封装 Shiro 主题

Question

我想将 Apache Shiro 封装在 Servlet 环境中。我想创建 MySecurityUtils 并在静态方法中使用 Shiro SecurityUtils.getSubject。我的问题是这是否是在静态方法中使用 SecurityUtils.getSubject 方法的正确方法。这会导致多线程 servlet 环境中的任何问题吗？

MySecurityUtils.java

import org.apache.shiro.subject.Subject;
import org.apache.shiro.SecurityUtils;

public class MySecurityUtils {

    public static MyUser getUser() {
        Subject currentUser = SecurityUtils.getSubject();
        MyUser myUser = new MyUser(currentUser);
        ...
    }
}

MyUser.java

public class MyUser {
   // ... constructors
   public boolean isPermitted(..) {subject.isPermitted(...)}
}

Answer 1

在得到 Sotirios 的反馈后，我将代码更改如下

 public class SecurityHelper {
     public static boolean isAuthenticated(){
      Subject currentUser = SecurityUtils.getSubject();
      return currentUser.isAuthenticated();
     }
     public static void checkPermission(String permissionCode){
          Subject currentUser = SecurityUtils.getSubject();
          currentUser.checkPermission(permissionCode);
     }
     public static void checkPermission(String... permissionCodes){
          Subject currentUser = SecurityUtils.getSubject();
          currentUser.checkPermissions(permissionCodes);
     }
     ... and so on

我将所有应用程序逻辑封装在一个 Helper 类中。

Answer 2

我不明白您为什么要这样做，但就您的问题而言，这很好。

在 Web 上下文中，Shiro 的 SecurityUtils#getSubject() 每个请求都会返回一个不同的 Subject 实例。显然，如果主题已登录，凭据将被复制（从会话）到新的 Subject 实例。通过在每次调用 getUser() 时返回一个新的 MyUser 实例，您几乎是在做同样的事情。

但请注意，如果您在同一请求中调用 getUser() 两次，您将获得不同的 MyUser 实例。但是，内部Subject 将是相同的。如果您在 MyUser 类中进行委派以外的其他逻辑，则可能会出现问题。