由于Shiro filterChainDefinitions中 roles默认是and, admin= user,roles[system,general] 
比如:roles[system,general] ,表示同时需要“system”和“general” 2个角色(权限)才通过认证,缺一不可。
但是在实际业务中,一个端口往往同时对几个角色开放。比如管理员账号拥有访问所有端口的权限。那么此时的and显然是不合时宜的,与之替代的是or

一、重新实现AuthorizationFilter类
import org.apache.shiro.subject.Subject;

import org.apache.shiro.web.filter.authz.AuthorizationFilter;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

/**

 * @Auther: lanhaifeng

 * @Date: 2019/4/18 0018 17:40

 * @Description:支持多角色验证

 * 由于Shiro filterChainDefinitions中 roles默认是and,

 * = user,roles[system,general]

 * 比如:roles[system,general] ,表示同时需要“system”和“general” 2个角色才通过认证

 * 但是在实际业务中,一个端口的权限往往对多个角色开放(比如管理员可以使用一切权利)

 */

public class MyRolesAuthorizationFilter extends AuthorizationFilter{

    @Override

    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)

            throws Exception {

        Subject subject = getSubject(request, response);

        String[] rolesArray = (String[]) mappedValue;

        //没有权限访问

        if (rolesArray == null || rolesArray.length == 0) {

            return true;

        }

        for (int i = 0; i < rolesArray.length; i++) {

            //若当前用户是rolesArray中的任何一个,则有权限访问

            if (subject.hasRole(rolesArray[i])) {

                return true;

            }

        }

        return false;

    }

}

二、在ShiroConfig引用,其实spring boot集成shiro也就这两步,加上自定义权限验证 和自定义登录验证。

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;

import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.handler.SimpleMappingExceptionResolver;

import javax.servlet.Filter;

import java.util.HashMap;

import java.util.LinkedHashMap;

import java.util.Map;

import java.util.Properties;

@Configuration

public class ShiroConfig {

    @Bean

    public ShiroFilterFactoryBean shirFilter(DefaultWebSecurityManager securityManager) {

        //System.out.println("ShiroConfiguration.shirFilter()");

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //添加自定义验证方法,注意这个Filter继承javax.servlet.Filter

        Map<String, Filter> filterMap=new HashMap<>();

        filterMap.put("rolesOr",roleFilter());

        shiroFilterFactoryBean.setFilters(filterMap);

        //拦截器.

        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();

        // 配置不会被拦截的链接 顺序判断

        filterChainDefinitionMap.put("/static/**", "anon");

        filterChainDefinitionMap.put("/gif/**", "anon");

        //配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了

        filterChainDefinitionMap.put("/sanyi/logout", "logout");

        //<!-- 过滤链定义,从上向下顺序执行,一般将/**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;

        //<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->

        filterChainDefinitionMap.put("/sanyi/index", "anon");/*swagger*/

        filterChainDefinitionMap.put("/swagger-ui.html", "anon");

        filterChainDefinitionMap.put("/swagger-resources/**", "anon");

        filterChainDefinitionMap.put("/v2/**", "anon");

        filterChainDefinitionMap.put("/webjars/**", "anon");

        /*business业务端(1管理员,3业务员)*/

        filterChainDefinitionMap.put("/contract/base/**", "authc,rolesOr[1,3]");
     /*其他,一定要采取白名单*/

        filterChainDefinitionMap.put("/**", "authc");

        // 如果不设置默认会自动寻找Web工程根目录下的"/login"页面

        shiroFilterFactoryBean.setLoginUrl("/sanyi/index");

        // 登录成功后要跳转的链接

        shiroFilterFactoryBean.setSuccessUrl("/");

        //未授权界面;

        shiroFilterFactoryBean.setUnauthorizedUrl("/sanyi/nopermission");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;

    }

    @Bean

    public MyRolesAuthorizationFilter roleFilter(){

        MyRolesAuthorizationFilter roleFilter=new MyRolesAuthorizationFilter();

        return roleFilter;

    }

    /**

     * 密码凭证匹配器

     * (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了

     * )

     * @return

     */

    @Bean

    public HashedCredentialsMatcher hashedCredentialsMatcher(){

        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();

        hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;

        hashedCredentialsMatcher.setHashIterations(10);//散列的次数10哈哈;

        return hashedCredentialsMatcher;

    }

    /**

     * 身份认证realm; (这个需要自己写,账号密码校验;权限等)

     * @return

     */

    @Bean

    public MyShiroRealm myShiroRealm(){

        MyShiroRealm myShiroRealm = new MyShiroRealm();

        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());

        return myShiroRealm;

    }

    /**

     * 会话管理器

     * @return

     */

    @Bean

    public DefaultWebSessionManager sessionManager(){

        DefaultWebSessionManager sessionManager=new DefaultWebSessionManager();

        sessionManager.setGlobalSessionTimeout(1800000);//单位是ms

        return sessionManager;

    }

    @Bean

    public DefaultWebSecurityManager securityManager(){

        DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();

        securityManager.setRealm(myShiroRealm());

        securityManager.setSessionManager(sessionManager());

        return securityManager;

    }

    /**

     *  开启shiro aop注解支持.

     *  使用代理方式;所以需要开启代码支持;

     * @param securityManager

     * @return

     */

    @Bean

    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager){

        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();

        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);

        return authorizationAttributeSourceAdvisor;

    }

    @Bean(name="simpleMappingExceptionResolver")

    public SimpleMappingExceptionResolver

    createSimpleMappingExceptionResolver() {

        SimpleMappingExceptionResolver r = new SimpleMappingExceptionResolver();

        Properties mappings = new Properties();

        mappings.setProperty("DatabaseException", "databaseError");//数据库异常处理

        mappings.setProperty("UnauthorizedException","403");

        r.setExceptionMappings(mappings);  // None by default

        r.setDefaultErrorView("error");    // No default

        r.setExceptionAttribute("exception");     // Default is "exception"

        //r.setWarnLogCategory("example.MvcLogger");     // No default

        return r;

    }

}
												


											
自定义shiro实现权限验证方法isAccessAllowed的更多相关文章
	

    
								
  1. 基于 Annotation 拦截的 Spring AOP 权限验证方法
		
    基于 Annotation 拦截的 Spring AOP 权限验证方法 转自:http://www.ibm.com/developerworks/cn/java/j-lo-springaopfilte ...
    
		
    2. 
						
  2. web权限验证方法说明[转载]
		
    前言 本文将会从最基本的一种web权限验证说起,即HTTP Basic authentication,然后是基于cookies和tokens的权限验证,最后则是signatures和一次性密码. HT ...
    
		
    3. 
						
  3. shiro登陆权限验证
		
    一>引入shirojar包 <!-- shiro登陆权限控制 -->        <dependency>            <groupId>org. ...
    
		
    4. 
						
  4. MVC 自定义AuthorizeAttribute 实现权限验证
		
    MVC内置的AuthorizeFilter先于Action/Result过滤器执行,为网站权限验证提供了很好的一套验证机制. 通过自定义的AuthorizeAttribute可以实现对用户权限的验证. ...
    
		
    5. 
						
  5. 当shiro不进入自定义realm的权限认证方法时
		
    需要加入下面的一个bean @Bean public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){ DefaultAdvisorA ...
    
		
    6. 
						
  6. SpringMVC拦截器+Spring自定义注解实现权限验证
		
    特别提示:本人博客部分有参考网络其他博客,但均是本人亲手编写过并验证通过.如发现博客有错误,请及时提出以免误导其他人,谢谢!欢迎转载,但记得标明文章出处:http://www.cnblogs.com/ ...
    
		
    7. 
						
  7. 自定义UserProvider,更改验证方法
		
    新建UserProvider,如果继承EloquentUserProvider,注入model是必须的,或者去继承interface,自己实现一些方法 use Illuminate\Auth\Eloq ...
    
		
    8. 
						
  8. Shiro后台实现验证权限
		
    今天发现一个问题:使用shiro的时候,虽然隐藏掉了一些菜单,但是当我们通过get请求直接访问菜单的时候还是会访问到,也就是shiro可以在界面实现隐藏一些信息,但是没有真正的根据权限码验证请求,于是 ...
    
		
    9. 
						
  9. @RequiresPermissions注解的作用,超级简单的权限验证
		
    是shiro里面权限验证的一个注解 @RequiresPermissions(value = {"engineeringPause:download", "workCon ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 从零学习Fluter(六):Flutter仿boss直聘v1.0重构
			
    今天继续学习flutter,觉得这个优秀的东西,许多方面还需要完善,作为一个后来者,要多向别人学习.俗话说,“学无先后,达者为师”.今天呢,我又重新把flutter_boss这个项目代码 从头到脚看了 ...
    
			
    2. 
						
  2. 深圳共创力咨询《成功的产品经理DNA》公开课3月29~30日在深圳开课!
			
    课时:13小时(2天)    成功的产品经理DNA   讲师: 冯老师 时间:2019.03.29~30 举办单位:深圳市共创力企业管理咨询有限公司 举办地点:深圳 [课程背景] 当今时代,供过于求. ...
    
			
    3. 
						
  3. Spark MLlib FPGrowth关联规则算法
			
    一.简介 FPGrowth算法是关联分析算法,它采取如下分治策略:将提供频繁项集的数据库压缩到一棵频繁模式树(FP-tree),但仍保留项集关联信息.在算法中使用了一种称为频繁模式树(Frequent ...
    
			
    4. 
						
  4. SQL 获取时间段内日期列表
			
    declare @start date,@end date; set @start='2010-01-01'; set @end='2010-02-01'; --获取时间段内日期列表 select [ ...
    
			
    5. 
						
  5. nginx笔记----解决windows80端口被iis占用
			
    打开注册表:regedit HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP 数值数据修改成0或者其他 然后重启
    
			
    6. 
						
  6. HTML语义化的理解
			
    语义化的主要目的:用正确的标签做正确的事情. 语义化验证方法:css裸奔--去掉css样式,然后看页面是否还具有很好的可读性. 语义化意义 / 优点: 1.让页面的内容结构化 2.利于浏览器解析和SE ...
    
			
    7. 
						
  7. 我的Windows日常——Excel 打开.xls .xlsx 文件格式或文件扩展名无效
			
    就问下各位,这个图,熟不熟?!! 不熟? 好吧当我没问,遇到过的没遇到过的都让我继续写下去吧.... 很多时候,我们新建了一个word文件,但是打开却会弹出这个小窗口,新建的文件出现这个问题,是什么原 ...
    
			
    8. 
						
  8. web安全—sql注入漏洞
			
    SQL注入-mysql注入 一.普通的mysql注入 MySQL注入不像注入access数据库那样,不需要猜.从mysql5.0以上的版本,出现一个虚拟的数据库,即:information_schem ...
    
			
    9. 
						
  9. Nmon实时监控并生成HTML监控报告
			
    前面的博客介绍了服务端监控工具:Nmon使用方法,最近在github找到了一个nmon自动监控并生成HTML格式报告的工具:easyNmon,使用体验蛮不错的,这里介绍下它的安装及使用方法. 一.关于 ...
    
			
    10. 
						
  10. Couchbase入门——环境搭建以及HelloWorld
			
    一.引言 NoSQL(Not Only SQL),火了很久了,一直没空研究.最近手上一个项目对Cache有一定的要求,借此机会对NoSQL入门一下.支持NoSQL的数据库系统有很多,  比如Redis ...
    
			
    11.