Liferay Permissions

О правах также указано в портлетной спецификации.
В соответсвии с этой спецификацией мы встретим
portlet.xml   security-role-ref>role-name=user

но у лайфрея есть своя Liferay's Permissions System, именно она используется всеми портлетами лафрея напрямую, без использования портлетных АПИ прав.
Если хочется именно по стандарту то это так (getRemoteUser (), isUserInRole(), getUserPrincipal () ):

if (renderRequest.isUserInRole("power-user")) {

     // ….

}

Но опять же лучше использовать Liferay's Permissions System напрямую.
Добавление пермишинов состоит из 4-х главных шагов (DRAC)

• Define ресурсы и их права
• Register ресурсы в системе прав. Этот этап еще называется "adding resources"
• Associate ресурсы с правами.
• Check права до возвращения ресурсов.

Ресурсами считаются:

1. portlets (пермишины реализованы по другому чем для двух остальных).
2. Java classes.
3. Файлы.

Настройка портлетов в Liferay's Permissions System на сорсах портала находится тут:
portal-impl/src/resource-actions/

Вот пример blogs.xml


Русурсы о правах:
http://www.liferay.com/documentation/liferay-portal/6.0/development/-/ai/security-and-permissions
http://www.liferay.com/web/guest/community/wiki/-/wiki/Main/Using+Liferay%27s+Permission+System+from+a+portlet
http://www.liferay.com/community/wiki/-/wiki/Main/Permissioning+Explained
http://www.liferay.com/community/wiki/-/wiki/1071674/Liferay+Portal+Permission+Algorithms