Apache Shiro решает, какую роль использовать после входа в систему

У меня есть существующий унаследованный проект, созданный с использованием Spring 3 и Apache Shiro для аутентификации и авторизации. Он использует область JDBC.

У нас реализована авторизация с разрешениями, назначенными властям, а полномочия - пользователям.

Сценарий такой:

  • use1: fooRole, barRole

  • fooRole: foo.permission.1, foo.permission.2

  • barRole: bar.permission.1, bar.permission.2

Меня попросили войти в систему с помощью «user1» и после входа выбрать, с какой ролью «user1» хочет работать. Например:

  1. Правильный логин user1
  2. выберите fooRole или barRole
  3. выберите fooRole и теперь работайте с разрешениями "foo.permission.1, foo.permission.2".

Согласно архитектуре Сиро в моем приложении у меня есть «Тема», доступная только для чтения. И менеджер по безопасности получает информацию из моей базы данных. Я могу проверить, есть ли у субъекта определенная роль или разрешение. Но как только я вошел в систему, я не вижу способа изменить роли пользователей в теме.

Я думаю, что Apache Shiro работает не так, и, возможно, это не лучшая практика, но в любом случае: Есть ли у кого-нибудь из вас идея явно выбрать одну из назначенных ролей для работы только в Apache Shiro?

Спасибо всем за ваше время.

spring authentication roles shiro
18.05.2018 12:58
2
0
426
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Вы можете изменить разрешения пользователя во время выполнения. По этому поводу ведется обсуждение здесь. Это то, что вы должны делать в настраиваемой области Широ, поскольку это единственное место, где у вас есть доступ к AuthorizationInfo по дизайну. AuthorizationInfo хранит данные авторизации, такие как разрешения и роли, представленные одним субъектом. За пределами вашей области нет геттеров и сеттеров для субъекта, который мог бы назначать роли и разрешения. Вы всегда можете проверить:

  • если у субъекта есть разрешение: SecurityUtils.getSubject().isPermitted();
  • если субъект играет роль: SecurityUtils.getSubject().hasRoles();

Самая простая реализация AuthorizationInfo - SimpleAuthorizationInfo.

ИМХО это плохая практика по многим причинам. Широ создан не для этого.

Спасибо, это мне очень помогает. И я согласен.

Garci García 24.05.2018 16:04

Почему это плохая практика по многим причинам? Единственная причина, по которой я вижу, заключается в том, что Shiro не был разработан с учетом стандартного RBAC - активация и деактивация ролей в сеансе была фундаментальной концепцией RBAC с середины 90-х годов и находится в стандарте ANSI / NIST. Это должно быть хорошо практика по многим причинам!

drrob 09.12.2019 07:40
20.05.2018 01:32

Другие вопросы по теме

Какой лучший подход к автоматическому входу пользователя в приложение Android?
Identity Framework Получить пользователя приложения после входа в систему
Двухфакторная аутентификация не работает: СМС не доходят до меня
Поиск LDAP в Grafana не работает
Могу ли я отключить истечение срока действия токена в пакете simple: rest-accounts-password в Meteor?
OAuth2 для существующих конечных точек Camel REST
Как проверить, подтвержден ли пользователь в AWS Amplify?
Что такое аутентификация сокета домена UNIX?
Django: поля пользовательской модели не отображаются в админке Django
Как автоматизировать синхронизацию файлов cookie между почтальоном и браузером

Похожие вопросы

415 код ошибки при отправке данных от клиента к контроллеру Spring
NoSuchMethodError Couchbase 2.5.8 Ошибка запуска Spring Boot
Как использовать сеттер вместо New JWTAuthenticationFilter в SecurityConfig.java
Spring читать статический файл
Как создать новую сущность с ассоциацией
Отфильтровать шаблон URL без аутентификации?
Как проксировать запросы API? (Angular-CLI)
Как получить значение переменной с помощью тимелеафа
Поведение тайм-аута сеанса Keycloak при использовании адаптера безопасности Spring
Вызов службы SOAP - среда Spring