2. 程式人生 > >Shiro介紹(八):資料許可權的研究@RequiresData

Shiro介紹(八):資料許可權的研究@RequiresData

阿新 發佈:2019-02-01

Shiro幫我們實現的大多為操作許可權,那麼今天我想分享一個數據許可權的方案,主要採用的仍是註解+切面攔截。

思路大概是這樣的:

  1. 在controller的方法引數,約定包含一個Map型別的parameters
  2. 通過註解宣告一下當前使用者的某個成員屬性值需要被插入到這個parameters中,並且宣告對應的欄位名稱
  3. 在方法體中,就可以將parameters中所有成員拿出來生成SQL,實現資料的篩選。

比如,我們需要根據當前登入使用者的名稱realName,篩選出saleName為當前使用者名稱稱的銷售資料,又或者,根據當前登入使用者的groupNames[0]為北京,篩選出所有資料欄位province為北京的計費資料。

首先,我們定義註解 RequiresData,程式碼如下:

@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RequiresData {

    String[] props() default "";

    String[] fields() default "";

}

兩個屬性都是字串陣列,所以我們要使用時可以是這樣的:

@RequiresData(props={"realName","groupNames[0]"},fields={"saleName"
 
,"province"})

然後,我們需要修改AuthorizationAttributeSourceAdvisor,同樣新增對新註解的支援。

private static final Class<? extends Annotation>[] AUTHZ_ANNOTATION_CLASSES =
            new Class[] {
                    RequiresPermissions.class, RequiresRoles.class,
                    RequiresUser.class, RequiresGuest.class, RequiresAuthentication.class,
                    RequiresAction.class,RequiresData.class
            };

也同樣修改我們繼承的AopAllianceAnnotationsAuthorizingMethodInterceptor,新增新的DataAnnotationMethodInterceptor支援。

public AopAllianceAnnotationsAuthorizingMethodInterceptor(){
        super();

        this.methodInterceptors.add(new ActionAnnotationMethodInterceptor(new SpringAnnotationResolver()));
        this.methodInterceptors.add(new DataAnnotationMethodInterceptor(new SpringAnnotationResolver()));

    }

這次我們的DataAnnotationHandler是不需要做任何事情的,因為我們不是做許可權驗證,而是要修改方法引數。

所以,我們需要先定義一個介面。

public interface DataParameterRequest {
    Map<String,String> getParameters();
}

保證我們在方法引數實現此介面,比如我們的引數是ConditionRequest,那麼程式碼如下:

public class ConditionRequest implements DataParameterRequest{

    public String author;

    private Map<String,String> params = new HashMap<String,String>();

    @Override
    public Map<String, String> getParameters() {
        // TODO Auto-generated method stub
        return params;
    }

    public void setParameters(Map<String,String> p){
        this.params=p;
    }

}

然後在Controller的方法是這樣的:

@RequiresData(props={"realName","groupNames[1]"},fields={"saleName","province"})
    @RequestMapping(value = "/data", method = RequestMethod.POST, headers = {
            "Content-Type=application/json;charset=utf-8", "Accept=application/json" })
    public @ResponseBody Map<String,String> showData(@RequestBody ConditionRequest req){
//這裡需要根據req.getParameters()得到的Map去構造出SQL查詢條件,篩選出資料
}

下面討論一下如何利用AOP修改方法引數,主要是兩個地方要修改,一是AopAllianceAnnotationsAuthorizingMethodInterceptor中需要過載invoke,讓它能保證在遇到RequiresData時能呼叫DataAnnotationMethodInterceptor的invoke。

@Override
    public Object invoke(MethodInvocation methodInvocation) throws Throwable {
        org.apache.shiro.aop.MethodInvocation mi = createMethodInvocation(methodInvocation);
        assertAuthorized(mi);

        Collection<AuthorizingAnnotationMethodInterceptor> aamis = getMethodInterceptors();
        if (aamis != null && !aamis.isEmpty()) {
            for (AuthorizingAnnotationMethodInterceptor aami : aamis) {
                if (aami.supports(mi)){

                    //針對DataAnnotationMethodInterceptor,有特殊的處理
                    if(aami instanceof DataAnnotationMethodInterceptor) {
                        return ((DataAnnotationMethodInterceptor)aami).invoke(mi);
                    }

                } 
            }
        }

        //其它情況均使用系統預設
        return super.invoke(mi);
    }

再者需要修改DataAnnotationMethodInterceptor,同樣過載invoke方法,這是主要功能邏輯所在位置。

@SuppressWarnings("unchecked")
    private Map<String,String> _addParameters(String[] props,String[] fields,Class<?> clz,Object principal) throws Exception {
        Map<String,String> params = new HashMap<String,String>();

        for(int i=0;i<props.length;i++){
            String prop = props[i];
            String field = fields[i];
            int index = -1;

            String[] strs = StringUtils.tokenizeToStringArray(prop, "[]");
            if(strs.length>1){
                prop = strs[0];
                index = Integer.valueOf(strs[1]);
            }

            String propValue = "";
            Field p = clz.getDeclaredField(prop);
            if(Modifier.PRIVATE==p.getModifiers()){
                String m_getter_name = "get"+StringUtils.uppercaseFirstChar(prop);
                Method method = clz.getDeclaredMethod(m_getter_name);
                Object ret = method.invoke(principal);
                if(index>-1 && ret instanceof List<?>){
                    propValue = ((List<Object>)ret).get(index).toString();
                }
                else
                    propValue = ret.toString();
            }
            else{
                Object ret = p.get(principal);
                if(index>-1 && ret instanceof List<?>){
                    propValue = ((List<Object>)ret).get(index).toString();
                }
                else {
                    propValue = ret.toString();
                }
            }
            System.out.println(propValue);

            params.put(field, propValue);

        }
        return params;
    }

    @Override
    public Object invoke(MethodInvocation methodInvocation) throws Throwable {
        // TODO Auto-generated method stub
        assertAuthorized(methodInvocation);

        Object obj = methodInvocation.getThis();
        Object[] args = methodInvocation.getArguments();

        RequiresData an = (RequiresData)this.getAnnotation(methodInvocation);
        Object principal = this.getSubject().getPrincipal();
        Class<?> clz = principal.getClass();

        String[] props = an.props();
        String[] fields = an.fields();

        for(Object o : args){
            if( o instanceof DataParameterRequest ){
                Map<String,String> m = (Map<String,String>)((DataParameterRequest)o).getParameters();
                if(m!=null){
                    Map<String,String> mm = this._addParameters(props, fields, clz, principal);
                    m.putAll(mm);
                }
            }
        }

        return methodInvocation.getMethod().invoke(obj, args);

    }

大概解釋一下,在invoke中,當前登入的使用者是這個Object principal = this.getSubject().getPrincipal(); ,然後取出方法引數,是個陣列,Object[] args = methodInvocation.getArguments(); 找到它裡面那個DataParameterRequest型別的引數,根據註解宣告的屬性方法與Map中的欄位對應關係,新增到args中的那個DataParameterRequest中的parameters裡面去。就可以了。
注意,最後需要將args傳入methodInvocation.getMethod().invoke(obj, args);

有問題歡迎交流。

相關推薦

Shiro介紹資料許可權研究@RequiresData

Shiro幫我們實現的大多為操作許可權,那麼今天我想分享一個數據許可權的方案,主要採用的仍是註解+切面攔截。 思路大概是這樣的: 在controller的方法引數,約定包含一個Map型別的parameters 通過註解宣告一下當前使用者的某個成員屬性值

Shiro介紹擴充套件自已的@RequiresPermission修正

本文是第六篇的修正版。因為在上一篇結尾,我其實對擴充套件方案是不太滿意的,所以,今天,我重新做一個擴充套件,本次將註解的類名改成 @RequiresAction。 @RequiresAction("cn.sharetop.example.HelloContro

Docker筆記資料管理

前面(哪個前面我也忘了)有說過,如果我們需要對資料進行持久化儲存,不應使其儲存在容器中,因為容器中的資料會隨著容器的刪除而丟失,而因通過將資料儲存於宿主機檔案系統的形式來持久化。在Docker容器中管理資料主要有資料卷、宿主機目錄掛載兩種方式。 1. 資料卷的方式 資料卷是一個特殊的檔案目錄(或檔案),具

Redis系列資料結構List雙向連結串列中阻塞版本之BLPOP、BRPOP和LINDEX、LINSERT、LRANGE命令詳解

1.BRPOP、BLPOP BLPOP: BLPOP 是阻塞式列表的彈出原語。 它是命令 LPOP 的阻塞版本,這是因為當給定列表內沒有任何元素可供彈出的時候, 連線將被 BLPOP 命令阻塞。 當給定多個 key 引數時,按引數 key 的先後順序依次檢查

Kettle控制元件介紹1生成記錄、自定義常量資料

這邊主要介紹2個控制元件,生成記錄以及自定義常量資料,屬於kettle輸入項裡。 一、生成記錄: 這是生成記錄的轉換圖,生成記錄的具體值如下: 如圖,建立三個欄位,分別為A、B、C,對其定義欄位型別和欄位值。最上面的"限制"是限制展示的數量;如圖,"限制"為5,那就展示5行。 結

一站式學習Wireshark應用Wireshark過濾條件抓取特定資料

應用抓包過濾,選擇Capture | Options,擴充套件視窗檢視到Capture Filter欄。雙擊選定的介面,如下圖所示,彈出Edit Interface Settints視窗。 下圖顯示了Edit Interface Settings視窗,這裡可以設定

計算機視覺提取Cifar-10資料集的HOG、HSV特徵並使用神經網路進行分類

1 - 引言 之前我們都是將整張圖片輸入進行分類,要想進一步提升準確率,我們就必須提取出圖片更容易區分的特徵,再將這些特徵當做特徵向量進行分類。在之前我們學了一些常用的影象特徵,在這次實驗中,我們使用了兩種特徵 梯度方向直方圖(HOG) 顏色直方圖(HSV)

資料結構與演算法排序

## 什麼是排序? >排序是計算機內經常進行的一種操作,其目的是將一組“無序”的記錄序列調整為“有序”的記錄序列。 ### 1.排序的分類 排序分為兩類: - 內部排序:若整個排序過程不需要訪問外存便能完成,則稱此類排序問題為內部排序。 - 外部排序:若參加排序的記錄數量很大,整個序列的排序過程不可能

Hibernate基於外鍵映射的1-1關聯關系

hbm 初始化 inno oot type nat create getc source 背景: 一個部門只有一個一把手,這在程序開發中就會設計數據映射應該設置為一對一關聯。 在hibernate代碼開發中,實現這個業務有兩種方案: 1)基於外鍵映射的1-1關

x264代碼剖析encode()函數之x264_encoder_close()函數

name sequence img float 通過 例如 b16 trac 不為 x264代碼剖析(八):encode()函數之x264_encoder_close()函數 encode()函數是x264的主幹函數。主要包含x264_enc

Java-NIODatagramChannel

reg lin mov div 數據 selector sca gist put Java NIO中的DatagramChannel是一個能收發UDP包的通道。操作步驟:  1)打開 DatagramChannel  2)接收/發送數據 同樣它也支持NIO的非阻塞模式操作

C#高性能大容量SOCKET並發通訊協議

pad 英文 透明 優勢 sock ase sha dev lac 協議種類 開發Socket程序有兩種協議類型,一種是用文本描述的,類似HTTP協議,定義字符集,好處是兼容性和調試方便,缺點是解析文本會損耗一些性能;一種是用Code加結構體,定義字節順序,好處是性能高,

國內物聯網平臺初探中移物聯網開放平臺OneNet

nco 國內 聯網 申請 nonce 行數 即時通信 不同 初始 平臺定位 OneNET是中移物聯網有限公司搭建的開放、共贏設備雲平臺,為各種跨平臺物聯網應用、行業解決方案,提供簡便的雲端接入、存儲、計算和展現,快速打造物聯網產品應用,降低開發成本。 IoT PaaS

Selenium2+Python3.6實戰定位下拉菜單出錯,如何解決?用select或xpath定位。

排查 會有 有時 ide 導入 python3 很好 沒有 元素 在登錄界面,有時候會有幾種不同的角色,針對不同角色定位到的信息是不一樣的。查詢資料知道定位下拉框的元素有兩種方式:Xpath和select。 但是使用xpath定位時,user定位到了,登錄的時候卻是調用的a

EF學習筆記更新關聯數據

tro rop es2017 net sage red ida string entity 學習筆記主目錄鏈接:ASP.NET MVC5 及 EF6 學習筆記 - (目錄整理) 上一篇鏈接:EF學習筆記(七):讀取關聯數據 本篇原文鏈接:Updating Related D

Wireshark使用介紹應用Wireshark觀察基本網絡協議

使用 額外 傳輸過程 直接 nal http協議 ges log 傳輸 TCP: TCP/IP通過三次握手建立一個連接。這一過程中的三種報文是:SYN,SYN/ACK,ACK。 第一步是找到PC發送到網絡服務器的第一個SYN報文,這標識了TCP三次握手的開始。

DockerDocker端口映射

oot gre 指定 con 指定端口 docker ner 查看 names 1、隨機映射   docker run -P -d --name mynginx1 nginx   [[email protected] ~]# docker ps -l     CO

java學習筆記繼承

this關鍵字 log implement java學習 方式 show 使用 類型 多繼承 繼承 子類擁有父類非private的屬性,方法。 子類可以擁有自己的屬性和方法,即子類可以對父類進行擴展。 子類可以用自己的方式實現父類的方法。 Java的繼承

Java框架spring Boot學習筆記Spring相關概念

擴展 靜態 輕量級 想要 spring配置 核心 使用 oot 調用方法 Spring是開源、輕量級、一站式框架。 Spring核心主要兩部分 aop:面向切面編程,擴展功能不是修改源代碼實現 ioc:控制反轉,比如一個類,在類裏面有方法(不是靜態的方法),想要調用類

Python筆記web開發

自定義 服務器 gpo unix系統 運行 tps rom request 不知道 #本文是在Windows環境下,Unix系統應該還要設置2個東西 (一) 采用MVC設計web應用 遵循 模型-視圖-控制器(model-view-controlle) 模型: