Apache Shiro的使用者授權isPermitted過程
阿新 • • 發佈:2018-12-04
在使用jeesite快速開發平臺時,出現許可權授權失敗。
開發專案中有個使用者模組,取包名 user 模組。通過自動生成程式碼後,controller層自動添加了如下許可權
@RequiresPermissions("user:bjUser:view") @RequestMapping(value = {"list", ""}) public String list(BjUser bjUser, HttpServletRequest request, HttpServletResponse response, Model model) { Map<String, Object> paramMap = new HashMap<String, Object>(); return "pda/user/bjUserList"; }
在配置好選單後,只給了 user:bjUser:view 的許可權。但是發現還展示了 user:bjUser:edit 的許可權。
經過查詢原因如下:
看下面 jeesite 的這段程式碼
package com.thinkgem.jeesite.modules.sys.security; /** * 授權查詢回撥函式, 進行鑑權但快取中無使用者的授權資訊時呼叫 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { Principal principal = (Principal) getAvailablePrincipal(principals); // 獲取當前已登入的使用者 if (!Global.TRUE.equals(Global.getConfig("user.multiAccountLogin"))){ Collection<Session> sessions = getSystemService().getSessionDao().getActiveSessions(true, principal, UserUtils.getSession()); if (sessions.size() > 0){ // 如果是登入進來的,則踢出已線上使用者 if (UserUtils.getSubject().isAuthenticated()){ for (Session session : sessions){ getSystemService().getSessionDao().delete(session); } } // 記住我進來的,並且當前使用者已登入,則退出當前使用者提示資訊。 else{ UserUtils.getSubject().logout(); throw new AuthenticationException("msg:賬號已在其它地方登入,請重新登入。"); } } } User user = getSystemService().getUserByLoginName(principal.getLoginName()); if (user != null) { SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); List<Menu> list = UserUtils.getMenuList(); for (Menu menu : list){ if (StringUtils.isNotBlank(menu.getPermission())){ // 新增基於Permission的許可權資訊 for (String permission : StringUtils.split(menu.getPermission(),",")){ info.addStringPermission(permission); } } } // 新增使用者許可權 info.addStringPermission("user"); // 新增使用者角色資訊 for (Role role : user.getRoleList()){ info.addRole(role.getEnname()); } // 更新登入IP和時間 getSystemService().updateUserLoginInfo(user); // 記錄登入日誌 LogUtils.saveLog(Servlets.getRequest(), "系統登入"); return info; } else { return null; } }
當用戶在登入的時候,會去資料庫查詢你所有的許可權進行快取,但是他自動給你添加了一個 info.addStringPermission("user") 許可權。這導致在進行 user:bjUser:edit許可權校驗的時候,會判定使用者具有 user:bjUser:edit許可權。
驗證許可權 無非就是呼叫的是
SecurityUtils.getSubject().isPermitted(permission)進行驗證許可權
我們通過原始碼可知
WildcardPermission.implies(Permission p)方法。
public boolean implies(Permission p) {
// By default only supports comparisons with other WildcardPermissions
if (!(p instanceof WildcardPermission)) {
return false;
}
WildcardPermission wp = (WildcardPermission) p;
List<Set<String>> otherParts = wp.getParts();
int i = 0;
for (Set<String> otherPart : otherParts) {
// If this permission has less parts than the other permission, everything after the number of parts contained
// in this permission is automatically implied, so return true
if (getParts().size() - 1 < i) {
return true;
} else {
Set<String> part = getParts().get(i);
if (!part.contains(WILDCARD_TOKEN) && !part.containsAll(otherPart)) {
return false;
}
i++;
}
}
// If this permission has more parts than the other parts, only imply it if all of the other parts are wildcards
for (; i < getParts().size(); i++) {
Set<String> part = getParts().get(i);
if (!part.contains(WILDCARD_TOKEN)) {
return false;
}
}
return true;
}
在該方法中,shiro將已有的許可權變成[user],需要判斷的許可權變成[user]:[bjUser]:[edit]這是一個set
然後在第一個for中對每個部分進行判斷,而問題就在於它判斷第一部分([user])成功後,發現已有許可權的長度小於待判斷許可權的長度,然後就預設你後面的許可權全有,直接返回true
所以導致我們只給了選單的檢視許可權,卻還能進行編輯。