上一章节我给大家讲了如何设计扩展动态修改shiro的资源而不用重启项目,这个章节我讲的是如何自定义我们的特殊过滤器
讲到认证这一块,我们经常用到就是authc,roles,perms这三个标签,说到底标签其实就是一个map的key,然后指向filter实例,相信大家都懂这个了,所以我就不啰嗦,下面我们看看roles的filter实现类
package org.apache.shiro.web.filter.authz;
import java.io.IOException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.CollectionUtils;
// Referenced classes of package org.apache.shiro.web.filter.authz:
// AuthorizationFilter
public class RolesAuthorizationFilter extends AuthorizationFilter
{
public RolesAuthorizationFilter()
{
}
public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)
throws IOException
{
Subject subject = getSubject(request, response);
String rolesArray[] = (String[])(String[])mappedValue;
if(rolesArray == null || rolesArray.length == 0)
{
return true;
} else
{
java.util.Set roles = CollectionUtils.asSet(rolesArray);
return subject.hasAllRoles(roles);
}
}
}
我们可以看到其实这个roles的filter是通过subject.hasAllRoles(roles)判断是否满足所有权限,但是我们真实项目中,很多时候用户只要满足其中一个角色即可认为是授权认证成功,所以这个时候,我们首先想到的是再写个filter吧,那我们下面就写个满足任一角色即可放行的授权认证类
public class RoleAuthorizationFilter extends AuthorizationFilter {
public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)
throws IOException {
Subject subject = getSubject(request, response);
String[] rolesArray = (String[]) mappedValue;
if (rolesArray == null || rolesArray.length == 0) {
// no roles specified, so nothing to check - allow access.
return true;
}
Set<String> roles = CollectionUtils.asSet(rolesArray);
for (String role : roles) {
if (subject.hasRole(role)) {
return true;
}
}
return false;
}
}
很简单的样子,其实就是从RolesAuthorizationFilter这个类copy一份代码过来,然后把subject.hasAllRoles()换成遍历调用subject.hasRole()方法,如存在任一角色则返回true即可
最后我们把这个filter要配置到主过滤器里,并且定义标签为role
<!-- 过滤链配置 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<property name="loginUrl" value="/" />
<property name="successUrl" value="/cms/index.do" />
<property name="unauthorizedUrl" value="/" />
<property name="filters">
<map>
<entry key="role">
<bean
class="com.silvery.security.shiro.filter.RoleAuthorizationFilter" />
</entry>
<entry key="authc">
<bean
class="com.silvery.security.shiro.filter.SimpleFormAuthenticationFilter" />
</entry>
</map>
</property>
</bean>
象上述配置就是使用自定义过滤器,如: /test/** = role[admin] 或者 /test/** = role[admin,user] 这样用户拥有任一定义的角色都能认证成功
由上述的自定义filter可以看出,我们在shiro上增加其他filter并不难,所以如果需要增加其他filter就不需要担心实现不了...