Apache Shiro的用户授权isPermitted过程,导致jeesite授权失败

在使用jeesite快速开发平台时，出现权限授权失败。

开发项目中有个用户模块，取包名 user 模块。通过自动生成代码后，controller层自动添加了如下权限

   @RequiresPermissions("user:bjUser:view")
   @RequestMapping(value = {"list", ""})
   public String list(BjUser bjUser, HttpServletRequest request, HttpServletResponse response, Model model) {
      Map<String, Object> paramMap = new HashMap<String, Object>();
      return "pda/user/bjUserList";
   }

 在配置好菜单后，只给了 user:bjUser:view 的权限。但是发现还展示了 user:bjUser:edit 的权限。

经过查找原因如下：

看下面 jeesite 的这段代码 

package com.thinkgem.jeesite.modules.sys.security;

/**
	 * 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		Principal principal = (Principal) getAvailablePrincipal(principals);
		// 获取当前已登录的用户
		if (!Global.TRUE.equals(Global.getConfig("user.multiAccountLogin"))){
			Collection<Session> sessions = getSystemService().getSessionDao().getActiveSessions(true, principal, UserUtils.getSession());
			if (sessions.size() > 0){
				// 如果是登录进来的，则踢出已在线用户
				if (UserUtils.getSubject().isAuthenticated()){
					for (Session session : sessions){
						getSystemService().getSessionDao().delete(session);
					}
				}
				// 记住我进来的，并且当前用户已登录，则退出当前用户提示信息。
				else{
					UserUtils.getSubject().logout();
					throw new AuthenticationException("msg:账号已在其它地方登录，请重新登录。");
				}
			}
		}
		User user = getSystemService().getUserByLoginName(principal.getLoginName());
		if (user != null) {
			SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
			List<Menu> list = UserUtils.getMenuList();
			for (Menu menu : list){
				if (StringUtils.isNotBlank(menu.getPermission())){
					// 添加基于Permission的权限信息
					for (String permission : StringUtils.split(menu.getPermission(),",")){
						info.addStringPermission(permission);
					}
				}
			}
			// 添加用户权限
			info.addStringPermission("user");
			// 添加用户角色信息
			for (Role role : user.getRoleList()){
				info.addRole(role.getEnname());
			}
			// 更新登录IP和时间
			getSystemService().updateUserLoginInfo(user);
			// 记录登录日志
			LogUtils.saveLog(Servlets.getRequest(), "系统登录");
			return info;
		} else {
			return null;
		}
	}

当用户在登录的时候，会去数据库查询你所有的权限进行缓存，但是他自动给你添加了一个 info.addStringPermission("user") 权限。这导致在进行 user:bjUser:edit权限校验的时候，会判定用户具有 user:bjUser:edit权限。

验证权限 无非就是调用的是  

SecurityUtils.getSubject().isPermitted(permission)进行验证权限

我们通过源码可知

WildcardPermission.implies(Permission p)方法。

 public boolean implies(Permission p) {
        // By default only supports comparisons with other WildcardPermissions
        if (!(p instanceof WildcardPermission)) {
            return false;
        }
 
        WildcardPermission wp = (WildcardPermission) p;
 
        List<Set<String>> otherParts = wp.getParts();
 
        int i = 0;
        for (Set<String> otherPart : otherParts) {
            // If this permission has less parts than the other permission, everything after the number of parts contained
            // in this permission is automatically implied, so return true
            if (getParts().size() - 1 < i) {
                return true;
            } else {
                Set<String> part = getParts().get(i);
                if (!part.contains(WILDCARD_TOKEN) && !part.containsAll(otherPart)) {
                    return false;
                }
                i++;
            }
        }
 
        // If this permission has more parts than the other parts, only imply it if all of the other parts are wildcards
        for (; i < getParts().size(); i++) {
            Set<String> part = getParts().get(i);
            if (!part.contains(WILDCARD_TOKEN)) {
                return false;
            }
        }
 
        return true;
    }

在该方法中，shiro将已有的权限变成[user],需要判断的权限变成[user]:[bjUser]:[edit]这是一个set
然后在第一个for中对每个部分进行判断，而问题就在于它判断第一部分([user])成功后，发现已有权限的长度小于待判断权限的长度，然后就默认你后面的权限全有，直接返回true

所以导致我们只给了菜单的查看权限，却还能进行编辑。