我一直在对 Apache Shiro 和 Spring Security 进行一些比较——我真的很喜欢 Shiro 使用的安全模型,并且相信它比 Spring Security 更干净。
然而,一大优点是能够从方法级安全注释中引用方法参数。例如,现在我可以这样:
@RequiresPermissions("account:send:*")
public void sendEmail( EmailAccount account, String to, String subject, String message) { ... }
在此示例的上下文中,这意味着经过身份验证的用户必须有权在电子邮件帐户上发送电子邮件。
但是,这还不够细粒度,因为我需要实例级别的权限!在这种情况下,假设用户可以对电子邮件帐户的实例拥有权限。所以,我想把前面的代码写成这样:
@RequiresPermissions("account:send:${account.id}")
public void sendEmail( EmailAccount account, String to, String subject, String message) { ... }
通过这种方式,权限字符串引用传递给方法的参数,以便可以保护该方法免受特定的 EmailAccount 实例的影响。
我知道我可以从方法中的纯 Java 代码轻松地做到这一点,但是使用注释来实现同样的事情会很棒——我知道 Spring Security 在其注释中支持 Spring EL 表达式。
这绝对不是 Shiro 的功能,因此我必须编写自己的自定义注释吗?
谢谢,
安德鲁