shiro 如何对非url内容授权

最新推荐文章于 2021-02-07 15:07:36 发布

zn0315

最新推荐文章于 2021-02-07 15:07:36 发布

阅读量664

点赞数

文章标签： filter shiro 授权

本文链接：https://blog.csdn.net/zn0315/article/details/50662572

版权

问题描述

应用系统是基于jackrabbit，使用shiro来做授权与认证。在建模时，很多文件操作都建立在 xxx/documents/xxx下。这些文件根据类型对不同角色有不同访问权限，但在url中无法区分。

分析

shiro filter 如下图:
部分相关类]

HttpMethodPermissionFilter类的方法

public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
    String[] perms = (String[]) mappedValue;
    // append the http action to the end of the permissions and then back to super
    String action = getHttpMethodAction(request);
    String[] resolvedPerms = buildPermissions(perms, action);
    return super.isAccessAllowed(request, response, resolvedPerms);
}

这个函数从shiro.ini中取出permission,并将http method(GET,POST…)翻译成action(read,create…),然后判断是否有权限操作。

方案

可以用建立一个HttpMethodPermissionFilter的子类，将fileType取出来，动态构造Permission,之后可以用jdbcRealm来认证。

public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
    String[] perms = (String[]) mappedValue;
    // append the http action to the end of the permissions and then back to super
    String action = getHttpMethodAction(request);
    String fileType = getFileType(request);
    String[] resolvedPerms = buildPermissionsByFileType(perms, action,fileType);
    return super.isAccessAllowed(request, response, resolvedPerms);
}