2

我正在使用 Apache Shiro 进行一些测试,只是为了学习,但我遇到了权限问题。isPermitted() 方法不起作用,我的意思是,它总是返回 false。

shiro.ini

[main]

sha256Matcher = org.apache.shiro.authc.credential.HashedCredentialsMatcher
sha256Matcher.hashAlgorithmName=SHA-256


authc.loginUrl = /faces/views/login.xhtml
authc.successUrl = /faces/views/index.xhtml

builtInCacheManager = org.apache.shiro.cache.MemoryConstrainedCacheManager
securityManager.cacheManager = $builtInCacheManager

jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
jdbcRealm.permissionsLookupEnabled = true 
jdbcRealm.authenticationQuery = select senha from VUsuarioPerfil where usuario = ?
jdbcRealm.userRolesQuery = select perfil from VUsuarioPerfil where usuario = ?
jdbcRealm.permissionsQuery = select permissoes from VUsuarioPerfil where usuario = ?

jdbcRealm.credentialsMatcher = $sha256Matcher

ds = com.microsoft.sqlserver.jdbc.SQLServerConnectionPoolDataSource
ds.serverName = 192.168.50.254
ds.user = xx
ds.password = xxx
ds.databaseName = shiro
jdbcRealm.dataSource = $ds

每个用户都应该拥有自己的权限,因此在视图(VUsuarioPerfil)上有一个名为 permissoes 的列,我在其中放置了一个字符串,例如“clientes:visualizar”。在代码上我以这种方式测试

public void test() {
    System.out.println(SecurityUtils.getSubject().hasRole("usuario"));
    System.out.println(SecurityUtils.getSubject().isPermitted("clientes:visualizar"));
}

结果是输出:

true
false

我现在不明白为什么只是权限没有被数据库捕获。

4

2 回答 2

4

在 JDBC 领域中,权限查询不应该映射用户->角色,它应该映射角色->权限。

所以本质上,被调用的查询是:

select permissoes from VUsuarioPerfil where usuario = usuario

而且,正如您所料,它什么也不返回。因此角色没有权限,用户也没有权限。

也许考虑默认权限查询会帮助您考虑如何将查询映射到您的数据结构?

select permission from roles_permissions where role_name = ?
于 2012-09-26T16:58:48.843 回答
0

检查您的财产:

select permissoes from VUsuarioPerfil

您需要更正权限

于 2012-09-26T12:53:57.197 回答