No puedo entender si Apache Shiro permite autorizar un Asunto con parámetros cambiados dinámicamente y reglas comerciales específicas.
Digamos que tengo una regla de negocios: "Un usuario solo puede ver sus propios documentos". Para solicitar algún documento, el usuario debe especificar una identificación de este documento en la URL:
my.domain.com/doc?docId=1234
En el caso de que el documento con el id. 1234 pertenezca a un usuario actual, se pueda mostrar, de lo contrario no podrá.
¿Apache Shiro permite en enfoque general ¿Para implementar la lógica tal que? En caso afirmativo, ¿qué clases y de qué manera debo utilizar para hacerlo?
Respuestas
0 para la respuesta № 1Tienes algunas opciones, algunas de las más fáciles, sin embargo:
- Controlar programáticamente el acceso:
SecurityUtils.getSubject().checkPermission("docs:"+ yourDocId);
- Cree un filtro para analizar la URL de la solicitud de ingreso similar a: PathMatchingFilter