由于Shiro filterChainDefinitions中 roles默认是and, admin= user,roles[system,general] 
比如:roles[system,general] ,表示同时需要“system”和“general” 2个角色(权限)才通过认证,缺一不可。
但是在实际业务中,一个端口往往同时对几个角色开放。比如管理员账号拥有访问所有端口的权限。那么此时的and显然是不合时宜的,与之替代的是or

一、重新实现AuthorizationFilter类
import org.apache.shiro.subject.Subject;

import org.apache.shiro.web.filter.authz.AuthorizationFilter;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

/**

 * @Auther: lanhaifeng

 * @Date: 2019/4/18 0018 17:40

 * @Description:支持多角色验证

 * 由于Shiro filterChainDefinitions中 roles默认是and,

 * = user,roles[system,general]

 * 比如:roles[system,general] ,表示同时需要“system”和“general” 2个角色才通过认证

 * 但是在实际业务中,一个端口的权限往往对多个角色开放(比如管理员可以使用一切权利)

 */

public class MyRolesAuthorizationFilter extends AuthorizationFilter{

    @Override

    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)

            throws Exception {

        Subject subject = getSubject(request, response);

        String[] rolesArray = (String[]) mappedValue;

        //没有权限访问

        if (rolesArray == null || rolesArray.length == 0) {

            return true;

        }

        for (int i = 0; i < rolesArray.length; i++) {

            //若当前用户是rolesArray中的任何一个,则有权限访问

            if (subject.hasRole(rolesArray[i])) {

                return true;

            }

        }

        return false;

    }

}

二、在ShiroConfig引用,其实spring boot集成shiro也就这两步,加上自定义权限验证 和自定义登录验证。

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;

import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.handler.SimpleMappingExceptionResolver;

import javax.servlet.Filter;

import java.util.HashMap;

import java.util.LinkedHashMap;

import java.util.Map;

import java.util.Properties;

@Configuration

public class ShiroConfig {

    @Bean

    public ShiroFilterFactoryBean shirFilter(DefaultWebSecurityManager securityManager) {

        //System.out.println("ShiroConfiguration.shirFilter()");

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //添加自定义验证方法,注意这个Filter继承javax.servlet.Filter

        Map<String, Filter> filterMap=new HashMap<>();

        filterMap.put("rolesOr",roleFilter());

        shiroFilterFactoryBean.setFilters(filterMap);

        //拦截器.

        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();

        // 配置不会被拦截的链接 顺序判断

        filterChainDefinitionMap.put("/static/**", "anon");

        filterChainDefinitionMap.put("/gif/**", "anon");

        //配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了

        filterChainDefinitionMap.put("/sanyi/logout", "logout");

        //<!-- 过滤链定义,从上向下顺序执行,一般将/**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;

        //<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->

        filterChainDefinitionMap.put("/sanyi/index", "anon");/*swagger*/

        filterChainDefinitionMap.put("/swagger-ui.html", "anon");

        filterChainDefinitionMap.put("/swagger-resources/**", "anon");

        filterChainDefinitionMap.put("/v2/**", "anon");

        filterChainDefinitionMap.put("/webjars/**", "anon");

        /*business业务端(1管理员,3业务员)*/

        filterChainDefinitionMap.put("/contract/base/**", "authc,rolesOr[1,3]");
     /*其他,一定要采取白名单*/

        filterChainDefinitionMap.put("/**", "authc");

        // 如果不设置默认会自动寻找Web工程根目录下的"/login"页面

        shiroFilterFactoryBean.setLoginUrl("/sanyi/index");

        // 登录成功后要跳转的链接

        shiroFilterFactoryBean.setSuccessUrl("/");

        //未授权界面;

        shiroFilterFactoryBean.setUnauthorizedUrl("/sanyi/nopermission");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;

    }

    @Bean

    public MyRolesAuthorizationFilter roleFilter(){

        MyRolesAuthorizationFilter roleFilter=new MyRolesAuthorizationFilter();

        return roleFilter;

    }

    /**

     * 密码凭证匹配器

     * (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了

     * )

     * @return

     */

    @Bean

    public HashedCredentialsMatcher hashedCredentialsMatcher(){

        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();

        hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;

        hashedCredentialsMatcher.setHashIterations(10);//散列的次数10哈哈;

        return hashedCredentialsMatcher;

    }

    /**

     * 身份认证realm; (这个需要自己写,账号密码校验;权限等)

     * @return

     */

    @Bean

    public MyShiroRealm myShiroRealm(){

        MyShiroRealm myShiroRealm = new MyShiroRealm();

        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());

        return myShiroRealm;

    }

    /**

     * 会话管理器

     * @return

     */

    @Bean

    public DefaultWebSessionManager sessionManager(){

        DefaultWebSessionManager sessionManager=new DefaultWebSessionManager();

        sessionManager.setGlobalSessionTimeout(1800000);//单位是ms

        return sessionManager;

    }

    @Bean

    public DefaultWebSecurityManager securityManager(){

        DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();

        securityManager.setRealm(myShiroRealm());

        securityManager.setSessionManager(sessionManager());

        return securityManager;

    }

    /**

     *  开启shiro aop注解支持.

     *  使用代理方式;所以需要开启代码支持;

     * @param securityManager

     * @return

     */

    @Bean

    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager){

        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();

        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);

        return authorizationAttributeSourceAdvisor;

    }

    @Bean(name="simpleMappingExceptionResolver")

    public SimpleMappingExceptionResolver

    createSimpleMappingExceptionResolver() {

        SimpleMappingExceptionResolver r = new SimpleMappingExceptionResolver();

        Properties mappings = new Properties();

        mappings.setProperty("DatabaseException", "databaseError");//数据库异常处理

        mappings.setProperty("UnauthorizedException","403");

        r.setExceptionMappings(mappings);  // None by default

        r.setDefaultErrorView("error");    // No default

        r.setExceptionAttribute("exception");     // Default is "exception"

        //r.setWarnLogCategory("example.MvcLogger");     // No default

        return r;

    }

}
												


											
自定义shiro实现权限验证方法isAccessAllowed的更多相关文章
	

    
								
  1. 基于 Annotation 拦截的 Spring AOP 权限验证方法
		
    基于 Annotation 拦截的 Spring AOP 权限验证方法 转自:http://www.ibm.com/developerworks/cn/java/j-lo-springaopfilte ...
    
		
    2. 
						
  2. web权限验证方法说明[转载]
		
    前言 本文将会从最基本的一种web权限验证说起,即HTTP Basic authentication,然后是基于cookies和tokens的权限验证,最后则是signatures和一次性密码. HT ...
    
		
    3. 
						
  3. shiro登陆权限验证
		
    一>引入shirojar包 <!-- shiro登陆权限控制 -->        <dependency>            <groupId>org. ...
    
		
    4. 
						
  4. MVC 自定义AuthorizeAttribute 实现权限验证
		
    MVC内置的AuthorizeFilter先于Action/Result过滤器执行,为网站权限验证提供了很好的一套验证机制. 通过自定义的AuthorizeAttribute可以实现对用户权限的验证. ...
    
		
    5. 
						
  5. 当shiro不进入自定义realm的权限认证方法时
		
    需要加入下面的一个bean @Bean public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){ DefaultAdvisorA ...
    
		
    6. 
						
  6. SpringMVC拦截器+Spring自定义注解实现权限验证
		
    特别提示:本人博客部分有参考网络其他博客,但均是本人亲手编写过并验证通过.如发现博客有错误,请及时提出以免误导其他人,谢谢!欢迎转载,但记得标明文章出处:http://www.cnblogs.com/ ...
    
		
    7. 
						
  7. 自定义UserProvider,更改验证方法
		
    新建UserProvider,如果继承EloquentUserProvider,注入model是必须的,或者去继承interface,自己实现一些方法 use Illuminate\Auth\Eloq ...
    
		
    8. 
						
  8. Shiro后台实现验证权限
		
    今天发现一个问题:使用shiro的时候,虽然隐藏掉了一些菜单,但是当我们通过get请求直接访问菜单的时候还是会访问到,也就是shiro可以在界面实现隐藏一些信息,但是没有真正的根据权限码验证请求,于是 ...
    
		
    9. 
						
  9. @RequiresPermissions注解的作用,超级简单的权限验证
		
    是shiro里面权限验证的一个注解 @RequiresPermissions(value = {"engineeringPause:download", "workCon ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 【English】十、"谓语的地方"看到有两个动词:I go say hello.、非谓语形式
			
    一.I go say hello. 这是一种偏口语的说法.一个句子中不能同时有两个谓语. 标准的用法有: I go and say hello. and 连接这两个动词,表示并列等关系.go and  ...
    
			
    2. 
						
  2. web测试之功能测试总结
			
    web测试是什么? web测试就是基于BS架构的软件产品的测试,通俗点来说就是web网站的测试 web功能测试包括哪些方面? 功能测试主要包括6大部分: 1.链接测试 2.表单测试 3.搜索测试 4. ...
    
			
    3. 
						
  3. DataPipeline |《Apache Kafka实战》作者胡夕:Apache Kafka监控与调优
			
    胡夕 <Apache Kafka实战>作者,北航计算机硕士毕业,现任某互金公司计算平台总监,曾就职于IBM.搜狗.微博等公司.国内活跃的Kafka代码贡献者. 前言 虽然目前Apache  ...
    
			
    4. 
						
  4. Tomcat设置cmd窗口的title属性
			
    说明:官网下载tomcat之后,双击bin目录下的startup.bat文件,即可运行tomcat:linux下面运行startup.sh. 但是如果测试服务器上面搭建了多个项目,则启动之后窗口一样, ...
    
			
    5. 
						
  5. windows PHP 安装 redis 外加扩展
			
    前置条件:为php7.2搭建redis扩展的前提是在本机上已经成功搭建好php的运行环境,我的电脑的运行环境时 apache2.4+mysql5.5+php7.2. 操作系统为64位,编译环境为Mic ...
    
			
    6. 
						
  6. 5G来了,中国移动能力开放平台的NFV,支持面向5G的演进,已经具备初期商用条件!
			
    近日互联网招聘平台发布的<2019春招旺季人才趋势报告>显示,“新新职业”人才受到企业追捧: 5G相关人才需求大幅增长,5G工程师平均招聘月薪达1.39万元,同比增长12.2%.其中,光传 ...
    
			
    7. 
						
  7. Scrapy框架-Spider
			
    目录 1. Spider 2.Scrapy源代码 2.1. Scrapy主要属性和方法 3.parse()方法的工作机制 1. Spider Spider类定义了如何爬取某个(或某些)网站.包括了爬取 ...
    
			
    8. 
						
  8. 对Link Map File的初步认识
			
    什么是Link Map File Link Map File中文直译为链接映射文件,它是在Xcode生成可执行文件的同时生成的链接信息文件,用于描述可执行文件的构造部分,包括了代码段和数据段的分布情况 ...
    
			
    9. 
						
  9. web开发中各种宽高
			
    Gosper 曲线:https://www.cnblogs.com/tgzhu/p/8286616.html
    
			
    10. 
						
  10. 2019-04-09 SpringBoot+Druid+MyBatis+Atomikos 的多数据源配置
			
    前面部分是网上找的,我按照网上写的把自己搭建的过程展示一次 1.引入依赖 目前项目本来使用到了Mybatis plus(在自己的Mapper接口中继承BaseMapper获得基本的CRUD,而不需要增 ...
    
			
    11.