自定义shiro实现权限验证方法isAccessAllowed

最新推荐文章于 2024-05-01 19:17:00 发布
VIP文章 最新推荐文章于 2024-05-01 19:17:00 发布
阅读量6.1k 收藏 5
点赞数
文章标签: java 数据库 json
原文链接:http://www.cnblogs.com/zeussbook/p/10778532.html
版权 
由于Shiro filterChainDefinitions中 roles默认是and, admin= user,roles[system,general] 
比如:roles[system,general] ,表示同时需要“system”和“general” 2个角色(权限)才通过认证,缺一不可。
但是在实际业务中,一个端口往往同时对几个角色开放。比如管理员账号拥有访问所有端口的权限。那么此时的and显然是不合时宜的,与之替代的是or

一、重新实现AuthorizationFilter类
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

/**
 * @Auther: lanhaifeng
 * @Date: 2019/4/18 0018 17:40
 * @Description:支持多角色验证
 * 由于Shiro filterChainDefinitions中 roles默认是and,
 * = user,roles[system,general]
 * 比如:roles[system,general] ,表示同时需要“system”和“general” 2个角色才通过认证
 * 但是在实际业务中,一个端口的权限往往对多个角色开放(比如管理员可以使用一切权利)
 */
public class MyRolesAuthorizationFilter extends AuthorizationFilter{

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)
            throws Exception {
        Subject subject = getSubject(request, response);
        String[] rolesArray = (String[]) mappedValue;
        //没有权限访问
        if (rolesArray == null || rolesArray.length == 0) {
            return true;
        }
        for (int i = 0; i < rolesArray.length; i++) {
            //若当前用户是rolesArray中的任何一个,则有权限访问
            if (subject.hasRole(rolesArray[i])) {
                return true;
            }
        }
最低0.47元/天 解锁文章
denghe4720
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Shiro 使用手册(二) Shiro 认证
09-15
认证就是验证用户身份的过程。在认证过程中,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合
shiro认证时拦截器的isAccessAllowed和onAccessDenied执行流程
热门推荐
qq_40202111的博客
05-28 2万+
具体原因是再执行登陆的时候会调用org.apache.shiro.web.filter.AccessControlFilter类里面的onPreHandle方法。 在使用Shiro框架的时候所有的请求经过过滤器都会来到此onPreHandle方法 isAccessAllowed:判断是否登录 在登录的情况下会走此方法,此方法返回true直接访问控制器 onAccessDenied:是否是拒绝登录 没有登录的情况下会走此方法 如果isAccessAllowed.
vue与shiro结合实现权限按钮
12-15
vue+shiro实现前端细颗粒按钮级权限,并且可以实现删除和禁用两种不同模式,里面需要的前置技术包括 :vue\vue的自定义指令\vue的自定义插件\vuex
shiro源码-执行shiro过滤器
caiqianzhigai0859的博客
09-27 771
接上篇,我们又来到了最关键的doFilterInternal方法中,这一次我们会走AdviceFilter中的doFilterInternal方法。这个方法里面,主要有两句代码,preHandle方法主要作用是判断是否继续执行过滤器的,当返回true时,继续执行过滤器。executeChain方法就是真正执行过滤器了。 preHandle是经常被重写的方法,因为我们认证的个性化配置就是在这个...
shiro认证失败返回json
重燃小窗
12-27 774
AccessControlFilter 访问控制过滤器,继承PathMatchingFilter过滤器,重写onPreHandle方法. isAccessAllowed 是否允许访问 onAccessDenied 是否拒绝访问 我们通过重写上边两个方法来控制过滤逻辑,实现当前的需求,用户不登录点赞提示请登录 定义一个LoginAuthFilter继承AccessControlFilter 前端js渲染脚本 // 前端弹窗的js代码 private static final String
Shiro的authc过滤器的执行流程
web18484626332的博客
04-22 523
1.先执行isAccessAllowed(),通过subject.isAuthenticated()判断当前session中的subject是否已经登陆过。如果在当前session即会话中已经登陆过,返回true,authc过滤器放行请求到loginUrl。 问题 这里会有一个问题,如果我登陆成功后,再次访问loginUrl,会执行isAccessAllowed()并返回true放行,那么我访问到了loginUrl,如果此时我在loginUrl中输入新的用户名密码,再提交则先执行isAccessAllowe
shiro过滤器详解分析
weixin_34177064的博客
03-11 1193
(原) shiro最核心的2个操作,一个是登录的实现,一就是过滤器了。登录有时间再补录说明,这里分析下shiro过滤器怎样玩的。 1、目标 这里会按如下顺序逐一看其实原理,并尽量找出其出处。 先看一下shiro过滤器有哪些及它们的别名分别对应哪些类:点这里 这里只分析平时用的最多的一个:authc过滤器,对应的处理器的类是FormAuthenticationFilter。 2...
shiro AccessControlFilter运行步骤
weixin_45925436的博客
11-25 844
shiro】AccessControlFilter介绍
Shiro自定义拦截器实现权限
kanaiji123的博客
04-08 4703
阅读Shiro的文档可以知道,Shiro提供的多个权限相关的验证方法只有and关系,而没有提供or的校验方法,也就是说并不支持拥有多个权限中的某一个就验证成功的情景。 Shiro的AccessControlFilter提供了访问控制的基础功能,其中提供的isAccessAllowed方法的返回值表示了是否允许访问。打开他的继承关系可以看到: AuthenticationFilter和Autho...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
主要介绍了Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法 ,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
springboot整合shiro实现权限控制.zip
02-04
java开发中使用springboot框架,整合shiro框架,在应用中实现权限控制。该压缩文件中包含简单教程并且包含源代码。
springMVC+shiro实现动态权限验证.zip
07-13
springMVC+shiro实现动态权限验证实现动态设置用户角色,根据角色来决定哪些url可以访问 抱歉了各位需要修改下配置文件(org.eclipse.wst.common.component) <?xml version="1.0" encoding="UTF-8"?> ...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
本文小编将基于 SpringBoot 集成 Shiro 实现动态uri权限,由前端vue在页面配置uri,Java后端动态刷新权
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 1062
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 973
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
Spring Cloud——LoadBalancer
最新发布
????
05-01 586
这里只是简单的讲解了一下LoadBalancer如何使用,因为实际上我们使用的不是很多,主要还是使用OpenFeign。
d15(136-148)-勇敢开始Java,咖啡拯救人生
m0_73459387的博客
04-28 991
对象哈希值的特点:同一个对象调用hashCode()返回的哈希值相同;HashMap的键依赖hashCode方法和equals方法保证键的唯一,存储自定义类型的对象时,重写这两个方法。实际上,Set系列集合的底层就是基于Map实现的,只是Set集合中的元素要键数据,不要值数据。当12个位置都占满时就会扩容,大约扩容为原来的二倍,再把原数组数据转移到新数组。使用迭代器遍历集合时,又同时在删除集合中的数据,程序就会出现并发修改异常的错误。基于哈希表实现,每个键值对额外多了一个双链表的机制,记录元素顺序(保证。
Java解决最长公共前缀
无人罪的博客
04-28 287
编写一个函数来查找字符串数组中的最长公共前缀。如果不存在公共前缀,返回空字符串""。
如何用Apache Shiro实现权限控制
05-25
Apache Shiro 是一个功能强大的Java安全框架,可以用来实现身份验证、授权、加密、会话管理等安全相关的功能。下面是使用 Apache Shiro 实现权限控制的一些步骤: 1. 引入 Apache Shiro 的依赖:在项目中引入 Apache Shiro 的相关依赖,包括 shiro-core 和 shiro-web。 2. 配置 Shiro:在项目中配置 Shiro 相关的配置文件,如 shiro.ini 或 shiro.xml。 3. 编写 Realm:在 Shiro 中,Realm 是用来获取安全数据(如用户、角色、权限等)的组件。需要根据具体的业务需求编写自己的 Realm 实现类,并在 Shiro 配置文件中进行配置。 4. 实现权限控制:在代码中使用 Shiro 的 Subject 对象进行权限控制,可以通过调用 Subject 的 hasRole() 和 isPermitted() 方法来判断用户是否具有某个角色或权限。 下面是一个简单的示例代码: ``` // 获取当前用户 Subject currentUser = SecurityUtils.getSubject(); // 判断用户是否有某个角色 if (currentUser.hasRole("admin")) { // 执行管理员操作 } else { // 没有管理员角色,执行普通用户操作 } // 判断用户是否有某个权限 if (currentUser.isPermitted("user:create")) { // 执行创建用户操作 } else { // 没有创建用户权限,执行其他操作 } ``` 需要注意的是,使用 Apache Shiro 实现权限控制时,需要先进行身份验证(即用户登录),才能进行权限控制。可以使用 Shiro 的 Authentication API 进行身份验证,例如: ``` UsernamePasswordToken token = new UsernamePasswordToken(username, password); try { currentUser.login(token); } catch (AuthenticationException e) { // 身份验证失败 } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值