shiro 控制一个url多个角色都可以访问

最新推荐文章于 2022-08-24 03:21:20 发布
最新推荐文章于 2022-08-24 03:21:20 发布
阅读量1.3k 收藏
点赞数
分类专栏: shiro 控制url Shiro 文章标签: shiro 一个url多个角色访问
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jayyunfei/article/details/84462323
版权
关于shiro控制一个url可以多个角色访问,
我看到这样一个说法:
第一,就是要这写些个用户拥有这些全部角色,因为如果url后面有多个角色,那么就是要同时拥有这些角色才能访问,
第二,就是重写
@SuppressWarnings({"unchecked"})
public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

Subject subject = getSubject(request, response);
String[] rolesArray = (String[]) mappedValue;

if (rolesArray == null || rolesArray.length == 0) {
//no roles specified, so nothing to check - allow access.
return true;
}

Set<String> roles = CollectionUtils.asSet(rolesArray);
return subject.hasAllRoles(roles);
}

}

这个方法是and逻辑 即必须匹配所有角色,你可以自己写个filter 改成or


你可以看一下org.apache.shiro.web.filter.authz.RolesAuthorizationFilter的源码,然后自己实现一个支持or关系的,而不是and关系的filter,具体,只要匹配任意一个角色就返回true,而不是之前的hasAllRoles才返回true,如果你是用spring的话,然后在spring的配置文件里配置一下类似这样的 <bean id="roleOrFilter" class="XXXX.YYYY.ZZZZ.RolesOrAuthorizationFilter">
</bean>
最后配置的时候用这样的格式:

"/orgemp/** = authc,roleOrFilter["11,12"]
jayyunfei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro角色访问一个url
星星点灯灯
04-27 1780
shiro如何控制一个url多个角色都可以访问 /admin/** = roles[admin,partner] 这样写必须同时拥有两个角色才能访问 我们可以自定义角色验证标签。 1、首先继承RolesAuthorizationFilter,覆写isAccessAllowed方法 public class AnyRolesAuthorizationFilter extends Role
shiro:shiro基于url做的权限系统
03-11
3. **访问控制决策**: 当用户请求一个URL时,Shiro会检查用户是否已经登录以及是否具有相应的角色或权限。如果满足条件,允许访问;否则,重定向到登录页面或返回错误信息。 **三、Shiro的认证与授权** 1. **认证**...
shiro配置一个路径可多个角色访问
码来-陈平安的博客
04-05 990
一、问题 在shiroConfirg配置类中,对于下类路径的访问控制通常表示具有两种角色才能访问,但我们有时可能对于某一个路径而言,需要多个角色均可以访问,解决办法是配置自己的过滤器。 chainDefinition.addPathDefinition("/manage/**", "authc, roles[administrator,评审人员]"); 二、解决 1.在ShiroConfig中的ShiroFilterFactoryBean 下引入自己编写的过滤器 MyShiroFilter, @B
shiro,一个文件夹下面的url可以有多个角色访问
weixin_34357928的博客
05-24 321
为什么80%的码农都做不了架构师?>>> ...
SpringBoot Shiro 多用户登录控制及同一浏览器登录多个账号 session相互覆盖问题
qq_38322989的博客
05-27 4213
SpringBoot Shiro 框架实现同一个浏览只能一个账号登录 问题点: 同一个浏览器上登录多个三员账号,后登陆的会覆盖前面的session,但是前面的页面没有退出(后续请求使用的是后登录的用户的session),导致日志记录等获取的当前操作主体不准确 解决: 在 login 方法中加入以下方法 Subject subject = SecurityUtils.getSubject(); if(subject.getPrincipal()!= null){ String msg2=
安全控制框架教程shiro
10-29
它涵盖了认证、授权、会话管理和加密等多个关键领域,使得开发者能够轻松地实现用户身份验证、权限控制以及安全设置。本教程主要关注Shiro的基本使用,旨在帮助开发者快速上手并将其集成到自己的项目中。 ### 1. ...
对应本博客:shiro、基于url权限管理章节的源代码
10-14
每个URL都可以关联一个多个角色,只有拥有相应角色的用户才能访问URL。 1. **Filter Chain定义**:Shiro的Filter Chain定义了URL与安全相关的Filter的映射。例如,`/admin/**`可能被配置为需要`admin`角色的...
springboot+shiro+layuimini实现后台管理系统的权限控制
08-02
2. **授权**:Shiro支持基于角色访问控制(RBAC),可以灵活地定义用户角色及权限,如URL拦截、方法级别的权限控制等。 3. **会话管理**:Shiro可以统一管理会话,包括会话超时、分布式会话等,提高系统的安全性。...
shiro 的JdbcReam一个测试例子
04-14
在项目中配置一个数据源,确保Shiro可以访问到用于身份验证和授权的用户信息表。例如,你可以使用Spring的`DataSource` Bean来创建数据源。 2. **配置Shiro的JdbcRealm**: 在Shiro的配置文件(如 `shiro.ini` ...
关于操作权限
06-11 228
第1章 引言 1.1 编写目的 详细说说操作权限并且在sshpermissions中是如何处理及使用操作权限的。 1.2 关于操作 这里所说的操作权限是指在我们工作中,比如张三“添加”了一条员工的记录,李四“修改”了哪条信息,管理中对某个角色进行了“授权”。就是我们在系统中所看到的所有的操作。 1.3 Shiro中如何处理 Shiro 将权限定义为一个规定了明确行为或活动的声...
使用Shiro实现权限验证
热门推荐
YanMonarch博客
01-17 10万+
《使用Shiro实现权限验证》 1. Shiro入门 ApacheShiro一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。 Shiro有三大核心组件: Subject:即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro中则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,与当前
Springboot整合Shiro-多权限调用接口问题
weixin_47208793的博客
09-10 598
问题 ​ 在开发中,我们希望不同的角色权限可以调用同一个API接口,例如/user/**相关API既可以由拥有admin权限的角色调用,也可以由拥有student权限的角色调用,这时我们可能会有2种方案 方案一 filterMap.put("/user/**","roles[admin]"); filterMap.put("/user/**","roles[student]"); 方案二 filterMap.put("/user/**","roles[admin,student]"); ​ 但实际上,以
Apache Shiro 角色和权限
zhouzhiwengang的专栏
12-29 1万+
本文转载自 《跟我学Shiro》 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应用中用户
shiro学习笔记——shiro拦截器与url匹配规则
m0_67402341的博客
08-24 927
过滤器与url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤。
springboot(十):springboot整合shiro权限控制
流的博客
07-11 425
1.数据库设计 2.引入的pom <dependencies> <!--springboot web--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>...
shiro角色( roles)自定义Filter----同一个URL配置多个角色的或关系
直到世界的尽头
03-08 1万+
情况介绍roles:正常情况下URL路径的拦截设置如下:/admins/user/**=roles[admin]参数可以写多个多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如/admins/user/**=roles["admin,guest"]但是这个设置方法是需要每个参数满足才算通过,相当于hasAllRoles()方法。也就是我们的角色必须同时拥有admin和guest权限
Shiro框架URL过滤配置详解
Shiro的这种设计使得我们可以灵活地配置安全策略,实现对不同URL路径的定制化访问控制,同时保持了代码的简洁性和可维护性。通过理解这些核心概念和流程,开发者能够更好地利用Shiro来保护和管理Web应用的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值