shiroFilter配置文件详解关于默认的and关系改为or

最新推荐文章于 2024-08-11 22:20:54 发布
最新推荐文章于 2024-08-11 22:20:54 发布
阅读量2.1k 收藏
点赞数
分类专栏: java 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ruihaol/article/details/52653008
版权



由于shiro默认对于角色授权的拦截是and关系,只有当该用户拥有配置的一个多个角色是才可通过

/user/add = roles["admin,test"]
当该角色同时拥有这两个角色时才可进入user/add的页面中

这显然是不够我们使用的,但是我们可以自定义一个filter实现or关系

自定义的shiroOrFilter如下

/**
 * 自定义校验规则(or)
 * 只要满足其中一个角色即可了
 */
public class CustomRolesAuthorizationFilter extends AuthorizationFilter {
    @Override
	protected boolean isAccessAllowed(ServletRequest request,
			ServletResponse response, Object mappedValue) throws Exception {
		Subject subject = getSubject(request, response);
		String[] rolesArray = (String[]) mappedValue;

        if (rolesArray == null || rolesArray.length == 0) {
            return true;
        }
        for (String aRolesArray : rolesArray) {
            if (subject.hasRole(aRolesArray)) {
                return true;
            }
        }
        return false;
    }
}
shiro配置中这样写 

<pre name="code" class="java"><!-- 因为shiro的角色控制在shiroFilter需要满足and逻辑,此处我们自定义一个满足or逻辑的-->
    <bean id="cRole" class="gcu.shiro.CustomRolesAuthorizationFilter" />
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean" depends-on="cRole">
    <property name="loginUrl" value="/user/index"/>
    <property name="securityManager" ref="securityManager"/>
    <property name="unauthorizedUrl" value="/user/noAuthority"/>
    <property name="filters">
        <map>
            <entry key="cRole" value-ref="cRole"/>
        </map>
    </property>
    <property name="filterChainDefinitions">
        <value>
            /css/** = anon
            /font/** = anon
            /images/** = anon
            /js/** = anon
            /user/index = anon
            /user/login = anon

            /**/add = cRole["ADMIN,SUPER"]
            /**/list = cRole["ADMIN,SUPER"]

            /**/edit/**= cRole[SUPER]
            /**/del/**= cRole[SUPER]

            /** = authc
        </value>
    </property>
</bean>


 

 
此处要注意,之前的roles要被cRole所替代,否则过滤不成功
 

/user/add = cRole["admin,test"]
 

</pre><pre code_snippet_id="1898542" snippet_file_name="blog_20160924_7_7731479" name="code" class="java">
 

此时只要满足一个角色就可以访问了
 

 


 
 

shiro 最基本的demo 实现了权限、角色、等的管理。但没有使用本文介绍的角色问题,此demo权限更加细粒化
 

shiro demo  https://github.com/haois/shiro-rbac-demo.git(spring springmvc mybatis maven)
 
 

 

 

 


 

                

        

        

    

  


    

      

        

            

              
                
                  好好的浩浩
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
shiro配置详解

				
			

			

				

					qq_35731738的博客
				

				

					03-29
					
					471
					
				

			

		

		

			
				
1、配置web.xml   &lt;!-- Shiro Filter is defined in the spring application context: --&gt;    &lt;filter&gt;        &lt;filter-name&gt;shiroFilter&lt;/filter-name&gt;        &lt;filter-class&gt;org.sprin...

			
		

	



                

              
                



	

		

			

				
					
Shiro框架-史上详解

				
			

			

				

					qq_46416934的博客
				

				

					08-02
					
					579
					
				

			

		

		

			
				
权限管理概述某个拥有什么,被允许做什么事情()用户登录—>分配角色---->(权限关联映射)---->鉴权(拥有什么什么权限)

			
		

	



                


  
              

                


	

		

			

				
					
【Apache-Shiroshiro配置详解

				
			

			

				

					如切如磋,如琢如磨,臻于至善。
				

				

					02-16
					
					5035
					
				

			

		

		

			
				
Apache-Shiro旨在简化身份验证和授权,为企业应用提供安全解决方案。1.配置web.xml<filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

			
		

	





	

		

			

				
					
Shiro详解

					
最新发布

				
			

			

				

					weixin_57356976的博客
				

				

					08-11
					
					510
					
				

			

		

		

			
				
在web.xml文件里配置shiro过滤器shiroFilter,DelegatingFilterProxy实际上是Filter的一个代理对象,默认情况下,Spring会到IOC容器查找和对应的filter bean,也可以通过targetBeanName的初始化参数来配置filter bean的id:</</</</</</</</</</</</

			
		

	



		

			
		



	

		

			

				
					
web.xml中的shiroFilter配置

				
			

			

				

					qq_33554740的博客
				

				

					03-01
					
					1436
					
				

			

		

		

			
				
参考路径:http://blog.csdn.net/u013132051/article/details/54949632常情况下,我们需要将shirofilter配置在所有的filter前面,当然和encodingFilter这个filter是不区分前后的Shiros是我们开发中常用的用来实现权限控制的一种工具包,它主要有认证、授权、加密、会话管理、与Web集成、缓存等功能。我是从事javaw...

			
		

	





	

		

			

				
					
ShiroFilter

				
			

			

				

					架构之路
				

				

					02-05
					
					2059
					
				

			

		

		

			
				
ShiroFilter 的工作原理    <!-- Shiro Filter is defined in the spring application context: -->
    <!-- 
    1. 配置  ShiroshiroFilter.  
    2. DelegatingFilterProxy 实际上是 Filter 的一个代理对象. 默认情况下, Spring 会到 I

			
		

	





	

		

			

				
					
简单shiro扩展实现NOT、AND、OR权限验证

				
			

			

				

					jinnianshilongnian的专栏
				

				

					05-09
					
					367
					
				

			

		

		

			
				

使用过shiro的朋友应该都知道在要想实现any permission的验证是比较麻烦。
 
很多朋友刚开始接触时以为如&lt;shiro:hasPermission name="showcase:tree:*"&gt; 代表验证拥有任何权限,但这是错误的。如果我们把showcase:tree:*授权给用户,那么此时表示用户具有showcase:tree资源的任意权限,如&lt;shiro...

			
		

	





	

		

			

				
					
关于shiro拦截器filterChainDefinitions的设置及使用过程源码分析

				
			

			

				

					平凡的世界
				

				

					05-14
					
					1万+
					
				

			

		

		

			
				
shiro源码分析,查了些资料,针对于在shiro框架中设置filterChainDefinitions遇到的小问题,做一下分析备忘记录。问题描述:在设置filterChainDefinitions的时候,如果/k/**设置在/k/index之前,那么/k/index将不会生效,有规则说:拦截器的优先级是从上到下,从左到右,如果有匹配的拦截器就会阻断并返回。源码分析filterChainDefin...

			
		

	





	

		

			

				
					
Spring security配置详解

				
			

			

				

					qq_22162093的博客
				

				

					12-21
					
					7335
					
				

			

		

		

			
				
一直对项目里的安全配置比较陌生,这次总结一下项目里的那些关于security配置
1、 核心组件
这一节主要介绍一些在 Spring Security 中常见且核心的 Java 类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。
1.1 SecurityContextHolder
SecurityContextHolder 用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限… 这些都被保存在 Security

			
		

	





	

		

			

				
					
SpringMVC+Shiro整合配置文件详解

				
			

			

				

					空城旧事的博客
				

				

					11-03
					
					2万+
					
				

			

		

		

			
				
在项目中xml文件的配置是必不可少的,特别是SpringMVC框架。但是几乎所有项目的配置都是大同小异,很多人都是直接复制黏贴了事,不少人对其具体含义及用途都不甚全知。本片文章将正对项目中常用的框架SpringMVC+Shiro进行整合,并对其中关键和部分常识性问题进行注释讲解,方便在以后的项目编写中查阅和熟悉。

1、web.xml文件的配置
所有javaweb项目第一步要做的就是对web

			
		

	





	

		

			

				
					
shiro注解更改角色权限认证方式,和和或

				
			

			

				

					natural_的博客
				

				

					07-17
					
					2309
					
				

			

		

		

			
				
shiro默认的权限认证方式是和方式,比如@RequiresRoles({"admin","devoloper"}) 检查方式需要此时在线的用户同时拥有admin和devoloper两种角色。但有时候咱们只需要用户有其中一种角色就便可以访问,在网上看了一下有许多人都选择继承shiro过滤器,然后把自己继承的过滤器配置到配置文件,使用自己编写的过滤器来完成角色认证。 
其实不需要这么麻烦。在注解方式

			
		

	





	

		

			

				
					
Shiro自定义过滤器

				
			

			

				

					大白的博客
				

				

					05-13
					
					1578
					
				

			

		

		

			
				
最近在学习shiro。
由于shiro过滤器是与的格式,在实际编辑过滤器链的时候
/admin/** = authc,roles[admin,passenger]

本意是想admin和passenger角色都能够拥有对 /admin/** 的进行访问,但是shiro内部过滤器的逻辑是与,即同时拥有admin和passenger的角色才可以对路径进行访问。
因此,需要自己定义一个过滤器实现或的逻辑,定义一个过滤器如下
public class CustomRolesAuthorizationFilter

			
		

	





	

		

			

				
					
(五)设计模式之迭代器模式(Iterator)

				
			

			

				

					卷心菜投手
				

				

					11-21
					
					220
					
				

			

		

		

			
				
前言:

参考图书:软件设计模式与体系结构

参考博客:https://www.cnblogs.com/wanson/articles/9277813.html

 

正题:

        迭代器(iterator)有时又称游标(cursor)是程序设计的软件设计模式,可在容器(container,例如链表或阵列)上遍访的接口,设计人员无需关心容器的内容。

代码示例:

1
			MyIt...

			
		

	





	

		

			

				
					
Springboot+Shiro实现动态权限验证

				
			

			

				

					Eagga_Lo的博客
				

				

					12-24
					
					1620
					
				

			

		

		

			
				
本文将带你从0开始搭建一个Springboot+shiro动态权限控制


首先你得知道什么是Shiro?


Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解API,你可以快速、轻松地获取任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
官网:[点我进入]


开发环境:



<!-- shiro --...

			
		

	





	

		

			

				
					
前后端分离之shiro实现权限控制的一些问题

				
			

			

				

					llll20000的专栏
				

				

					06-02
					
					1万+
					
				

			

		

		

			
				
前言

现在做项目,大多都是前后端分离;权限控制都是在后台实现,前端使用ajax调用后台接口。

但是ajax对接口返回的重定向是没发处理的,会出现异常(具体错误是哪个一时想不起来了);当shiro发现失效后的session时通常会将该请求重定向到loginUrl,或者是用户访问的某个资源权限不足时(会重定向到unAuthorizedUrl),这时Ajax请求基本都是出错的。

解决方案


  ...

			
		

	





	

		

			

				
					
Shiro过滤器配置(ShiroFilterFactoryBean)

					
热门推荐

				
			

			

				

					霓虹深处
				

				

					03-30
					
					4万+
					
				

			

		

		

			
				
这篇博客就是记录一下shiro过滤器的配置和一些注意事项


    /**
     * Shiro过滤器配置
     */
    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilter() {
        ShiroFilterFactoryBean shiroFilter = new Shir...

			
		

	





	

		

			

				
					
shiro权限框架

				
			

			

				

					qq_40108680的博客
				

				

					04-11
					
					253
					
				

			

		

		

			
				
shiro权限框架
1.shiro依赖包
<!-- shiro的支持包 -->
 <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-all</artifactId>
    <version>1.4.0</ve...

			
		

	





	

		

			

				
					
Shiro学习笔记(3)——授权(Authorization)

				
			

			

				

					君君的专栏
				

				

					05-28
					
					1万+
					
				

			

		

		

			
				
什么是授权
授权三要素
Shiro的三种授权方式
1 编码方式授权
2 基于注解的授权
3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素
权限
  请看Shiro学习笔记(1)——shiro入门中权限部分内容角色
  通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户

			
		

	





	

		

			

				
					
Druid配置详解与数据摄取示例

				
			

			

				

					
				

			

		

		

			
				
" Druid配置文件详解,包括摄取配置文件结构、数据解析模式、数据源、数据粒度规则等,结合示例说明了配置文件的使用。"  Apache Druid 是一个高性能、分布式、列式存储的数据仓库,常用于实时数据分析。配置文件在...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值