封装Shiro主题

Question

我想将Apache Shiro封装在Servlet环境中。我想创建MySecurityUtils并在静态方法中使用Shiro SecurityUtils.getSubject。我的问题是，在静态方法中使用SecurityUtils.getSubject方法是否正确。这会在多线程servlet环境中造成任何问题吗？

MySecurityUtils.java

import org.apache.shiro.subject.Subject;
import org.apache.shiro.SecurityUtils;

public class MySecurityUtils {

    public static MyUser getUser() {
        Subject currentUser = SecurityUtils.getSubject();
        MyUser myUser = new MyUser(currentUser);
        ...
    }
}

MyUser.java

public class MyUser {
   // ... constructors
   public boolean isPermitted(..) {subject.isPermitted(...)}
}

Answer 1

在得到Sotirios的反馈后，我按如下方式更改了代码

 public class SecurityHelper {
     public static boolean isAuthenticated(){
      Subject currentUser = SecurityUtils.getSubject();
      return currentUser.isAuthenticated();
     }
     public static void checkPermission(String permissionCode){
          Subject currentUser = SecurityUtils.getSubject();
          currentUser.checkPermission(permissionCode);
     }
     public static void checkPermission(String... permissionCodes){
          Subject currentUser = SecurityUtils.getSubject();
          currentUser.checkPermissions(permissionCodes);
     }
     ... and so on

我将所有应用程序逻辑封装在一个Helper类中。

Answer 2

我不明白您为什么要这样做，但为了您的问题，这是可以的。

在web上下文中，Shiro的SecurityUtils#getSubject()为每个请求返回一个不同的Subject实例。显然，如果主体已登录，凭据将被复制(从会话)到新的Subject实例。通过在每次调用getUser()时返回一个新的MyUser实例，您可以做几乎相同的事情。

不过要小心，如果在同一个请求中调用getUser()两次，则会得到一个不同的MyUser实例。但是，内部Subject将是相同的。如果您在MyUser类中执行的是逻辑而不是委托，这可能是有问题的。