12

我正在尝试使用 Apache Shiro 框架来保护我的 Web 应用程序(UI 基于 Vaadin 6)。浏览了 Shiro 网站上的所有示例,也搜索了几个小时,但我找不到处理以下要求的干净方法。

假设应用程序是一种项目管理工具,用户在其中创建活动,属于公司层次结构中的特定部门。每个用户可能在多个部门工作,并且在每个部门中具有不同的安全角色。例子:

部门 A - 用户在这里是“经理”
B部
  部门 C - 用户在这里是“管理员”
    D部

用户是部门 A 的“经理” 用户是部门 C 的“管理员” 用户还应该继承部门 D(部门 C 的祖先)的“管理员”角色。

因此,基本权限检查(假设我想查看属于某个部门的活动)将是:

  1. 检查活动用户是否正在尝试查看属于部门用户的角色;
  2. 根据用户在该部门的角色,检查用户是否具有所需的权限。

我目前对如何实施不仅是“系统范围的角色”,而且是“在这个特定部门中的角色”概念的理解。

如何将上面的示例转换为“activity:view:123”之类的权限字符串?我将如何检查我的业务逻辑中的权限?

另一个疑问是使用 Shiro 实现,我想使用一些开箱即用的解决方案,以最小化提供我自己的实现的努力。然而,Shiro 的内置实现似乎只为简单的情况而设计。是否有任何复杂授权实施的示例(可以涵盖上述情况)?

4

1 回答 1

3

只想描述我对这个问题的解决方案,这可能对某人有用。我觉得这可能不是最佳的,所以仍然愿意接受任何关于更清洁实施的建议。

假设我需要确保以下操作:

  • 活动:编辑
  • 活动:查看

而且我还需要确保权限不是系统范围的,而是取决于我在特定部门的角色。我所做的是为我的领域中的用户明确添加了“部门相关”权限。示例(参见帖子中的层次结构):

  • DEP_A:活动:视图
  • DEP_C:活动:视图
  • DEP_C:活动:编辑

每次我想检查是否允许对某些活动采取行动时,我都会创建一个要检查的权限列表。例子:

活动 A 属于 D 部门,我想“查看”它。检查权限为:

  • DEP_D:活动:视图
  • DEP_C:活动:视图
  • DEP_B:活动:视图

如果我是 C 部门的管理员,我将拥有“DEP_C:activity:view”权限,因此检查将通过。这允许在公司结构层次结构中实现权限继承。

这是我的服务类中负责权限检查的代码片段:

   @Override
   public void checkIfOperationPermitted( SecurityOperation operation, 
      Object object )
   {
      final Subject currentUser = SecurityUtils.getSubject();

      if(currentUser.isPermitted(
         SecurityOperation.SYSTEM_ADMIN.getPermissionString()) ||
         currentUser.hasRole( "admin" ))
      {
         // no need to check anything else,
         // admin is system wide role.
         return;
      }

      if(object instanceof Activity)
      {
         // Activity permissions fully depends on organization and
         // product hierarchies. PermissionResolver is just a class
         // which generates list of permission strings based on 
         // department activity is belonging to.
         Activity a = (Activity) object;
         List<String> permissionsToCheck = 
            permissionResolver.resolveHierarchicalPermissions(operation, a);
         boolean permitted = false;
         for(String permission: permissionsToCheck)
         {
            if(currentUser.isPermitted( permission ))
            {
               permitted = true;
               break;
            }
         }
         if(!permitted)
         {
            throw new UnauthorizedException( "Access denied" );
         }
      }
      else
      {
         // Check for system wide permissions
         currentUser.checkPermission( operation.getPermissionString() );
      }
   }

我正在考虑的另一种方法是在我的领域中为用户添加所有此类权限,但拒绝了这个,因为公司层次结构通常可以包含 N 层 - 这大大增加了特定用户权限列表中的重复(内存使用)。

于 2013-07-19T05:28:53.067 回答