由于Shiro filterChainDefinitions中 roles默认是and, admin= user,roles[system,general] 
比如:roles[system,general] ,表示同时需要“system”和“general” 2个角色(权限)才通过认证,缺一不可。
但是在实际业务中,一个端口往往同时对几个角色开放。比如管理员账号拥有访问所有端口的权限。那么此时的and显然是不合时宜的,与之替代的是or

一、重新实现AuthorizationFilter类
import org.apache.shiro.subject.Subject;

import org.apache.shiro.web.filter.authz.AuthorizationFilter;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

/**

 * @Auther: lanhaifeng

 * @Date: 2019/4/18 0018 17:40

 * @Description:支持多角色验证

 * 由于Shiro filterChainDefinitions中 roles默认是and,

 * = user,roles[system,general]

 * 比如:roles[system,general] ,表示同时需要“system”和“general” 2个角色才通过认证

 * 但是在实际业务中,一个端口的权限往往对多个角色开放(比如管理员可以使用一切权利)

 */

public class MyRolesAuthorizationFilter extends AuthorizationFilter{

    @Override

    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)

            throws Exception {

        Subject subject = getSubject(request, response);

        String[] rolesArray = (String[]) mappedValue;

        //没有权限访问

        if (rolesArray == null || rolesArray.length == 0) {

            return true;

        }

        for (int i = 0; i < rolesArray.length; i++) {

            //若当前用户是rolesArray中的任何一个,则有权限访问

            if (subject.hasRole(rolesArray[i])) {

                return true;

            }

        }

        return false;

    }

}

二、在ShiroConfig引用,其实spring boot集成shiro也就这两步,加上自定义权限验证 和自定义登录验证。

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;

import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.handler.SimpleMappingExceptionResolver;

import javax.servlet.Filter;

import java.util.HashMap;

import java.util.LinkedHashMap;

import java.util.Map;

import java.util.Properties;

@Configuration

public class ShiroConfig {

    @Bean

    public ShiroFilterFactoryBean shirFilter(DefaultWebSecurityManager securityManager) {

        //System.out.println("ShiroConfiguration.shirFilter()");

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //添加自定义验证方法,注意这个Filter继承javax.servlet.Filter

        Map<String, Filter> filterMap=new HashMap<>();

        filterMap.put("rolesOr",roleFilter());

        shiroFilterFactoryBean.setFilters(filterMap);

        //拦截器.

        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();

        // 配置不会被拦截的链接 顺序判断

        filterChainDefinitionMap.put("/static/**", "anon");

        filterChainDefinitionMap.put("/gif/**", "anon");

        //配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了

        filterChainDefinitionMap.put("/sanyi/logout", "logout");

        //<!-- 过滤链定义,从上向下顺序执行,一般将/**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;

        //<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->

        filterChainDefinitionMap.put("/sanyi/index", "anon");/*swagger*/

        filterChainDefinitionMap.put("/swagger-ui.html", "anon");

        filterChainDefinitionMap.put("/swagger-resources/**", "anon");

        filterChainDefinitionMap.put("/v2/**", "anon");

        filterChainDefinitionMap.put("/webjars/**", "anon");

        /*business业务端(1管理员,3业务员)*/

        filterChainDefinitionMap.put("/contract/base/**", "authc,rolesOr[1,3]");
     /*其他,一定要采取白名单*/

        filterChainDefinitionMap.put("/**", "authc");

        // 如果不设置默认会自动寻找Web工程根目录下的"/login"页面

        shiroFilterFactoryBean.setLoginUrl("/sanyi/index");

        // 登录成功后要跳转的链接

        shiroFilterFactoryBean.setSuccessUrl("/");

        //未授权界面;

        shiroFilterFactoryBean.setUnauthorizedUrl("/sanyi/nopermission");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;

    }

    @Bean

    public MyRolesAuthorizationFilter roleFilter(){

        MyRolesAuthorizationFilter roleFilter=new MyRolesAuthorizationFilter();

        return roleFilter;

    }

    /**

     * 密码凭证匹配器

     * (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了

     * )

     * @return

     */

    @Bean

    public HashedCredentialsMatcher hashedCredentialsMatcher(){

        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();

        hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;

        hashedCredentialsMatcher.setHashIterations(10);//散列的次数10哈哈;

        return hashedCredentialsMatcher;

    }

    /**

     * 身份认证realm; (这个需要自己写,账号密码校验;权限等)

     * @return

     */

    @Bean

    public MyShiroRealm myShiroRealm(){

        MyShiroRealm myShiroRealm = new MyShiroRealm();

        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());

        return myShiroRealm;

    }

    /**

     * 会话管理器

     * @return

     */

    @Bean

    public DefaultWebSessionManager sessionManager(){

        DefaultWebSessionManager sessionManager=new DefaultWebSessionManager();

        sessionManager.setGlobalSessionTimeout(1800000);//单位是ms

        return sessionManager;

    }

    @Bean

    public DefaultWebSecurityManager securityManager(){

        DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();

        securityManager.setRealm(myShiroRealm());

        securityManager.setSessionManager(sessionManager());

        return securityManager;

    }

    /**

     *  开启shiro aop注解支持.

     *  使用代理方式;所以需要开启代码支持;

     * @param securityManager

     * @return

     */

    @Bean

    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager){

        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();

        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);

        return authorizationAttributeSourceAdvisor;

    }

    @Bean(name="simpleMappingExceptionResolver")

    public SimpleMappingExceptionResolver

    createSimpleMappingExceptionResolver() {

        SimpleMappingExceptionResolver r = new SimpleMappingExceptionResolver();

        Properties mappings = new Properties();

        mappings.setProperty("DatabaseException", "databaseError");//数据库异常处理

        mappings.setProperty("UnauthorizedException","403");

        r.setExceptionMappings(mappings);  // None by default

        r.setDefaultErrorView("error");    // No default

        r.setExceptionAttribute("exception");     // Default is "exception"

        //r.setWarnLogCategory("example.MvcLogger");     // No default

        return r;

    }

}
												


											
自定义shiro实现权限验证方法isAccessAllowed的更多相关文章
	

    
								
  1. 基于 Annotation 拦截的 Spring AOP 权限验证方法
		
    基于 Annotation 拦截的 Spring AOP 权限验证方法 转自:http://www.ibm.com/developerworks/cn/java/j-lo-springaopfilte ...
    
		
    2. 
						
  2. web权限验证方法说明[转载]
		
    前言 本文将会从最基本的一种web权限验证说起,即HTTP Basic authentication,然后是基于cookies和tokens的权限验证,最后则是signatures和一次性密码. HT ...
    
		
    3. 
						
  3. shiro登陆权限验证
		
    一>引入shirojar包 <!-- shiro登陆权限控制 -->        <dependency>            <groupId>org. ...
    
		
    4. 
						
  4. MVC 自定义AuthorizeAttribute 实现权限验证
		
    MVC内置的AuthorizeFilter先于Action/Result过滤器执行,为网站权限验证提供了很好的一套验证机制. 通过自定义的AuthorizeAttribute可以实现对用户权限的验证. ...
    
		
    5. 
						
  5. 当shiro不进入自定义realm的权限认证方法时
		
    需要加入下面的一个bean @Bean public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){ DefaultAdvisorA ...
    
		
    6. 
						
  6. SpringMVC拦截器+Spring自定义注解实现权限验证
		
    特别提示:本人博客部分有参考网络其他博客,但均是本人亲手编写过并验证通过.如发现博客有错误,请及时提出以免误导其他人,谢谢!欢迎转载,但记得标明文章出处:http://www.cnblogs.com/ ...
    
		
    7. 
						
  7. 自定义UserProvider,更改验证方法
		
    新建UserProvider,如果继承EloquentUserProvider,注入model是必须的,或者去继承interface,自己实现一些方法 use Illuminate\Auth\Eloq ...
    
		
    8. 
						
  8. Shiro后台实现验证权限
		
    今天发现一个问题:使用shiro的时候,虽然隐藏掉了一些菜单,但是当我们通过get请求直接访问菜单的时候还是会访问到,也就是shiro可以在界面实现隐藏一些信息,但是没有真正的根据权限码验证请求,于是 ...
    
		
    9. 
						
  9. @RequiresPermissions注解的作用,超级简单的权限验证
		
    是shiro里面权限验证的一个注解 @RequiresPermissions(value = {"engineeringPause:download", "workCon ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 西湖论剑2019复现-Web之首家线上赌场上线啦
			
    首页打开 经过测试发现name和code参数可控,但尝试注入没有发现注入点,于是直接扫描目录找思路 一扫描,果然有问题 目录扫描里面可以看到有一个/.DS_Store的文件,DS_Store是Mac  ...
    
			
    2. 
						
  2. windows下编译Grafana前端
			
    本次介绍一下Windows环境源码编译步骤. 准备 安装Go 1.8.1 安装NodeJS LTS 安装Git 安装golang开发环境:  参考链接:https://www.cnblogs.com/ ...
    
			
    3. 
						
  3. Python-语法模板大全(常用)
			
    目录 1.怎么存数据 变量: 字符串: 不可变对象 列表: 元组: 字典: 三大容器的遍历方法 2.怎么用数据 数字操作符: 判断循环: 3.函数 4. Python核心编程 4.1. 列表生成器 5 ...
    
			
    4. 
						
  4. WPF 控件之 Popup
			
    1.经常使用属性说明 IsOpen: 布尔值,指示 Popup 控件是否显示 StaysOpen: 布尔值,指示在 Popup 控件失去焦点的时候,是否关闭 Popup 控件的显示 PopupAnim ...
    
			
    5. 
						
  5. dig请求和回应中的参数解释
			
    ; <<>> DiG 9.9.5-3ubuntu0.6-Ubuntu <<>> baidu.com dig这个程序的版本号和要查询的域名 ;; glob ...
    
			
    6. 
						
  6. 微信连wifi认证
			
    官网 https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1444894086 https://blog.csdn.net/u0116 ...
    
			
    7. 
						
  7. request+response+jsp+el+jstl
			
    response: 1.设置响应行的状态码: response.setStatus(int sc); 2.设置response缓冲区的编码:response.setCharacterEncoding( ...
    
			
    8. 
						
  8. sql 根据身份证号码计算年龄
			
    ,), GETDATE()) / 365.25) from ConstructionInfo
    
			
    9. 
						
  9. 关于【jq插件开发】
			
    很详细,原文链接:https://www.cnblogs.com/Wayou/p/jquery_plugin_tutorial.html#commentform和https://www.cnblogs ...
    
			
    10. 
						
  10. MT【323】向量模的范围
			
    已知单位向量 $\overrightarrow e_1,\overrightarrow e_2$ 的夹角为 $120^\circ$,$\left|x\overrightarrow e_1+y\over ...
    
			
    11.