shiro配置filterchaindefinitions实现多角色判定方法的重写

最新推荐文章于 2022-08-25 04:49:48 发布
最新推荐文章于 2022-08-25 04:49:48 发布
阅读量1k 收藏
点赞数
分类专栏: java 文章标签: spring java
原文链接:https://www.cnblogs.com/huangmp1024/p/6090886.html
版权

需求:,在进行登录拦截赋予用户权限时,需要赋予用户多个角色权限,而在访问地址拦截时访问控制中当用户拥有多个角色权限的任意其一,则可以访问此页面。

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">    
         <property name="filterChainDefinitions">    
             <value>   
                    <!-- 权限拦截 -->  
                 /userRole/**=roles[admin,isShopMan]  
                 <!-- 域名访问,未登录跳转登陆页面,已登陆根据角色跳转对应主页面 -->  
                 /=examine  
             </value>    
         </property>    
    </bean>

当前登录用户拥有admin或者isShopMan两种role中的任一个,则可以访问/userRole/**的地址,而由于shiro配置filterchaindefinitions中的roles默认的判断是&,也就是当角色同时是admin和isShopMan的时候,才可以访问此地址,所以如果在登录的时候赋予用户的角色权限是两者的中的一个的时候,当访问此页面时无论如何都是没有访问权限的。。。

那么,如何解决此问题呢?这里就需要重写过滤器用来继承AuthorizationFilter了,将里面的判断方法改变,大致方法如下:

    import javax.servlet.ServletRequest;  
    import javax.servlet.ServletResponse;  
      
    import org.apache.shiro.subject.Subject;  
    import org.apache.shiro.web.filter.authz.AuthorizationFilter;  
    public class CustomRolesAuthorizationFilter extends AuthorizationFilter {  
        @Override  
        protected boolean isAccessAllowed(ServletRequest req,ServletResponse resp, Object mappedValue) throws Exception {  
            Subject subject = getSubject(req, resp);  
            String[] rolesArray = (String[]) mappedValue;  
      
            if (rolesArray == null || rolesArray.length == 0) { //没有角色限制,有权限访问  
                return true;  
            }  
            for (int i = 0; i < rolesArray.length; i++) {  
                if (subject.hasRole(rolesArray[i])) { //若当前用户是rolesArray中的任何一个,则有权限访问  
                    return true;  
                }  
            }  
            return false;  
        }  
    }

在这里需要重写AuthorizationFilter中的isAccessAllowed方法,使其对角色判断变为拥有其一则返回true。

然后在spring的配置文件中加入如下代码:

    <!--自定义的Roles Filter-->    
    lt;bean id="anyRoles" class="com.ssxt.ycfxf.host.filter.CustomRolesAuthorizationFilter" />   
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">    
     <property name="filterChainDefinitions">    
         <value>   
                <!-- 权限拦截 -->  
             /userRole/**=anyRoles[admin,isShopMan]  
             <!-- 域名访问,未登录跳转登陆页面,已登陆根据角色跳转对应主页面 -->  
             /=examine  
         </value>    
     </property>    
</bean>

这里使用自定义的anyRoles判断拦截,则登录绑定admin或者是isShopMan中的任意一个角色,则都可以进行拦截管理。则可以使用自定义的拦截器进行自定义拦截了。

小小土豆爱吃鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot shiro添加多角色or关系权限管理
qq727580714的博客
09-27 2640
使用shiro时遇到一个问题,想为多个角色分配同一权限,也就是只要满足其中一个角色,就可以获得该权限,多角色之间是or关系而非and,但是shiro自带的方法同一权限只能分配一个角色。 // 使用如下Shiro自带的方法实现角色权限分配,无法实现 filterChainDefinitionMap.put("/user/**", "roles[admin]"); filterChainDefini...
shiro授权&Shiro+jsp整合Springboot -Shiro
最新发布
qq_43409973的博客
03-24 1118
shiro授权&Shiro+jsp整合Springboot -Shiro
shiro授权拦截器的重写
lanlansir的博客
12-01 1400
shiro整合前后端分离的springboots,Vue项目真的是有很多大坑啊。 直接进总结: 先看总结 今天我的主题是:如何设置shiro过滤器。 遇到问题:我的项目是前后端分离的,shiro里面有一个shiroFilterFactoryBean.setUnauthorizedUrl(“你自己的url”); 函数 这是什么意思呢:这表示如果你访问了一个需要权限的url,但是目前你登陆的角色没有权限,那么页面默认跳转的地址。 看着似乎是没啥毛病。 但是!!! 如果是前后端分离怎么办呢?后端shiro让项目
shiro 重写AuthorizationFilter 让shiro没有权限的时候不重定向,而是执行一个回显操作(初探)
qq_43077857的博客
07-08 6129
这里在项目需求完成的过程 以前没有权限直接跳转403.html 这样代码非常不灵活 而且前端如果不是html的页面没有权限经常跳不到403的页面 会报一个302的错误 我这里想重写下这个配置后直接跳转到403页面的方式 最好能够返回一段json 这样我前端直接判断json中的数据后前端做跳转到403页面 找了一下shiro中页面重定向的代码是这个AccessControlFilter中的onAc...
SSM整合shiro实现角色权限
03-31
在Spring的配置文件中,我们需要定义Realm(域),这是Shiro与应用程序数据源交互的地方,通常需要继承AuthorizingRealm,并重写其中的doGetAuthenticationInfo和doGetAuthorizationInfo方法。例如: ```xml <!--...
基于Spring框架的Shiro配置方法
09-04
这里创建一个名为`MyRealm`的自定义Realm,继承自`AuthorizingRealm`,并重写`doGetAuthorizationInfo`和`doGetAuthenticationInfo`方法实现认证和授权逻辑: ```java public class MyRealm extends ...
Java中SSM+Shiro系统登录验证码的实现方法
08-31
此外,还可以配置Shiro拦截器来保护特定的URL,只有经过认证的用户才能访问。 总的来说,Java中的SSM+Shiro系统结合验证码技术,可以构建出安全的用户登录流程,防止恶意攻击,确保用户的账户安全。开发者可以根据...
vue与shiro结合实现权限按钮
12-15
1. **配置Shiro**:在后端服务器上,我们需要配置Shiro的Web环境,包括 Realm(域)的实现,用于从数据库或其他数据源加载用户、角色和权限信息。同时,设置Filter Chain,使Shiro能够拦截请求并执行权限校验。 2. ...
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
在本篇文章中,我们将详细介绍如何在 SpringBoot 项目中配置自定义密码加密器代码实例,使用 Shiro 框架来实现身份认证和授权管理。Shiro 框架提供了一个灵活的安全管理系统,可以满足各种应用场景的需求。 Shiro ...
SpringBoot项目中shiro过滤器的重写以及配置
yao_1996的博客
11-23 5171
跨域访问导致shiro拦截失效的问题问题解决方案1.重写shiro 登录 过滤器2.重写role权限 过滤器3.配置过滤器 问题 遇到问题:在前后端分离跨域访问的项目中shiro进行权限拦截失效 (即使有正确权限的访问也会被拦截) 时造成302重定向错误等问题 报错:Response for preflight is invalid (redirect) 1.302原因:使用ajax访问后端项目...
Shiro 权限管理filterChainDefinitions过滤器配置
热门推荐
萝卜
08-20 3万+
/** * Shiro-1.2.2内置的FilterChain * @see ============================================================================================================================= * @see 1)Shiro验证URL时,URL匹配
SpringMVC整合ShirofilterChainDefinitions过滤器配置
m0_67401270的博客
08-25 1416
port:例子/admins/user/**=port[8081],当请求的url的端口不是8081是跳转到schemal://serverName:8081queryString,其中schmal是协议http或https等,serverName是你访问的host,8081是url配置里port的端口,queryString。* @see 根据请求的方法,相当于/admins/user/**=perms[user:method],其中method为post,get,delete等。
shiro过滤器
qq_35366466的博客
01-06 1350
ShiroFilterFactoryBean实现FactoryBean,说明他是shiroFilter工厂类,他是怎么初始化能很好的工作呢?该类的入口方法是createInstance(),该方法实现了几个功能 1、创建了一个过滤器管理类FilterChainManager,该类主要管理shiro里的过滤器,里面有两个重要的属性 1.1 filters:管理全部过滤器,包括默认的身份验证和权限验证的过滤器,这些过滤器分为两组,一组是认证过滤器,有anon,authenBasic,auchc,user,一
Shiro---角色和权限的校验方法
Apple_Andy的博客
09-11 888
一.角色校验 1.hasRole(String role) hasRole是判断是否具有某个角色:有就返回true,没有就返回false 2.hasRoles(List roles) 判断是否具有多个角色:返回值是一个boolean的数组,数组中的每一个元素代表了是否具有的角色 3.hasAllRoles(Collection roles) 判断是否具有多个角色:如果提供列表中没有用户所具有的角色,则返回false,如果都存在,返回true 4. subject.checkXxx() 也是判断用户是否具有角
Shiro之urls配置多个角色
幻想家
05-15 4319
Shiro之urls配置多个角色使用shiro时想在一个url上配置多个角色,就是说多个角色都可以访问这一个url 尝试了三种方法,全部失败: /see=roles[admin, teacher](此为正确的配置方式) /see=roles[admin], roles[teacher] /see=roles[admin]    /see=roles[teacher] 下面说一下正确的方法 rol
springboot2+shiro 重写filter接口来调用自定义ream的登录校验方式
小小程序员
01-08 1327
本模式采用了springboot2+shiro 前后端分离的模式来做一个简易的用户权限管理系统 1.maven引用pom.xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring&lt...
Shiro学习笔记
小咸白鱼的博客
10-10 444
Shiro 1. 什么是权限管理 一般来说,一个系统对于不同的用户,提供的不同的功能,也就是权限不同。所以对于多角色的用户,一般需要进行权限管理,实现对用户访问系统的控制,按照安全规则或者安全策略控制用户只能访问自己被授权的资源。 ​ 权限管理包括对用户身份的 认证 和 授权 两部分。对于需要访问控制的资源,用户首先要经过身份认证,认证通过后,根据授予的权限,访问相应的资源。 认证 ​ 判断一个用户是否为合法用户。(用户登录校验、session验证、token验证都是常见的方式) 授权 ​ 也就是
shiro之roles实现or关系的角色过滤
chen1218chen的专栏
06-20 6081
个人主页,欢迎来访原文链接roles参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,每个参数通过才算通过,相当于hasAllRoles()方法shiro角色过滤是and的关系。而最近根据项目需求,要求订阅号管理模块,多个角色都可以进行管理,角色的过滤非and关系而是or的关系,applicationContext.xml中roles[“管理员”,”订阅号”]不能实现
Shiro实现角色区分的多Realm身份验证
Shiro默认的认证器`org.apache.shiro.authc.pam.ModularRealmAuthenticator`在处理多个配置的Realm时,会按照doAuthenticate()方法的逻辑依次尝试所有 Realm。该方法首先检查是否有单个Realm,如果有则直接使用;...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值