Shiro自定义or关系的权限和角色验证,取代perms和roles

于 2023-01-15 18:34:18 发布
阅读量369 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: web前端 文章标签: java 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rosyouth/article/details/128696540

通过百度并查看源码,shiro配置中的

/create = roles["admin","teller"]
/update = perms["c:update","c:delete"]

是并且关系,无法实现或者关系。

 可以自定义过滤器并使用自定义配置。

import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.IOException;

/**
 * CustomerPermissionsAuthorizatonFilter, 权限or关系。如:<br/>
 * /delete = perm["c:update","c:delete"] 注意perm没有s
 */
public class CustomerPermissionsAuthorizatonFilter extends AuthorizationFilter {

    //TODO - complete JavaDoc

    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

        Subject subject = getSubject(request, response);
        String[] perms = (String[]) mappedValue;

        //没有权限限制,可以访问
        if (perms == null || perms.length == 0)
            return true;

        //若当前用拥有perms中的任何一个权限,则可以访问
        for (String p : perms) {
            if (subject.isPermitted(p))
                return true;
        }

        return false;
    }
}

配置shiro的xml

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="login"/>
    <property name="successUrl" value="/"/>
    <property name="unauthorizedUrl" value="403"/>

    <property name="filters">
        <map>
            <entry key="role">
                <bean class="com.example.demo8888.shiro.CustomRolesAuthorizationFilter" />
            </entry>
            <entry key="perm">
                <bean class="com.example.demo8888.shiro.CustomerPermissionsAuthorizatonFilter" />
            </entry>
        </map>
    </property>

    <property name="filterChainDefinitions">
        <!--
        /** 添加过滤器
         * anon 无需认证就可访问
         * authc  必须认证才能访问
         * user   有“记住我”功能或认证之后才能使用(较少使用)
         * perms: 拥有对某个资源的权限才能访问 isPermitedAll()
         * roles:  拥有某个角色权限才能访问 hasAllRoles()
         * logout 登录退出后才能访问
         * port[8081] 相应端口号才能访问
         * rest:例子/admins/user/**=rest[user],根据请求的方法, 相当于/admins/user/**=perms[user:method] ,其中method 为post,get,delete等。
         * authBasic 没有参数表 示httpBasic认证
         * ssl 没有参数,表示安全的url请求, 协议为https
         * user 没有参数,表示必须存在用户, 当登入操作时不做检查
         * 注:anon,authcBasic,authc,user是认证过滤器,perms,roles,ssl,rest,port是授权过滤器
         *//create = roles["admin","teller"]
        -->
        <value>
            /params* = anon
            /loginvue = anon
            /login = anon
            /doLogin = anon
            /read = anon
            /doLogout = logout
            /create = role["admin","teller"]
            /index = perms["*:find"]
            /update = perms["c:update","c:delete"]
            /delete = perm["c:update","c:delete"]
            /secret = authc
            /static/** = anon
            /** = user
        </value>
    </property>

</bean>

注意其中的

/create = role["admin","teller"]

/delete = perm["c:update","c:delete"]

role和perm没有s后缀。

角色代码如下。

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;

/**
 * CustomRolesAuthorizationFilter继承AuthorizationFilter接口, 角色or关系。如:<br/>
 * /create = role["admin","teller"] 注意role没有s
*/
public class CustomRolesAuthorizationFilter extends AuthorizationFilter {

    @Override
    protected boolean isAccessAllowed(ServletRequest req, ServletResponse resp, Object mappedValue) throws Exception {
        Subject subject = getSubject(req, resp);
        String[] rolesArray = (String[]) mappedValue;

        //没有角色限制,可以访问
        if (rolesArray == null || rolesArray.length == 0) {
            return true;
        }

        //若当前用户拥有rolesArray中的任何一个角色,则可以访问
        for (String role : rolesArray) {
            if (subject.hasRole(role)) {
                return true;
            }
        }

        return false;
    }
}
遇到问题----shrio------shiro自定义filters无效
直到世界的尽头
03-08 1万+
shiro  自定义filters无效需要注意filterChainDefinitions中的顺序,roles等应放在authc的前面。
SpringBoot shiro添加多角色or关系权限管理
qq727580714的博客
09-27 2754
使用shiro时遇到一个问题,想为多个角色分配同一权限,也就是只要满足其中一个角色,就可以获得该权限,多角色之间是or关系而非and,但是shiro自带的方法同一权限只能分配一个角色。 // 使用如下Shiro自带的方法实现多角色权限分配,无法实现 filterChainDefinitionMap.put("/user/**", "roles[admin]"); filterChainDefini...
shiro 自定义 用户 角色 权限 (认证与授)按钮级控制
CaiXinXing的CSDN博客
06-02 1203
ShiroConfig.javashiro配置) /** * @todo: 集成shiro * @author: cxx * @date: 2020-5-22 09:56:10 * @description: manage */ @Configuration public class ShiroConfig { @Value("${spring.jedis.port}") private int port; @Value("${spring.jedis.host}
shrio实现自定义角色自定义filter
Jz_Stu的博客
08-02 341
bug: 使用shiro对某一个接口路径进行角色限制的时候,发现只要设置了多角色之后权限失效的问题。 shiro配置的部分代码如下: //DefaultFilter @Bean("shiroFilter") public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager securityManager){ System.out.println("shiroFilt
Shiro自定义realm检查用户角色权限
这天有点热的博客
05-07 640
整体目录: pom文件 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://...
【应用】SpringBoot -- Shiro 实现认证与
情绪瓜皮皮丶的学习之路
09-24 1368
SpringBoot 中使用 Shiro 框架实现账号认证与权限
Apache Shiro [urls]中配置的roles, perms, authc这样的filterChain的执行过程解析
冰冻火山
11-28 7147
Apache Shiro [urls]中配置的filter执行过程解析
Shiro基础应用——角色权限校验
qq_45337431的博客
10-10 2956
1.shiro的概述 2.相关依赖配置文件 3.shiro工厂启动的初始化原理 4.整个的使用过程以及注意事项 5.自定义的标签的使用
Shiro验证策略-shiro自定义实现Realm来实现身份验证-shiro散列加密算法-shiro-shiro自定义Realm实现授
pshdhx的博客
08-09 4333
Shiro验证策略 Authentication Strategy:认证策略,在shiro中有三种认证策略; AtleastOneSuccessfulStrategy【默认】 如果一个或多个Realm验证成功,则整体的尝试被认为是成功的。如果没有一个验证成功,则整体尝试失败; FirstSuccessfulStrategy 只有第一个成功地验证的Realm返回的信息将被使用。所有进一步的Realm将被忽略。如果没有一个验证成功,则整
SSM整合shiro实现角色权限
03-31
在 Realm 的实现类中,我们需要从数据库获取用户的角色权限信息,并在doGetAuthorizationInfo方法中返回。例如: ```java @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection ...
springmvc+shiro使用Perms实现细粒度验证.rar
07-14
springmvc+shiro使用Perms实现细粒度验证,使我们的验证可以精确到每个按钮,每个请求 抱歉了各位,在下载时需要修改配置文件(org.eclipse.wst.common.component) <?xml version="1.0" encoding="UTF-8"?>
shiro对资源如何做权限控制即怎么设计哪些资源需要哪些权限
qq_28000789的博客
01-15 1637
**我们使用shiro进行权限控制 有以下四种方式** **1. &amp;nbsp;URL拦截权限控制:基于filter过滤器实现** 我们在spring配置文件中配置shiroFilter时配置 &amp;lt;!--指定URL级别拦截策略 &amp;nbsp;--&amp;gt; &amp;lt;property name=&quot;filterCh
springbootshiro实现角色权限认证
二十一克阳光!的博客
05-08 543
首先,需要在MySQL数据库中创建五个表,分别为user、user_role、role、permission、role_permission表; user表需要的基本字段:id, username, password, createtime; user_role表需要的基本字段:user_id, role_id; role表需要的基本字段:role_id, role_name, role_ke...
shiro-SSM
qq_65975514的博客
04-12 669
先在数据库中建立相应的数据表,以及后面使用需要的sql语句 #建表脚本 CREATE TABLE t_sys_user ( userid INT PRIMARY KEY AUTO_INCREMENT COMMENT '用户ID,主键', username VARCHAR(10) UNIQUE NOT NULL COMMENT '用户账号',
shiro角色配置
chen1218chen的专栏
07-05 5430
角色验证 数据库表 roles user indexjsp 配置文件 myRealm 角色验证数据库表 tuser:用户表 uid + uname + upassword roles:角色表 rid + rname user_to_role:用户角色表,hibernate会自动建立 user_id + role_id roles@Entity @Table(name = "roles",
authc过滤器 shiro_Shiro过滤器
weixin_42208901的博客
01-14 521
Shiro内置过滤器认证相关过滤器:anon(不需要任何认证直接可以访问),authBasic(也就是httpBasic),authc(需要认证之后才可以访问),user(需要当前存在用户才可以访问),logout(退出)授相关的过滤器:perms(后面跟[ ] 里面加参数,表示具备一些权限才可以访问),roles(与前者相似),ssl(要求是安全的协议才可以访问,比如https),port(后...
shiroSSM
hao_dream_xi的博客
10-15 251
shiroSSM 授 1.添加角色权限的授方法 //根据username查询该用户的所有角色,用于角色验证 Set findRoles(String username); //根据username查询他所拥有的权限信息,用于权限判断 Set findPermissions(String username); 在ShiroUserMapper.xml中新增内容: <select id...
shiro角色roles自定义Filter----同一个URL配置多个角色的或关系
热门推荐
直到世界的尽头
03-08 1万+
情况介绍roles:正常情况下URL路径的拦截设置如下:/admins/user/**=roles[admin]参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如/admins/user/**=roles["admin,guest"]但是这个设置方法是需要每个参数满足才算通过,相当于hasAllRoles()方法。也就是我们的角色必须同时拥有adminguest权限
spring-shiro实现角色roles自定义Filter----配置多个角色的或关系
椭圆的博客
10-09 7821
roles:正常情况下URL路径的拦截设置如下: /admins/user/**=roles[admin] 参数可以写多个,多个时必须加上引号,并且参数之间用逗号分割,当有多个参数时,例如/admins/user/**=roles[“admin,guest”] 但是这个设置方法是需要每个参数满足才算通过,相当于hasAllRoles()方法。也就是我们的角色必须同时拥有admi
SSM与shiro结合实现高效角色权限管理
- **Web安全配置**:配置Shiro的Web过滤器,如anon(匿名过滤器)、authc(身份验证过滤器)、perms权限过滤器)、roles角色过滤器)等。 - **会话管理**:可以配置Shiro的会话管理器,比如SessionManager,来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

rosyouth

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值