shiro配置filterchaindefinitions实现多角色判定方法的重写

最新推荐文章于 2023-03-24 21:35:24 发布
置顶 最新推荐文章于 2023-03-24 21:35:24 发布
阅读量6.1k 收藏 4
点赞数 6
文章标签: java shiro jquery 编程 遍历
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaoyao9565/article/details/50962614
版权

不知道在使用shiro中出现这种问题,在进行登录拦截赋予用户权限时,需要赋予用户多个角色权限,而在访问地址拦截时访问控制中当用户拥有多个角色权限的任意其一,则可以访问此页面。例如:

   <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
        <property name="filterChainDefinitions">  
            <value> 
               	<!-- 权限拦截 -->
                /userRole/**=roles[admin,isShopMan]
                <!-- 域名访问,未登录跳转登陆页面,已登陆根据角色跳转对应主页面 -->
                /=examine
            </value>  
        </property>  
   </bean>

当前登录用户拥有admin或者isShopMan两种role中的任一个,则可以访问/userRole/**的地址,而由于shiro配置filterchaindefinitions中的roles默认的判断是&,也就是当角色同时是admin和isShopMan的时候,才可以访问此地址,所以如果在登录的时候赋予用户的角色权限是两者的中的一个的时候,当访问此页面时无论如何都是没有访问权限的。。。

那么,如何解决此问题呢?这里就需要重写过滤器用来继承AuthorizationFilter了,将里面的判断方法改变,大致方法如下:

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;

public class CustomRolesAuthorizationFilter extends AuthorizationFilter {

	@Override
	protected boolean isAccessAllowed(ServletRequest req,ServletResponse resp, Object mappedValue) throws Exception {
		
		Subject subject = getSubject(req, resp);
		String[] rolesArray = (String[]) mappedValue;

		if (rolesArray == null || rolesArray.length == 0) { //没有角色限制,有权限访问
			return true;
		}
		for (int i = 0; i < rolesArray.length; i++) {
			if (subject.hasRole(rolesArray[i])) { //若当前用户是rolesArray中的任何一个,则有权限访问
				return true;
			}
		}

		return false;
	}

}

在这里需要重写AuthorizationFilter中的isAccessAllowed方法,使其对角色判断变为拥有其一则返回true。

然后在spring的配置文件中加入如下代码:

     <!--自定义的Roles Filter-->  
    <bean id="anyRoles" class="com.ssxt.ycfxf.host.filter.CustomRolesAuthorizationFilter" />  


   <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
        <property name="filterChainDefinitions">  
            <value> 
               	<!-- 权限拦截 -->
                /userRole/**=anyRoles[admin,isShopMan]
                <!-- 域名访问,未登录跳转登陆页面,已登陆根据角色跳转对应主页面 -->
                /=examine
            </value>  
        </property>  
   </bean>


这里使用自定义的anyRoles判断拦截,则登录绑定admin或者是isShopMan中的任意一个角色,则都可以进行拦截管理。则可以使用自定义的拦截器进行自定义拦截了。

码旺
关注
  • 6
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot shiro添加多角色or关系权限管理
qq727580714的博客
09-27 2610
使用shiro时遇到一个问题,想为多个角色分配同一权限,也就是只要满足其中一个角色,就可以获得该权限,多角色之间是or关系而非and,但是shiro自带的方法同一权限只能分配一个角色。 // 使用如下Shiro自带的方法实现角色权限分配,无法实现 filterChainDefinitionMap.put("/user/**", "roles[admin]"); filterChainDefini...
Java中SSM+Shiro系统登录验证码的实现方法
08-31
主要介绍了 SSM+Shiro系统登录验证码的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
shiro授权拦截器的重写
lanlansir的博客
12-01 1321
shiro整合前后端分离的springboots,Vue项目真的是有很多大坑啊。 直接进总结: 先看总结 今天我的主题是:如何设置shiro过滤器。 遇到问题:我的项目是前后端分离的,shiro里面有一个shiroFilterFactoryBean.setUnauthorizedUrl(“你自己的url”); 函数 这是什么意思呢:这表示如果你访问了一个需要权限的url,但是目前你登陆的角色没有权限,那么页面默认跳转的地址。 看着似乎是没啥毛病。 但是!!! 如果是前后端分离怎么办呢?后端shiro让项目
shiro 重写AuthorizationFiltershiro没有权限的时候不重定向,而是执行一个回显操作(初探)
qq_43077857的博客
07-08 6081
这里在项目需求完成的过程 以前没有权限直接跳转403.html 这样代码非常不灵活 而且前端如果不是html的页面没有权限经常跳不到403的页面 会报一个302的错误 我这里想重写下这个配置后直接跳转到403页面的方式 最好能够返回一段json 这样我前端直接判断json中的数据后前端做跳转到403页面 找了一下shiro中页面重定向的代码是这个AccessControlFilter中的onAc...
shiro授权&Shiro+jsp整合Springboot -Shiro
qq_43409973的博客
03-24 1050
shiro授权&Shiro+jsp整合Springboot -Shiro
SpringBoot项目中shiro过滤器的重写以及配置
yao_1996的博客
11-23 5140
跨域访问导致shiro拦截失效的问题问题解决方案1.重写shiro 登录 过滤器2.重写role权限 过滤器3.配置过滤器 问题 遇到问题:在前后端分离跨域访问的项目中shiro进行权限拦截失效 (即使有正确权限的访问也会被拦截) 时造成302重定向错误等问题 报错:Response for preflight is invalid (redirect) 1.302原因:使用ajax访问后端项目...
SSM整合shiro实现角色权限
03-31
初学shiro和大家共勉
基于Spring框架的Shiro配置方法
09-04
主要介绍了基于Spring框架的Shiro配置方法,需要的朋友可以参考下
Apache Shiro 使用手册(五) Shiro 配置说明
09-15
主要为大家分享了Apache Shiro 配置说明,需要的朋友可以参考下
vue与shiro结合实现权限按钮
12-15
vue+shiro实现前端细颗粒按钮级权限,并且可以实现删除和禁用两种不同模式,里面需要的前置技术包括 :vue\vue的自定义指令\vue的自定义插件\vuex
Shiro 权限管理filterChainDefinitions过滤器配置
热门推荐
萝卜
08-20 3万+
/** * Shiro-1.2.2内置的FilterChain * @see ============================================================================================================================= * @see 1)Shiro验证URL时,URL匹配
Shiro之urls配置多个角色
幻想家
05-15 4300
Shiro之urls配置多个角色使用shiro时想在一个url上配置多个角色,就是说多个角色都可以访问这一个url 尝试了三种方法,全部失败: /see=roles[admin, teacher](此为正确的配置方式) /see=roles[admin], roles[teacher] /see=roles[admin]    /see=roles[teacher] 下面说一下正确的方法 rol
Shiro学习笔记
小咸白鱼的博客
10-10 422
Shiro 1. 什么是权限管理 一般来说,一个系统对于不同的用户,提供的不同的功能,也就是权限不同。所以对于多角色的用户,一般需要进行权限管理,实现对用户访问系统的控制,按照安全规则或者安全策略控制用户只能访问自己被授权的资源。 ​ 权限管理包括对用户身份的 认证 和 授权 两部分。对于需要访问控制的资源,用户首先要经过身份认证,认证通过后,根据授予的权限,访问相应的资源。 认证 ​ 判断一个用户是否为合法用户。(用户登录校验、session验证、token验证都是常见的方式) 授权 ​ 也就是
shiroroles实现or关系的角色过滤
chen1218chen的专栏
06-20 6063
个人主页,欢迎来访原文链接roles参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,每个参数通过才算通过,相当于hasAllRoles()方法shiro角色过滤是and的关系。而最近根据项目需求,要求订阅号管理模块,多个角色都可以进行管理,角色的过滤非and关系而是or的关系,applicationContext.xml中roles[“管理员”,”订阅号”]不能实现
shiro配置一个路径可多个角色访问
码来-陈平安的博客
04-05 932
一、问题 在shiroConfirg配置类中,对于下类路径的访问控制通常表示具有两种角色才能访问,但我们有时可能对于某一个路径而言,需要多个角色均可以访问,解决办法是配置自己的过滤器。 chainDefinition.addPathDefinition("/manage/**", "authc, roles[administrator,评审人员]"); 二、解决 1.在ShiroConfig中的ShiroFilterFactoryBean 下引入自己编写的过滤器 MyShiroFilter, @B
shiro角色roles)自定义Filter----同一个URL配置多个角色的或关系
直到世界的尽头
03-08 1万+
情况介绍roles:正常情况下URL路径的拦截设置如下:/admins/user/**=roles[admin]参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如/admins/user/**=roles["admin,guest"]但是这个设置方法是需要每个参数满足才算通过,相当于hasAllRoles()方法。也就是我们的角色必须同时拥有admin和guest权限
Shiro
小牧的博客
08-03 562
Shiro Apache旗下的一款安全权限框架 shiro可以完成:认证,加密,授权,会话管理,以及web集成, 什么是shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 Apache Shiro 特性 Apache Shiro是一个全面的、蕴含丰富功能的安全框架 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现`对用户访问系统的
Shiro---角色和权限的校验方法
Apple_Andy的博客
09-11 819
一.角色校验 1.hasRole(String role) hasRole是判断是否具有某个角色:有就返回true,没有就返回false 2.hasRoles(List roles) 判断是否具有多个角色:返回值是一个boolean的数组,数组中的每一个元素代表了是否具有的角色 3.hasAllRoles(Collection roles) 判断是否具有多个角色:如果提供列表中没有用户所具有的角色,则返回false,如果都存在,返回true 4. subject.checkXxx() 也是判断用户是否具有角
shrio 权限管理filterChainDefinitions过滤器配置
qq635708614的专栏
12-16 7374
/** * Shiro-1.2.2内置的FilterChain * @see ============================================================================================================================= * @see 1)Shiro验证URL时,URL匹配成功
springboot shiro filterchaindefinitions 没生效
最新发布
05-19
1. 确认你的Shiro配置文件中是否正确配置FilterChainDefinitions。可以尝试在配置文件中添加一些简单的规则,比如“/index.html = anon”,来验证是否生效。 2. 确认你的Shiro配置文件是否正确加载。可以在配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值