一.为什么要自定义过滤器
在项目开发过程中,安全对于后台管理很重要。shiro是一个比较常流行的安全框架,在项目中的权限配置会有各种不同的需求,例如有的url需要用户拥有多个权限中的一个权限就能够访问,这个就要自己编写拦截器(过滤器)的规则。
二.Shiro中的权限控制
shiro权限控制是在用户登录时会再realm中增加该用户的权限信息,在登录的时候会根据请求的url和相关的权限做映射。在用户请求具体url时,会根据url获得对应的权限,在到拦截器中做权限的校验。
我们看一下原本的两种写法。
//user:add 和 root 权限都拥有时才可以访问
fiterMap.put("/user/*","perms[user:add,root]");
//有 root 权限就可以访问
fiterMap.put("/user/*","perms[root]");
上面的权限校验规则是PermissionsAuthorizationFilter中,默认的权限校验规则。
public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
Subject subject = this.getSubject(request, response);
//将配置转换为字符串数组
String[] perms = (String[])((String[])mappedValue);
boolean isPermitted = true;
if (perms != null && perms.length > 0) {
if (perms.length == 1) {
if (!subject.isPermitted(perms[0])) {
isPermitted = false;
}
} else if (!subject.isPermittedAll(perms)) {
isPermitted = false;
}
}
return isPermitted;
}
从上面的代码可以看出,我们的配置会默认被强转为string类型的字符串数组。当只有一个权限时,会直接判断有没有该权限;当配置多个权限时,从下面的代码可以看出只用在请求url的用户拥有所有的权限时,才会返回true,否则就会被拒绝访问。
protected boolean isPermittedAll(Collection<Permission> permissions, AuthorizationInfo info) {
if (permissions != null && !permissions.isEmpty()) {
Iterator var3 = permissions.iterator();
//遍历多个权限 以","分割权限 每个权限都满足才返回 true
while(var3.hasNext()) {
Permission p = (Permission)var3.next();
if (!this.isPermitted(p, info)) {
return false;
}
}
}
return true;
}
三.解决问题–实现拥有多个权限中的一个权限就能够访问
shiro源码只考虑了权限的和的问题没有通过配置解决权限的或的问题。因此为了满足业务需求,在自定义拦截器中需要重写PermissionsAuthorizationFilter的isAccessAllowed方法。为了满足“和”和“或”的不同权限配置的需求,对isAccessAllowed方法做如下修改:
自定义Shiro过滤器
1.RoleOrFilter.java
package com.zy.spring11shiro.config;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
public class RoleOrFilter extends AuthorizationFilter {
@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
Subject subject = this.getSubject(request, response);
String[] perms = (String[]) ((String[]) mappedValue);
boolean isPermitted = true;
if (perms != null && perms.length > 0) {
if (perms.length == 1) {
if (!isOneOfPermitted(perms[0], subject)) {
isPermitted = false;
}
} else if (!isAllPermitted(perms,subject)) {
isPermitted = false;
}
}
return isPermitted;
}
/**
* 以“,”分割的权限为并列关系的权限控制,分别对每个权限字符串进行“|”分割解析
* 若并列关系的权限有一个不满足则返回false
*
* @param permStrArray 以","分割的权限集合
* @param subject 当前用户的登录信息
* @return 是否拥有该权限
*/
private boolean isAllPermitted(String[] permStrArray, Subject subject) {
boolean isPermitted = true;
for (int index = 0, len = permStrArray.length; index < len; index++) {
if (!isOneOfPermitted(permStrArray[index], subject)) {
isPermitted = false;
}
}
return isPermitted;
}
/**
* 判断以“|”分割的权限有一个满足的就返回true,表示权限的或者关系
*
* @param permStr 权限数组种中的一个字符串
* @param subject 当前用户信息
* @return 是否有权限
*/
private boolean isOneOfPermitted(String permStr, Subject subject) {
boolean isPermitted = false;
String[] permArr = permStr.split("\\|");
if (permArr.length > 0) {
for (int index = 0, len = permArr.length; index < len; index++) {
if (subject.isPermitted(permArr[index])) {
isPermitted = true;
}
}
}
return isPermitted;
}
}
2.ShiroConfig中getShiroFilterFactoryBean方法中添加自定义过滤器
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager)
{
......(省略)
//设置自定义filter---
Map<String, Filter> filtersMap = new LinkedHashMap<>();
//这里很重要:在springboot中 如何使用自定义的拦截器
filtersMap.put("e-perms",new RoleOrFilter());//可以配置RoleOrFilter的Bean
bean.setFilters(filtersMap);
......(省略)
return bean;
}
我们达到的效果:
- 保持“,”表示多个权限的并列关系,每个“,”分割的字符串可能是多个“或”权限的集合,再用“|”分割字符串,“|”需要转义。
修改后的权限控制:
fiterMap.put("/user/add","e-perms[user:add|root]");
fiterMap.put("/user/update","e-perms[user:update|root]");
使得拥有user:add或者root权限的用户都能成功的访问 /user/add 接口了,同时兼容了shiro自带的权限检验规则。
参考的原文–https://blog.csdn.net/why154285/article/details/82223689