如何確定一個shiro用戶擁有哪些權限

Question

我必須處理由apache shiro保護的應用程序。 我對這個框架很陌生。據我所知，我可以通過subject.isPermitted()檢查單個權利，例如，

Subject subject = SecurityUtils.getSubject(); 
[...] 
subject.isPermitted("$RightString"); 

爲了記錄目的，我需要用戶權限的完整列表作爲字符串。我不想重複權利列表並檢查每次，是否subject.isPermitted()是true

是否有任何捷徑來解決這個問題？

編輯：

更多信息：

• 應用是在應用程序上下文一個Spring 4應用

• 境界被定義爲豆

  <bean id="PRODUCTNAMERealm" class="de.PATHFROMPRODUCT_PRODUCTNAMEJdbcRealm"> 
      <property name="dataSource" ref="dataSource"/> 
      <property name="schema" value="${PRODUCTNAME.schema}"/> 
  </bean> 
  

  ，所以我如果需要可以注入它。

Answer 1

我相信沒有開箱即用的方式來做到這一點，我們通過在會話中註冊用戶權限來解決此問題。我們正在使用自定義域實現，我們的權限存儲在數據庫中。

在我們的自定義領域類：

@Override 
public AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { 
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); 
    Set<String> permissionsSet = //logic to get the permissions here 

    info.addStringPermissions(permissionsSet); 

    SecurityUtils.getSubject().getSession().setAttribute("permissions", permissionsSet); 
    return info; 
} 

現在檢索權限，只需要調用的事：

SecurityUtils.getSubject().getSession().getAttribute("permissions"); 

另一種方法是，你需要的信息注入您的自定義的境界和讓bean公開getAuthorizationInfo。

@Override 
public AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) { 
    return super.getAuthorizationInfo(principals); 
} 

.... 

yourRealm.getAuthorizationInfo(SecurityUtils.getSubject().getPrincipals()).getStringPermissions(); 

Answer 2

在我看來，Shiro只與當前用戶的安全，權限等有關，而不是整個用戶羣。您可以使用標準SQL查詢來檢索用戶權限。