由于Shiro filterChainDefinitions中 roles默认是and, admin= user,roles[system,general] 
比如:roles[system,general] ,表示同时需要“system”和“general” 2个角色(权限)才通过认证,缺一不可。
但是在实际业务中,一个端口往往同时对几个角色开放。比如管理员账号拥有访问所有端口的权限。那么此时的and显然是不合时宜的,与之替代的是or

一、重新实现AuthorizationFilter类
import org.apache.shiro.subject.Subject;

import org.apache.shiro.web.filter.authz.AuthorizationFilter;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

/**

 * @Auther: lanhaifeng

 * @Date: 2019/4/18 0018 17:40

 * @Description:支持多角色验证

 * 由于Shiro filterChainDefinitions中 roles默认是and,

 * = user,roles[system,general]

 * 比如:roles[system,general] ,表示同时需要“system”和“general” 2个角色才通过认证

 * 但是在实际业务中,一个端口的权限往往对多个角色开放(比如管理员可以使用一切权利)

 */

public class MyRolesAuthorizationFilter extends AuthorizationFilter{

    @Override

    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)

            throws Exception {

        Subject subject = getSubject(request, response);

        String[] rolesArray = (String[]) mappedValue;

        //没有权限访问

        if (rolesArray == null || rolesArray.length == 0) {

            return true;

        }

        for (int i = 0; i < rolesArray.length; i++) {

            //若当前用户是rolesArray中的任何一个,则有权限访问

            if (subject.hasRole(rolesArray[i])) {

                return true;

            }

        }

        return false;

    }

}

二、在ShiroConfig引用,其实spring boot集成shiro也就这两步,加上自定义权限验证 和自定义登录验证。

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;

import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.handler.SimpleMappingExceptionResolver;

import javax.servlet.Filter;

import java.util.HashMap;

import java.util.LinkedHashMap;

import java.util.Map;

import java.util.Properties;

@Configuration

public class ShiroConfig {

    @Bean

    public ShiroFilterFactoryBean shirFilter(DefaultWebSecurityManager securityManager) {

        //System.out.println("ShiroConfiguration.shirFilter()");

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //添加自定义验证方法,注意这个Filter继承javax.servlet.Filter

        Map<String, Filter> filterMap=new HashMap<>();

        filterMap.put("rolesOr",roleFilter());

        shiroFilterFactoryBean.setFilters(filterMap);

        //拦截器.

        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();

        // 配置不会被拦截的链接 顺序判断

        filterChainDefinitionMap.put("/static/**", "anon");

        filterChainDefinitionMap.put("/gif/**", "anon");

        //配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了

        filterChainDefinitionMap.put("/sanyi/logout", "logout");

        //<!-- 过滤链定义,从上向下顺序执行,一般将/**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;

        //<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->

        filterChainDefinitionMap.put("/sanyi/index", "anon");/*swagger*/

        filterChainDefinitionMap.put("/swagger-ui.html", "anon");

        filterChainDefinitionMap.put("/swagger-resources/**", "anon");

        filterChainDefinitionMap.put("/v2/**", "anon");

        filterChainDefinitionMap.put("/webjars/**", "anon");

        /*business业务端(1管理员,3业务员)*/

        filterChainDefinitionMap.put("/contract/base/**", "authc,rolesOr[1,3]");
     /*其他,一定要采取白名单*/

        filterChainDefinitionMap.put("/**", "authc");

        // 如果不设置默认会自动寻找Web工程根目录下的"/login"页面

        shiroFilterFactoryBean.setLoginUrl("/sanyi/index");

        // 登录成功后要跳转的链接

        shiroFilterFactoryBean.setSuccessUrl("/");

        //未授权界面;

        shiroFilterFactoryBean.setUnauthorizedUrl("/sanyi/nopermission");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;

    }

    @Bean

    public MyRolesAuthorizationFilter roleFilter(){

        MyRolesAuthorizationFilter roleFilter=new MyRolesAuthorizationFilter();

        return roleFilter;

    }

    /**

     * 密码凭证匹配器

     * (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了

     * )

     * @return

     */

    @Bean

    public HashedCredentialsMatcher hashedCredentialsMatcher(){

        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();

        hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;

        hashedCredentialsMatcher.setHashIterations(10);//散列的次数10哈哈;

        return hashedCredentialsMatcher;

    }

    /**

     * 身份认证realm; (这个需要自己写,账号密码校验;权限等)

     * @return

     */

    @Bean

    public MyShiroRealm myShiroRealm(){

        MyShiroRealm myShiroRealm = new MyShiroRealm();

        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());

        return myShiroRealm;

    }

    /**

     * 会话管理器

     * @return

     */

    @Bean

    public DefaultWebSessionManager sessionManager(){

        DefaultWebSessionManager sessionManager=new DefaultWebSessionManager();

        sessionManager.setGlobalSessionTimeout(1800000);//单位是ms

        return sessionManager;

    }

    @Bean

    public DefaultWebSecurityManager securityManager(){

        DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();

        securityManager.setRealm(myShiroRealm());

        securityManager.setSessionManager(sessionManager());

        return securityManager;

    }

    /**

     *  开启shiro aop注解支持.

     *  使用代理方式;所以需要开启代码支持;

     * @param securityManager

     * @return

     */

    @Bean

    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager){

        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();

        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);

        return authorizationAttributeSourceAdvisor;

    }

    @Bean(name="simpleMappingExceptionResolver")

    public SimpleMappingExceptionResolver

    createSimpleMappingExceptionResolver() {

        SimpleMappingExceptionResolver r = new SimpleMappingExceptionResolver();

        Properties mappings = new Properties();

        mappings.setProperty("DatabaseException", "databaseError");//数据库异常处理

        mappings.setProperty("UnauthorizedException","403");

        r.setExceptionMappings(mappings);  // None by default

        r.setDefaultErrorView("error");    // No default

        r.setExceptionAttribute("exception");     // Default is "exception"

        //r.setWarnLogCategory("example.MvcLogger");     // No default

        return r;

    }

}
												


											
自定义shiro实现权限验证方法isAccessAllowed的更多相关文章
	

    
								
  1. 基于 Annotation 拦截的 Spring AOP 权限验证方法
		
    基于 Annotation 拦截的 Spring AOP 权限验证方法 转自:http://www.ibm.com/developerworks/cn/java/j-lo-springaopfilte ...
    
		
    2. 
						
  2. web权限验证方法说明[转载]
		
    前言 本文将会从最基本的一种web权限验证说起,即HTTP Basic authentication,然后是基于cookies和tokens的权限验证,最后则是signatures和一次性密码. HT ...
    
		
    3. 
						
  3. shiro登陆权限验证
		
    一>引入shirojar包 <!-- shiro登陆权限控制 -->        <dependency>            <groupId>org. ...
    
		
    4. 
						
  4. MVC 自定义AuthorizeAttribute 实现权限验证
		
    MVC内置的AuthorizeFilter先于Action/Result过滤器执行,为网站权限验证提供了很好的一套验证机制. 通过自定义的AuthorizeAttribute可以实现对用户权限的验证. ...
    
		
    5. 
						
  5. 当shiro不进入自定义realm的权限认证方法时
		
    需要加入下面的一个bean @Bean public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){ DefaultAdvisorA ...
    
		
    6. 
						
  6. SpringMVC拦截器+Spring自定义注解实现权限验证
		
    特别提示:本人博客部分有参考网络其他博客,但均是本人亲手编写过并验证通过.如发现博客有错误,请及时提出以免误导其他人,谢谢!欢迎转载,但记得标明文章出处:http://www.cnblogs.com/ ...
    
		
    7. 
						
  7. 自定义UserProvider,更改验证方法
		
    新建UserProvider,如果继承EloquentUserProvider,注入model是必须的,或者去继承interface,自己实现一些方法 use Illuminate\Auth\Eloq ...
    
		
    8. 
						
  8. Shiro后台实现验证权限
		
    今天发现一个问题:使用shiro的时候,虽然隐藏掉了一些菜单,但是当我们通过get请求直接访问菜单的时候还是会访问到,也就是shiro可以在界面实现隐藏一些信息,但是没有真正的根据权限码验证请求,于是 ...
    
		
    9. 
						
  9. @RequiresPermissions注解的作用,超级简单的权限验证
		
    是shiro里面权限验证的一个注解 @RequiresPermissions(value = {"engineeringPause:download", "workCon ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. MongoDB自学(4)
			
    超过存储上限或记录条数删除最早的记录:db.createCollection("集合名",{capped:true,size:1024,max:100})注解:指定集合名的最大记录 ...
    
			
    2. 
						
  2. C#隐式转换与显示转换
			
    System.Objec时C#中所有类型的基类,也就是万类之源. 一.值类型 值类型都继承自System.ValueType(派生自System.Objec),继承自System.ValueType的 ...
    
			
    3. 
						
  3. Win7环境 搭建IIS环境。发布asp.net MVC项目到IIS(第二期)
			
    在IIS环境中给发布项目修改域名,192.168.1.1:8081  ---->> www.preject.com 一.在网站主页中,1找到绑定网站.2编辑. 二.修改网站配置参数. 三. ...
    
			
    4. 
						
  4. js坚持不懈之16:使用js向HTML元素分配事件
			
    向 button 元素分配 onclick 事件: <!DOCTYPE html> <html> <body> <p>点击按钮就可以执行 <em& ...
    
			
    5. 
						
  5. mysql No query specified
			
    MySQL SHOW CREATE TABLE tablename \G; 会出现 ERROR: No query specified 原因 去掉分号 ; \g \G三者选其一即可.
    
			
    6. 
						
  6. Jdk 接口类RandomAccess了解
			
    1. 接口说明 Marker interface used by List implementations to indicate that they support fast (generally  ...
    
			
    7. 
						
  7. centos修改默认启动级别
			
    Linux分为7个启动级别: 0 - 系统停机状态 1 - 单用户工作状态 2 - 多用户状态(没有NFS) 3 - 多用户状态(有NFS) 4 - 系统未使用,留给用户 5 - 图形界面 6 - 系 ...
    
			
    8. 
						
  8. Jsp的基本知识
			
    jsp页面的基本组成部分:指令,表达式,小脚本,声明,注释,静态内容. 指令元素有三种: 1.page:eg <%@ page 属性名="属性值" 属性名="属性值 ...
    
			
    9. 
						
  9. 【Shell基础】循环:for、while、until
			
    1.for循环 ..};do echo "for loop" done 2.while循环 be_s= en_s= while [ "$be_s" -le &q ...
    
			
    10. 
						
  10. git常用命令说明教程
			
    git常用命令说明教程 git介绍 是一个分布式的,版本控制软件.每台使用git的电脑都是一个分版本库.svn是集中管理的. 安装git 一 git相关操作 1.官网下载最新版安装https://gi ...
    
			
    11.