사용자가 user:edit:1 권한을 가지고 있으며 주석 구동을 사용하는 경우 @RequiresPermissions("user:edit") shiro가 예외를 throw하는 이유는 무엇입니까? 그 허락은 그들이 user:edit:1을 가지고 있다는 사실에 의해 함축되어서는 안됩니까? 만약 내가 @RequriesPermissions("user:edit:1") 넣으면 다음 잘 작동하지만 작업의 컨텍스트에서 나는 나중에 무엇을 알 수 없습니다 그래서 나중에 메서드에서 확인할 수 있지만 모든 방법으로 들어가는 것을 피하고 싶습니다. 허가는 user:edit입니다.Apache shiro 묵시적 사용 권한
"user:edit"은 "user:edit:1"을 의미하지만 그 반대의 의미는 아닙니다. @RequiresPermissions("user:edit")을 계속 사용하고 "1"을 확인할 수 있습니다. 와일드 카드 @RequiresPermissions("user:edit:*")도 사용할 수 있습니다. 정확히 동일하지만 분명합니다. 나는 생각하지 않는다
는 ascandrolis의 대답은 시로 문서 상태 때문에, 올바른 :
그래서그러나 훨씬 덜 이상적인 런타임 검사에 대한 다음과 같습니다
if (SecurityUtils.getSubject().isPermitted("printer:print")) {//print the document}왜? 두 번째 예제에서는 "다음 코드 블록을 실행하려면 모든 프린터로 인쇄 할 수 있어야합니다"라는 메시지가 표시되기 때문입니다. 그러나 "printer : print"는 "printer : print : *"와 같습니다.
@RequiresPermissions("user:edit:*")가 주체가 모든 사용자가 편집 할 수 있어야
@RequiresPermissions("user:edit") 즉, 동일한 것을 의미한다.
질문과 대답 및 설명서를 다시 읽고주의 깊게 읽고 사용자가 "가지고있는 것", "필요한 것"및 개발자가 미리 알고있는 정보에 유의하십시오. – ascandroli
미안해, 내 대답이 분명하지 않은 것처럼 느껴진다면. 내가 말하고자하는 것은 "user : edit"와 "user : edit : *"라는 두 가지 권한은 100 % 동등하므로 후자를 사용하기위한 제안은 보안 예외를받는 운영자의 문제를 해결하지 못한다는 것입니다. 그냥 (나처럼) 직접 해보십시오. – martin
대안은 [this]와 유사 할 수 있습니다 (http://blog.42.nl/articles/spring-security-accessing-spring-beans-from-your-security-annotations) : 사용자 정의에서 시로 체크하기 bean을 호출하고 주석을 통해 호출하거나 어쩌면 더 좋을 수도 있습니다. 사용자 지정 [WebSecurityExpressionRoot] (http://static.springsource.org/spring-security/site/docs/3.1.x/apidocs/org/springframework/security/)을 사용하여 web/access/expression/WebSecurityExpressionRoot.html)을 사용하면 http-request에 액세스 할 수 있으므로 클라이언트가 제공 한 ID를 얻을 수 있습니다. – martin