如何确定一个shiro用户拥有哪些权限

Question

我必须处理由apache shiro保护的应用程序。 我对这个框架很陌生。据我所知，我可以通过subject.isPermitted()检查单个权利，例如，

Subject subject = SecurityUtils.getSubject(); 
[...] 
subject.isPermitted("$RightString"); 

为了记录目的，我需要用户权限的完整列表作为字符串。我不想重复权利列表并检查每次，是否subject.isPermitted()是true

是否有任何捷径来解决这个问题？

编辑：

更多信息：

• 应用是在应用程序上下文一个Spring 4应用

• 境界被定义为豆

  <bean id="PRODUCTNAMERealm" class="de.PATHFROMPRODUCT_PRODUCTNAMEJdbcRealm"> 
      <property name="dataSource" ref="dataSource"/> 
      <property name="schema" value="${PRODUCTNAME.schema}"/> 
  </bean> 
  

  ，所以我如果需要可以注入它。

Answer 1

我相信没有开箱即用的方式来做到这一点，我们通过在会话中注册用户权限来解决此问题。我们正在使用自定义域实现，我们的权限存储在数据库中。

在我们的自定义领域类：

@Override 
public AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { 
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); 
    Set<String> permissionsSet = //logic to get the permissions here 

    info.addStringPermissions(permissionsSet); 

    SecurityUtils.getSubject().getSession().setAttribute("permissions", permissionsSet); 
    return info; 
} 

现在检索权限，只需要调用的事：

SecurityUtils.getSubject().getSession().getAttribute("permissions"); 

另一种方法是，你需要的信息注入您的自定义的境界和让bean公开getAuthorizationInfo。

@Override 
public AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) { 
    return super.getAuthorizationInfo(principals); 
} 

.... 

yourRealm.getAuthorizationInfo(SecurityUtils.getSubject().getPrincipals()).getStringPermissions(); 

Answer 2

在我看来，Shiro只与当前用户的安全，权限等有关，而不是整个用户群。您可以使用标准SQL查询来检索用户权限。