

<cacheModel id="module-level-cache" type="LRU" readOnly="true">
    <flushInterval hours="5"/>
    <flushOnExecute statement="insertModule"/>
    <flushOnExecute statement="updateModule"/>
    <flushOnExecute statement="deleteModule"/>
    <property name="size" value="100" />
</cacheModel>

<select id="getModulesByLevel" parameterClass="ParamModuleHolder"
            resultMap="ModuleResult" cacheModel="module-level-cache">
        select * from MODULE 
    <dynamic prepend="where">
        <isNotNull prepend="AND" property="moduleLevel">
            MODULE_LEVEL = #moduleLevel#
        </isNotNull>
    </dynamic>
    <isNotNull property="sortField">
        order by $sortField$
    </isNotNull>
    <isNull property="sortField">
        order by SHOW_SORT
    </isNull>
</select>

　　分析一下，原因是这样的：user1登录系统时，从数据库中取出并组织好菜单，这时，一切正常；但当user2登录系统后，因为一级菜单已经在cache中，这时会直接从jvm中拿一级菜单这个list对象，并把user2的二级菜单放入这个list对象中相应的位置。虽然user1和user2有各自己的session，但是session中的菜单对象都指向了同一个对象，所以user1用户的部分菜单就变成user2的了。

　　把cache拿掉后，一切恢复正常。