Spring Security Shiro Plugin - Reference Documentation

《Spring Security Shiro Plugin - Reference Documentation》主要介绍了如何在Grails项目中使用Spring Security Shiro插件，结合Spring Security和Shiro来实现权限管理。以下是核心内容总结： ### 1. **插件简介** - 该插件支持在Spring Security的基础上集成Shiro，主要用于简化Shiro ACL（访问控制列表）的使用。 - 插件通过监听Spring Security的认证事件，使用Spring Security的`Authentication`实例来构建和注册Shiro的`Subject`实例，并在用户注销时移除Shiro凭证。 ### 2. **历史版本** - 插件自2013年发布以来，经历了多个版本的更新，主要增加了对Grails 3.3.0的支持、更新了Spring Security Core版本、增加了角色权限功能等。 ### 3. **使用方法** - **依赖配置**：在`build.gradle`中添加插件依赖并运行编译命令来解析依赖。 - **用户权限**：需要手动创建权限域类，并通过配置`grails.plugin.springsecurity.shiro.permissionDomainClassName`属性来注册该类。权限类需包含`user`和`permission`属性。 - **角色权限**：插件支持用户和角色权限的结合，用户的有效权限是两者权限的并集。需创建角色权限类并配置`grails.plugin.springsecurity.shiro.rolePermissionDomainClassName`属性。 - **注解使用**：可以在Grails服务和Spring Bean中使用Shiro的注解（如`RequiresAuthentication`、`RequiresPermissions`等）来控制权限。 - **直接使用Shiro**：可以通过`SecurityUtils.getSubject()`获取`Subject`对象，调用其方法（如`checkPermission`、`hasRole`等）进行权限检查。 ### 4. **配置选项** - 插件提供了一些配置选项，如是否启用插件、权限域类名称、是否缓存权限查找等，这些配置需在`application.groovy`或`application.yml`中通过`grails.plugin.springsecurity`前缀进行设置。 ### 5. **自定义权限解析** - 用户可以通过实现`ShiroPermissionResolver`接口来自定义权限解析逻辑，并通过`resources.groovy`注册为`shiroPermissionResolver` Bean。 - 对于角色权限，可以通过实现`RolePermissionResolver`接口来自定义角色权限解析逻辑，并注册为`shiroRolePermissionResolver` Bean。 ### 总结： Spring Security Shiro插件通过结合Spring Security和Shiro，提供了灵活的权限管理方案，支持用户和角色权限的结合，并允许通过注解或直接调用Shiro API进行权限控制。用户可以通过自定义权限解析逻辑来满足更复杂的需求。