【发布时间】:2011-10-14 03:09:09
【问题描述】:
我一直在对 Apache Shiro 和 Spring Security 进行一些比较 - 我真的很喜欢 Shiro 使用的安全模型,并且相信它比 Spring Security 干净得多。
然而,一大优点是能够从方法级安全注释中引用方法参数。例如,现在我可以这样:
@RequiresPermissions("account:send:*")
public void sendEmail( EmailAccount account, String to, String subject, String message) { ... }
在本示例的上下文中,这意味着经过身份验证的用户必须具有在电子邮件帐户上发送电子邮件的权限。
但是,这还不够细粒度,因为我需要实例级别的权限!在这种情况下,假设用户可以拥有电子邮件帐户实例的权限。所以,我想把前面的代码写成这样:
@RequiresPermissions("account:send:${account.id}")
public void sendEmail( EmailAccount account, String to, String subject, String message) { ... }
通过这种方式,权限字符串引用传递给方法的参数,以便可以保护该方法免受特定 EmailAccount 实例的影响。
我知道我可以通过方法中的纯 Java 代码轻松地做到这一点,但是使用注释来实现同样的事情会很棒 - 我知道 Spring Security 在其注释中支持 Spring EL 表达式。
这绝对不是 Shiro 的功能,因此我必须编写自己的自定义注释吗?
谢谢,
安德鲁
【问题讨论】:
-
您是否创建了新功能请求? shiro.apache.org/issues.html
-
多人为此添加了新功能请求。例如:issues.apache.org/jira/browse/SHIRO-331
标签: spring security annotations shiro