Shiro自定义拦截器实现权限或

最新推荐文章于 2022-11-25 23:57:29 发布
最新推荐文章于 2022-11-25 23:57:29 发布
阅读量4.7k 收藏 5
点赞数 2
文章标签: Shiro 自定义过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kanaiji123/article/details/89086019
版权

阅读Shiro的文档可以知道,Shiro提供的多个权限相关的验证方法只有and关系,而没有提供or的校验方法,也就是说并不支持拥有多个权限中的某一个就验证成功的情景。

Shiro的AccessControlFilter提供了访问控制的基础功能,其中提供的isAccessAllowed方法的返回值表示了是否允许访问。打开他的继承关系可以看到:

AuthenticationFilter和AuthorizationFilter下的实现类都对这个方法提供了实现。前者是认证过滤器,后者是授权过滤器。显然我们应该关注后者的实现方法。我们查看后者PermissionsAuthorizationFilter的实现:

public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

        Subject subject = getSubject(request, response);
        String[] perms = (String[]) mappedValue;

        boolean isPermitted = true;
        if (perms != null && perms.length > 0) {
            if (perms.length == 1) {
                if (!subject.isPermitted(perms[0])) {
                    isPermitted = false;
                }
            } else {
                if (!subject.isPermittedAll(perms)) {
                    isPermitted = false;
                }
            }
        }

        return isPermitted;
    }

其中isAccessAllowed方法的参数mappedValue就是[urls]配置中拦截器参数部分,也就是我们配置的权限表达式的值,要实现多个权限下“或”的匹配规则,我们只需要自定义一个过滤器,去仿照着重写这个方法即可,我们对应shiro本身规则的“,”,增加“|”来表示or,同时考虑保留shiro本身支持的“,”逗号表示匹配多个权限and的规则,代码如下:

public class CustomAuthorizationFilter extends PermissionsAuthorizationFilter{
	
	//保留shiro原有的“,”分隔and的校验规则,新增“|”分隔的规则
	@Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
        Subject subject = this.getSubject(request, response);
        String[] perms = (String[]) mappedValue;
        boolean isPermitted = true;
        if (perms != null && perms.length > 0) {
            if (perms.length == 1) {
                if (!isOneOfPermitted(perms[0], subject)) {
                    isPermitted = false;
                }
            } else if (!isAllPermitted(perms,subject)) {
                isPermitted = false;
            }
        }
        return isPermitted;
    }
	
	//权限表达式","分隔,and的校验规则
    private boolean isAllPermitted(String[] permStrArray, Subject subject) {
        boolean isPermitted = true;
        for (int index = 0, len = permStrArray.length; index < len; index++) {
            if (!isOneOfPermitted(permStrArray[index], subject)) {
                isPermitted = false;
            }
        }
        return isPermitted;
    }
  //权限表达式"|"分隔,or的校验规则
    private boolean isOneOfPermitted(String permStr, Subject subject) {
        boolean isPermitted = false;
        String[] permArr = permStr.split("\\|");
        if (permArr.length > 0) {
            for (int index = 0, len = permArr.length; index < len; index++) {
                if (subject.isPermitted(permArr[index])) {
                    isPermitted = true;
                }
            }
        }
        return isPermitted;
    }
}

最后还要将自定义的过滤器加入到shiroFilter中:

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean" depends-on="orFilter">
		<property name="securityManager" ref="securityManager" />
		<property name="filters">
	    	<map>
	    	    <entry key="perms" value-ref="orFilter"/>
	    	</map>
	    </property>
	</bean>
	
	<!-- 自定义的过滤器 -->
	<bean id="orFilter" class="com.default.CustomAuthorizationFilter" />

     map中key的值perms不可以更改,这样就实现了满足多个权限中的一个就验证通过的需求。

风中凌乱的小森桩
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
Apache Shiro 使用手册(二) Shiro 认证
09-15
认证就是验证用户身份的过程。在认证过程中,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合
shiro源码-执行shiro过滤器
caiqianzhigai0859的博客
09-27 768
接上篇,我们又来到了最关键的doFilterInternal方法中,这一次我们会走AdviceFilter中的doFilterInternal方法。这个方法里面,主要有两句代码,preHandle方法主要作用是判断是否继续执行过滤器的,当返回true时,继续执行过滤器。executeChain方法就是真正执行过滤器了。 preHandle是经常被重写的方法,因为我们认证的个性化配置就是在这个...
shiro认证失败返回json
重燃小窗
12-27 771
AccessControlFilter 访问控制过滤器,继承PathMatchingFilter过滤器,重写onPreHandle方法. isAccessAllowed 是否允许访问 onAccessDenied 是否拒绝访问 我们通过重写上边两个方法来控制过滤逻辑,实现当前的需求,用户不登录点赞提示请登录 定义一个LoginAuthFilter继承AccessControlFilter 前端js渲染脚本 // 前端弹窗的js代码 private static final String
shiro认证时拦截器的isAccessAllowed和onAccessDenied执行流程
m0_67403240的博客
03-28 720
执行登陆的时候会调用org.apache.shiro.web.filter.AccessControlFilter类里面的onPreHandle方法。 在使用Shiro框架的时候所有的请求经过过滤器都会来到此onPreHandle方法 isAccessAllowed:判断是否登录 在登录的情况下会走此方法,此方法返回true直接访问控制器 onAccessDenied:是否是拒绝登录 没有登录的情况下会走此方法 如果isAccessAllowed方法返回True,则不会再调用
shiro 自定义拦截器配置多个权限实现
热门推荐
why154285的博客
08-30 1万+
一、问题产生 在项目开发过程中,安全对于后台管理很重要。shiro是一个比较常流行的安全框架,网上关于shiro的使用和实现原理也比较全面。这里不做详细介绍,在项目中的权限配置会有各种不同的需求,例如有的url需要用户拥有多个权限中的一个权限就能够访问,这个就要自己编写拦截器的规则。 二、具体场景 自定义拦截器没有重写PermissionsAuthorizationFilter的isA...
自定义shiro实现权限验证方法isAccessAllowed
denghe4720的博客
04-27 6136
由于Shiro filterChainDefinitions中 roles默认是and, admin= user,roles[system,general] 比如:roles[system,general] ,表示同时需要“system”和“general” 2个角色(权限)才通过认证,缺一不可。但是在实际业务中,一个端口往往同时对几个角色开放。比如管理员账号拥有访问所有端口的权限。那么...
Shiro的authc过滤器的执行流程
web18484626332的博客
04-22 518
1.先执行isAccessAllowed(),通过subject.isAuthenticated()判断当前session中的subject是否已经登陆过。如果在当前session即会话中已经登陆过,返回true,authc过滤器放行请求到loginUrl。 问题 这里会有一个问题,如果我登陆成功后,再次访问loginUrl,会执行isAccessAllowed()并返回true放行,那么我访问到了loginUrl,如果此时我在loginUrl中输入新的用户名密码,再提交则先执行isAccessAllowe
shiro AccessControlFilter运行步骤
weixin_45925436的博客
11-25 832
shiro】AccessControlFilter介绍
Shiro工作原理简析(第二章)
Mr_lifengzi的博客
08-18 525
第二章,说说Shiro是怎么去拦截请求的    可能大部分的同学都知道Shiro是基于过滤器Filter来实现对请求的拦截,从而实现权限控制,下来就具体从源码角度来看看Shiro的工作原理。    首先便是要知道Shiro过滤器都有哪些,如下图: 挑几个的说说: AbstractFilter:Shiro的顶层过滤器实现了javax.servlet.Filter。所以,有Filter相关知识可...
springmvc+shiro自定义过滤器实现代码
08-26
主要介绍了springmvc+shiro自定义过滤器实现方法,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
基于Shiro 拦截URL,实现权限控制
08-02
NULL 博文链接:https://vti-iteye.iteye.com/blog/1963397
vue与shiro结合实现权限按钮
12-15
vue+shiro实现前端细颗粒按钮级权限,并且可以实现删除和禁用两种不同模式,里面需要的前置技术包括 :vue\vue的自定义指令\vue的自定义插件\vuex
SpringBoot 集成 Shiro 实现动态uri权限
04-22
本文小编将基于 SpringBoot 集成 Shiro 实现动态uri权限,由前端vue在页面配置uri,Java后端动态刷新权
SpringBoot 、Shiro自定义注解权限控制源码下载
04-06
SpringBoot 、Shiro自定义注解权限控制
2024-2030全球及中国PCB接触式探头行业研究及十五五规划分析报告.docx
04-18
2024-2030全球及中国PCB接触式探头行业研究及十五五规划分析报告
网站界面设计mortal0418代码
04-18
网站界面设计mortal0418代码
PHP毕业设计-校园失物招领系统源码+数据库.zip
04-18
PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可
2024年神经酸行业分析报告.pptx
最新发布
04-18
2024年神经酸行业分析报告.pptx
shiro权限拦截的实现
05-29
Shiro权限拦截的实现主要分为两个部分,一是定义自己的Realm实现类,二是在Shiro的配置文件中配置过滤器链。 1. 定义自己的Realm实现类 在自定义的Realm实现类中,需要重写doGetAuthorizationInfo方法来授权用户的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值