gpt4 book ai didi

spring - 我可以在 Apache Shiro 安全注释中使用表达式吗?

转载 作者:IT老高 更新时间:2023-10-28 13:44:06 24 4
gpt4 key购买 nike

我一直在对 Apache Shiro 和 Spring Security 进行一些比较 - 我真的很喜欢 Shiro 使用的安全模型,并且相信它比 Spring Security 干净得多。

然而,一大优点是能够从方法级安全注释中引用方法参数。例如,现在我可以这样:

@RequiresPermissions("account:send:*")
public void sendEmail( EmailAccount account, String to, String subject, String message) { ... }

在本示例的上下文中,这意味着经过身份验证的用户必须具有在电子邮件帐户上发送电子邮件的权限。

但是,这还不够细粒度,因为我需要实例级别的权限!在这种情况下,假设用户可以对电子邮件帐户的实例拥有权限。所以,我想把前面的代码写成这样:

@RequiresPermissions("account:send:${account.id}")
public void sendEmail( EmailAccount account, String to, String subject, String message) { ... }

通过这种方式,权限字符串引用传递给方法的参数,以便可以保护该方法不受特定 EmailAccount 实例的影响。

我知道我可以通过方法中的普通 Java 代码轻松地做到这一点,但是使用注释来实现同样的事情会很棒 - 我知道 Spring Security 在其注释中支持 Spring EL 表达式。

这绝对不是 Shiro 的功能,因此我必须编写自己的自定义注释吗?

谢谢,

安德鲁

最佳答案

查看 http://shiro.apache.org/static/current/apidocs/org/apache/shiro/authz/aop/package-summary.html 中的类,尤其是 PermissionAnnotationHandler。在那里您可以看到,Shiro 在遇到 @RequiresPermissions 注释时所做的所有事情都是调用 getSubject().isPermitted(permission) 并且根本没有在注释值内进行替换。如果您想要这种功能,则必须以某种方式覆盖该处理程序。

所以回答你的问题:是的,这绝对不是 Shiro 的特性,你必须编写自己的注释或以某种方式覆盖该处理程序。

关于spring - 我可以在 Apache Shiro 安全注释中使用表达式吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6842616/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com