我似乎找不到从我的 JPA 对象加载 [users] AND [urls] 的示例。 我只想将 shiro.ini 用于 [main] 部分。
到目前为止,我实现的源代码是这样的: Unable to @Inject my DAO in a Custom Apache Shiro AuthorizingRealm
有没有从数据库完全加载 [users] (user/pass) AND [urls] (roles, permissions) 的示例?我似乎在任何地方都找不到。我现在正在寻找它 1 周。
【问题讨论】:
经过长时间的研究,我想出的“最佳”解决方案是:
shiro.ini
[main]
jsfFilter = com.test.security.CustomAuthorizationFilter
jsfFilter.loginUrl = /login.jsf
[urls]
/** = jsfFilter
// 您可以在此过滤器中添加过滤 BalusC 描述的 Ajax 请求的方法。 CustomAuthorizationFilter.java
public class CustomAuthorizationFilter extends AuthorizationFilter {
@Override
public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
HttpServletRequest httpRequest = (HttpServletRequest) request;
if (!httpRequest.getRequestURI().startsWith(httpRequest.getContextPath() + ResourceHandler.RESOURCE_IDENTIFIER)) {
Subject subject = SecurityUtils.getSubject();
AuthenticatingSecurityManager authenticatingSecurityManager = ((AuthenticatingSecurityManager) SecurityUtils.getSecurityManager());
PrincipalCollection principals = subject.getPrincipals();
JPARealm jpaRealm = (JPARealm) authenticatingSecurityManager.getRealms().iterator().next();
AuthorizationInfo authorizationInfo = jpaRealm.getAuthorizationInfo(principals);
for (String permission : authorizationInfo.getStringPermissions()) {
if (pathsMatch(permission, request)) {
return true;
}
}
} else {
return true;
}
return false;
}
}
pathsMatch(permission, request) 方法将尝试验证/比较接收到的字符串权限与用户尝试访问的路径。
此过滤器依赖于始终拥有经过身份验证的用户。
如果subject.getPrincipal() 为空,则需要更多编码。
如果有人需要完整的代码,请告诉我。
【讨论】: