Я новичок в apache shiro, и я прочитал почти 60% руководств на странице apache shiro.
Это замечательная структура, однако мне интересно, сможет ли она удовлетворить мои требования.
Меня интересует аутентификация на основе разрешений.
Например, чтобы убедиться, что у пользователя есть разрешение на удаление ресурсов, мы можем использовать это:
currentUser.isPermitted( "resource:delete" );
Однако в нашем приложении даже у пользователя есть разрешение на удаление ресурсов, он может удалить только некоторые указанные ресурсы, а не все из них.
Например (просто пример), у ресурса есть поле с именем createdby
для записи того, кто создал этот ресурс.
Теперь пользователь может удалять ресурсы, созданные им самим, только если у него есть разрешение resouce:delete
.
На самом деле ресурсы, которые могут быть удалены пользователем (прошедшим аутентификацию и имеющим разрешение delete
), будут рассчитываться по большему количеству ограничений.
Теперь, как заставить Широ работать в этом костюме?