security - 如何使用 Apache Shiro 处理分层角色/权限?

标签 security vaadin shiro rbac

我正在尝试使用 Apache Shiro 框架来保护我的 Web 应用程序(UI 基于 Vaadin 6)。浏览了 Shiro 网站上的所有示例,并在谷歌上搜索了几个小时,但我找不到一种干净的方法来处理以下要求。

假设应用程序是一种项目管理工具,用户在其中创建事件,属于公司层次结构中的特定部门。每个用户可能在多个部门工作并且在每个部门中具有不同的安全角色。例子:

部门 A - 用户在这里是“经理”
乙部
部门 C - 用户在这里是“管理员”
D部门

用户是 A 部门的“经理”
用户是 C 部门的“管理员”
用户还应继承 D 部门(C 部门的祖先)的“管理员”角色。

因此,基本权限检查(假设我想查看属于某个部门的事件)将是:

  • 检查事件用户是否尝试查看属于部门用户的角色;
  • 检查用户是否具有基于其角色所需的权限 在本部门 .

    • 我目前不仅理解如何实现“系统范围的角色”,而且还理解“在这个特定部门中的角色”概念。

    如何将上面的示例转换为像“activity:view:123”这样的权限字符串?我将如何检查我的业务逻辑中的权限?

    还有一个疑问是使用 Shiro 实现,我想使用一些开箱即用的解决方案,将提供我自己的实现的努力最小化。然而,Shiro 的内置实现似乎只是为简单的情况设计的。是否有任何复杂授权实现的示例(可以涵盖上述情况)?

    最佳答案

    只是想描述一下我对这个问题的解决方案,这可能对某人有用。我觉得这可能不是最佳的,所以仍然愿意接受任何关于更清洁实现的建议。

    假设我需要确保以下操作:

  • 事件:编辑
  • 事件:查看

    • 而且我还需要确保权限不是系统范围的,而是取决于我在特定部门中的角色。我所做的是为我的领域中的用户明确添加“部门相关”权限。示例(请参阅帖子中的层次结构):
  • DEP_A:activity:view
  • DEP_C:activity:view
  • DEP_C:事件:编辑

    • 每次我想检查是否允许针对某些事件采取行动时,我都会创建一个要检查的权限列表。例子:

    事件 A 属于 D 部门,我想“查看”它。检查权限为:
  • DEP_D:事件:查看
  • DEP_C:activity:view
  • DEP_B:事件:查看

    • 如果我是 C 部门的管理员,我将拥有“DEP_C:activity:view”权限,因此
    检查将通过。这允许在公司结构层次结构中实现权限继承。

    这是我的服务类中负责权限检查的代码片段:
       @Override
   public void checkIfOperationPermitted( SecurityOperation operation, 
      Object object )
   {
      final Subject currentUser = SecurityUtils.getSubject();

      if(currentUser.isPermitted(
         SecurityOperation.SYSTEM_ADMIN.getPermissionString()) ||
         currentUser.hasRole( "admin" ))
      {
         // no need to check anything else,
         // admin is system wide role.
         return;
      }

      if(object instanceof Activity)
      {
         // Activity permissions fully depends on organization and
         // product hierarchies. PermissionResolver is just a class
         // which generates list of permission strings based on 
         // department activity is belonging to.
         Activity a = (Activity) object;
         List<String> permissionsToCheck = 
            permissionResolver.resolveHierarchicalPermissions(operation, a);
         boolean permitted = false;
         for(String permission: permissionsToCheck)
         {
            if(currentUser.isPermitted( permission ))
            {
               permitted = true;
               break;
            }
         }
         if(!permitted)
         {
            throw new UnauthorizedException( "Access denied" );
         }
      }
      else
      {
         // Check for system wide permissions
         currentUser.checkPermission( operation.getPermissionString() );
      }
   }

    我正在考虑的另一种方法是为我的领域中的用户添加所有此类权限,但拒绝了这一点,因为公司层次结构通常可以包含 N 层 - 这大大增加了特定用户(内存使用)的权限列表中的重复。

    关于security - 如何使用 Apache Shiro 处理分层角色/权限?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17405804/

    上一篇:.net - 不同项目中同一个dll的两个版本

    下一篇:email - 我可以使用 Lotus Notes 发送邮件吗?

    相关文章:

    java - 如何在 vaadin 中格式化表值?

    java - Shiro JdbcRealm 授权的表架构?

    php - 以位为单位保护随机十六进制大小以防止暴力破解

    java - 将敏感数据从 C 传递到 Java

    java - Vaadin 表一直显示滚动条

    java - 用于 Vaadin/Apache Cayenne 应用程序的 Tomcat 部署的 "velocity.log"的位置在哪里?

    Java (maven) 将 SSL 与 Shiro 结合使用 - Tomcat 7 的 https 端口插件无法正常工作

    java - Shiro 使用 spring 给出 "Shiro INI configuration was either not found or discovered to be empty/unconfigured."

    amazon-web-services - 在我的 EC2 实例上安装 SSM 代理,以便在没有 SSH 或 key 对的情况下安装 Inspector 代理

    java - 如何使用 JAAS 进行组件特定的访问控制/授权?

    ©2024 IT工具网  联系我们