permitted
开发项目中有个用户模块,取包名 user 模块。通过自动生成代码后,controller层自动添加了如下权限
@requirespermissions("user:bjUser:view")
@requestMAPPing(value = {"list", ""})
public String list(BjUser bjUser, HttpServletRequest request, HttpServletresponse response, Model model) {
Map<String, Object> paramMap = new HashMap<String, Object>();
return "pda/user/bjUserList";
}
在配置好菜单后,只给了 user:bjUser:view 的权限。但是发现还展示了 user:bjUser:edit 的权限。
经过查找原因如下:
看下面 jeesite 的这段代码
package com.thinkgem.jeesite.modules.sys.security;
/**
* 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用
*/
@Override
protected authorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
Principal principal = (Principal) getAvailablePrincipal(principals);
// 获取当前已登录的用户
if (!Global.TRUE.equals(Global.getConfig("user.multiAccountLogin"))){
Collection<session> sessions = getSystemService().getSessionDao().getActiveSessions(true, principal, UserUtils.getSession());
if (sessions.size() > 0){
// 如果是登录进来的,则踢出已在线用户
if (UserUtils.getsubject().isAuthenticated()){
for (Session session : sessions){
getSystemService().getSessionDao().delete(session);
}
}
// 记住我进来的,并且当前用户已登录,则退出当前用户提示信息。
else{
UserUtils.getSubject().logout();
throw new AuthenticationException("msg:账号已在其它地方登录,请重新登录。");
}
}
}
User user = getSystemService().getUserByLoginName(principal.getLoginName());
if (user != null) {
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
List<Menu> list = UserUtils.getMenuList();
for (Menu menu : list){
if (StringUtils.isNotBlank(menu.getPermission())){
// 添加基于Permission的权限信息
for (String permission : StringUtils.split(menu.getPermission(),",")){
info.addStringPermission(permission);
}
}
}
// 添加用户权限
info.addStringPermission("user");
// 添加用户角色信息
for (Role role : user.getRoleList()){
info.addRole(role.getEnname());
}
// 更新登录IP和时间
getSystemService().updateUserLoginInfo(user);
// 记录登录日志
LogUtils.saveLog(Servlets.getRequest(), "系统登录");
return info;
} else {
return null;
}
}
当用户在登录的时候,会去数据库查询你所有的权限进行缓存,但是他自动给你添加了一个 info.addStringPermission("user") 权限。这导致在进行 user:bjUser:edit权限校验的时候,会判定用户具有 user:bjUser:edit权限。
验证权限 无非就是调用的是
SecurityUtils.getSubject().isPermitted(permission)进行验证权限
我们通过源码可知
WildcardPermission.implies(Permission p)方法。
public boolean implies(Permission p) {
// By default only supports comparisons with other WildcardPermissions
if (!(p instanceof WildcardPermission)) {
return false;
}
WildcardPermission wp = (WildcardPermission) p;
List<Set<String>> otherParts = wp.getParts();
int i = 0;
for (Set<String> otherPart : otherParts) {
// If this permission has less parts than the other permission, everything after the number of parts contained
// in this permission is automatically implied, so return true
if (getParts().size() - 1 < i) {
return true;
} else {
Set<String> part = getParts().get(i);
if (!part.contains(WILDCARD_TOKEN) && !part.containsAll(otherPart)) {
return false;
}
i++;
}
}
// If this permission has more parts than the other parts, only imply it if all of the other parts are wildcards
for (; i < getParts().size(); i++) {
Set<String> part = getParts().get(i);
if (!part.contains(WILDCARD_TOKEN)) {
return false;
}
}
return true;
}
在该方法中,shiro将已有的权限变成[user],需要判断的权限变成[user]:[bjUser]:[edit]这是一个set
然后在第一个for中对每个部分进行判断,而问题就在于它判断第一部分([user])成功后,发现已有权限的长度小于待判断权限的长度,然后就默认你后面的权限全有,直接返回true
所以导致我们只给了菜单的查看权限,却还能进行编辑。
相关阅读
shiro框架是一个强大的轻量级java安全框架。它提供了权限验证、加密、session管理的功能。shiro易用、上手快,应用场景大到企业级
Shiro的认证原理(Subject#login的背后故事)
登录操作一般都是我们触发的: Subject subject = SecurityUtils.getSubject(); AuthenticationToken authenticationToken = new