我无法理解Apache Shiro是否允许使用动态更改的参数和特定业务规则来授权主题。
让我们说,我有一个商业规则:“用户只能看到它自己的文件”。要请求某些文档,用户必须在URL中指定此文档的ID:
my.domain.com/doc?docId=1234
如果ID为1234的文档属于当前用户,则可以显示,否则无法显示。
Apache Shiro是否允许一般方法实现这样的逻辑?如果是,我必须使用哪些类和哪种方式?
答案 0 :(得分:0)
你有几个选择,最简单的几个:
SecurityUtils.getSubject().checkPermission("docs:"+ yourDocId);