我正在尝试使用 Apache Shiro 框架来保护我的 Web 应用程序(UI 基于 Vaadin 6)。浏览了 Shiro 网站上的所有示例,并在谷歌上搜索了几个小时,但我找不到一种干净的方法来处理以下要求。
假设应用程序是一种项目管理工具,用户在其中创建事件,属于公司层次结构中的特定部门。每个用户可能在多个部门工作并且在每个部门中具有不同的安全角色。例子:
部门 A - 用户在这里是“经理”
乙部
部门 C - 用户在这里是“管理员”
D部门
用户是 A 部门的“经理”
用户是 C 部门的“管理员”
用户还应继承 D 部门(C 部门的祖先)的“管理员”角色。
因此,基本权限检查(假设我想查看属于某个部门的事件)将是:
我目前不仅理解如何实现“系统范围的角色”,而且还理解“在这个特定部门中的角色”概念。
如何将上面的示例转换为像“activity:view:123”这样的权限字符串?我将如何检查我的业务逻辑中的权限?
还有一个疑问是使用 Shiro 实现,我想使用一些开箱即用的解决方案,将提供我自己的实现的努力最小化。然而,Shiro 的内置实现似乎只是为简单的情况设计的。是否有任何复杂授权实现的示例(可以涵盖上述情况)?
最佳答案
只是想描述一下我对这个问题的解决方案,这可能对某人有用。我觉得这可能不是最佳的,所以仍然愿意接受任何关于更清洁实现的建议。
假设我需要确保以下操作:
而且我还需要确保权限不是系统范围的,而是取决于我在特定部门中的角色。我所做的是为我的领域中的用户明确添加“部门相关”权限。示例(请参阅帖子中的层次结构):
每次我想检查是否允许针对某些事件采取行动时,我都会创建一个要检查的权限列表。例子:
事件 A 属于 D 部门,我想“查看”它。检查权限为:
如果我是 C 部门的管理员,我将拥有“DEP_C:activity:view”权限,因此
检查将通过。这允许在公司结构层次结构中实现权限继承。
这是我的服务类中负责权限检查的代码片段:
@Override
public void checkIfOperationPermitted( SecurityOperation operation,
Object object )
{
final Subject currentUser = SecurityUtils.getSubject();
if(currentUser.isPermitted(
SecurityOperation.SYSTEM_ADMIN.getPermissionString()) ||
currentUser.hasRole( "admin" ))
{
// no need to check anything else,
// admin is system wide role.
return;
}
if(object instanceof Activity)
{
// Activity permissions fully depends on organization and
// product hierarchies. PermissionResolver is just a class
// which generates list of permission strings based on
// department activity is belonging to.
Activity a = (Activity) object;
List<String> permissionsToCheck =
permissionResolver.resolveHierarchicalPermissions(operation, a);
boolean permitted = false;
for(String permission: permissionsToCheck)
{
if(currentUser.isPermitted( permission ))
{
permitted = true;
break;
}
}
if(!permitted)
{
throw new UnauthorizedException( "Access denied" );
}
}
else
{
// Check for system wide permissions
currentUser.checkPermission( operation.getPermissionString() );
}
}
我正在考虑的另一种方法是为我的领域中的用户添加所有此类权限,但拒绝了这一点,因为公司层次结构通常可以包含 N 层 - 这大大增加了特定用户(内存使用)的权限列表中的重复。
关于security - 如何使用 Apache Shiro 处理分层角色/权限?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17405804/