自定义Shiro拦截器,实现角色多选一

最新推荐文章于 2024-06-12 16:01:00 发布
最新推荐文章于 2024-06-12 16:01:00 发布
阅读量439 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dengz_j/article/details/112906214
本文介绍了为何以及如何自定义Shiro的拦截器,以实现更灵活的角色权限管理。通过覆盖默认的拦截器如RolesAuthorizationFilter,并使用自定义的拦截器,可以实现对用户角色的多选一授权。在配置中替换默认拦截器并注意在授权时正确处理Role和Perms的区别。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为什么自定义Shiro的拦截器

Shiro自带的拦截器,一个请求只能赋予一个角色或者一个组合角色。
例如:
filterChainDefinitionMap.put("/user/*","roles[user,admin]");  表示只有同时获得user和admin的角色才能访问/user/*

但是实际中,需要/user/* 的请求user和admin角色都可以访问,那么就需要自定义拦截器

怎么自定义Shiro的拦截器

默认的拦截器

所有的拦截器都继承了AccessControlFilter类

继承了AccessControlFilter类的拦截器有下图中的几种:
在这里插入图片描述

默认使用的拦截器是:RolesAuthorizationFilter

在默认的拦截器中,roles[user,admin] 表示user加上admin的组合角色

    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

        Subject subject = getSubject(request, response);
        String[] rolesArray = (String[]) mappedValue;

        if (rolesArray == null || rolesArray.length == 0) {
            //no roles specified, so nothing to check - allow access.
            return true;
        }

        Set<String> roles = CollectionUtils.asSet(rolesArray);  //将所有的权限加起来的组合权限
        return subject.hasAllRoles(roles);
    }

CollectionUtils.asSet()方法

    public static <E> Set<E> asSet(E... elements) {
        if (elements == null || elements.length == 0) {
            return Collections.emptySet();
        }

        if (elements.length == 1) {
            return Collections.singleton(elements[0]);
        }

        LinkedHashSet<E> set = new LinkedHashSet<E>(elements.length * 4 / 3 + 1);
        Collections.addAll(set, elements);
        return set;
    }

自定义拦截器

//自定义Shiro过滤器
public class RoleFilter extends RolesAuthorizationFilter {
    @Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
        final Subject subject = getSubject(request, response);
        final String[] rolesArray = (String[]) mappedValue;

        if (rolesArray == null || rolesArray.length == 0) {
            // 无指定角色时,无需检查,允许访问
            return true;
        }

        for (String roleName : rolesArray) {
            if (subject.hasRole(roleName)) {
                return true;
            }
        }
        return false;
    }
}

设置拦截器为自定义的拦截器

@Bean("getShiroFilterFactoryBean")
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        bean.setSecurityManager(defaultWebSecurityManager);
        //自定义拦截器类型
        //import javax.servlet.Filter;
        Map<String, Filter> filterMap = new LinkedHashMap<>();
        filterMap.put("roles", new RoleFilter());
        //设置拦截器为自定义的拦截器
        bean.setFilters(filterMap);

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

        filterChainDefinitionMap.put("/user/*","roles[user,admin]");
        filterChainDefinitionMap.put("/admin/*","roles[admin]");

       // 设置过滤器
        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        //设置登录的请求  可以是路由也可以是压面
        bean.setLoginUrl("/common/toLogin");
        //设置未授权的请求 未授权-->未授权页面
        bean.setUnauthorizedUrl("/common/toLogin");
        return bean;
    }

注意点

注意自己在授权时 是授予Role还是授予Perms

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //获取当前登录对象
        Subject subject = SecurityUtils.getSubject();
        User currentUser = (User) subject.getPrincipal(); //得到当前对象
        //如果当前对象不为空 进行授权操作
        if(currentUser!=null){
            //设置当前用户的权限
            //info.addStringPermission(currentUser.getPerms()); //授予perm
            info.addRole(currentUser.getRole());  //赋予Role
        }
        return info;
    }
22_设计方案(第三章-技术路线)
珞圻的博客
01-20 205
(1)开发工具(2)设计工具数据库设计工具:Powerdesigner。接口设计工具:YAPI。原型设计工具:Axure、墨刀、蓝湖。
Shiro第八章二-自定义拦截器
海恩的博客
04-30 418
自定义拦截器 自定义拦截器可以扩展一些功能,如,从Subject获取用户身份信息绑定到Request、验证码验证、在线用户信息的保存等。 扩展OncePerRequestFilter OncePerRequestFilter保证请求只调用一次doFilterInternal()。 public class MyOncePerRequestFilter extends ...
Shiro实现URL自定义拦截
热门推荐
雨落成追忆
01-28 2万+
最近做的一个功能使用shiro对接口进行权限限制。也就是说,当前端请求到后台时,首先判断用户是否具有请求该接口的权限,如果有权限,才能进行访问后台API。 1、自定义权限过滤器 package com.cat.arain.web.shiro; import org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter; imp
shiro 自定义拦截器
qq_38930240的博客
01-29 4796
1.拓展 OncePerRequestFilter  用于防止多次执行 Filter 的;也就是说一次请求只会走一次拦截器链;另外提供 enabled 属性,表示是否开启该拦截器实例,默认 enabled=true 表示开启,如果不想让某个拦截器工作,可以设置为 false 即可。 保证一次请求只调用一次 doFilterInternal,即如内部的 forward 不会再多执行一次 doFi...
shiro配置filterchaindefinitions实现角色判定方法的重写
yaoyao9565的博客
03-23 6283
不知道在使用shiro中出现这种问题,在进行登录拦截赋予用户权限时,需要赋予用户多个角色权限,而在访问地址拦截时访问控制中当用户拥有多个角色权限的任意其一,则可以访问此页面。例如: /userRole/**=roles[admin,isShopMan]
shiro概述(三)拦截器
w_t_y_y的博客
12-14 1898
也就是说一次请求只会走一次拦截器链;另外提供enabled属性,表示是否开启该拦截器实例,默认enabled=true表示开启,如果不想让某个拦截器工作,可以设置为false即可。当我们组装拦截器链时会根据这个名字找到相应的拦截器实例;4、AdviceFilter:提供了AOP风格的支持,类似于SpringMVC中的Interceptor。3、ShiroFilter:是整个Shiro的入口点,用于拦截需要安全控制的请求进行处理。一、介绍:shiro使用了与servlet一样的Filter进行接口扩展。
Shiro基础应用——角色和权限校验
qq_45337431的博客
10-10 2953
1.shiro的概述 2.相关依赖和配置文件 3.shiro工厂启动的初始化原理 4.整个的使用过程以及注意事项 5.自定义的标签的使用
环境企业表单权限分配填报数据系统设计与实现
子舆的专栏
06-05 1万+
环境信息化是政府信息化建设的重要组成部分,深入推进环境信息化建设是国家信息化发展的客观要求,是建设服务型政府的重要手段,是实现环境管理科学决策和提升环境监管效能的基本保障。对于一套兼容并包的信息管理系统,不同的类型的企业机构有相对应的属性业务表单,需要对建立的表单建立关联关系,并且系统的用户有填报、审核及管理的多重功能。 本文开发一套系统应用于环境企业的差异化表单填报与用户权限分配的实际场景,可以有效提升系统的管理与业务数据的汇总和分析。 本文完成的主要工作如下: 1.通过对当前业界
面试题
最新发布
weixin_46597615的博客
06-12 528
面试题
spring mvc 拦截器
waiwai4701
06-18 696
拦截器有两种实现方式:implements HandlerInterceptor,还有一种是继承自一个类,这里先不说。
shiro入门
hq091117的博客
10-19 568
shiro学习,动态加权限,session共享,单点登录。
shiro配置一个路径可多个角色访问
码来-陈平安的博客
04-05 1087
一、问题 在shiroConfirg配置类中,对于下类路径的访问控制通常表示具有两种角色才能访问,但我们有时可能对于某一个路径而言,需要多个角色均可以访问,解决办法是配置自己的过滤器。 chainDefinition.addPathDefinition("/manage/**", "authc, roles[administrator,评审人员]"); 二、解决 1.在ShiroConfig中的ShiroFilterFactoryBean 下引入自己编写的过滤器 MyShiroFilter, @B
Shiro框架:Shiro SecurityManager安全管理器解析
博客园
01-13 2364
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录验证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,在前述文章全面解析Shiro框架原理的基础之上,详见:Shiro框架:ShiroFilterFactoryBean过滤器源码解析-优快云博客、Shiro框架:Shiro内置过滤器源码解析-优快云博客,本篇文章继续深入解析Shiro SecurityManager安全管理器的结构和功能。
Shiro权限管理之自定义Realm
你今天真好看呀
04-04 1785
文章目录1. SpringBoot集成shiro快速入门1. shiro 用户认证2. shiro用户授权2. SpringBoot 使用IniRealm进行认证授权3. Spring Boot 使用 JdbcRealm 进行认证授权1. 数据库驱动2. 数据库表结构3. 创建 testJdbcRealm方法4. 更改数据库表名4. Spring Boot 使用自定义 Realm 进行认证授权5. SpringBoot整合shiro之盐值加密认证详解 1. SpringBoot集成shiro快速入门 导入s
shiro引发的问题(302 Found)
leaves_story的博客
04-12 1万+
做一个邮件反馈的时候遇到的,记录下来,与大家分享最近一个项目要发送邮件,在前端页面点击按钮发送一封邮件到指定邮箱,前端按钮做好了点击事件,起初点击时无法发送ajax请求,页面上的ajax无法发出去,经过查看请求头发现很奇怪的状态码,302错误,302重定向又称之为302代表暂时性转移(Temporarily Moved ),英文名称:302 redirect。 也被认为是暂时重定向,说明在请求的过...
Shiro实际使用(实现各种实用的拦截器)
qq_38053426的博客
12-12 3350
目前 shiro基本上属于很火的一个对权限验证的框架 在大系统的使用中 也能够和其他的权限方面的框架进行整合 能够实现单点登录 与redis的集成 实现缓存用户session等,十分灵活      今天我就分享下使用了shiro一段时间的体会吧     首先,对于shiro的介绍 源码 本文就不涉及了 一切以最实用的东西出发     配置: <!-- 1. 配置 Shiro
第七节 shiro自带的拦截器分析
大宇的博客,欢迎访问
01-30 3812
一、Shiro框架携带的拦截器 首先来温故一下最常见的shiro拦截器。anon表示不拦截,authc表示需要认证,roles表示需要某种角色,perms就更狠了,直接表明需要某种权限。ssl是https相关的拦截器,上次项目中客户要求以https方式启动项目,当时是项目经理配置的,我暂时还没有掌握这种拦截器。 anon:匿名拦截器,即不需要登录即可访问;一般用于静态资源过滤...
快速上手Shiro拦截器、认证、授权功能
piaolaoshi的博客
03-20 8392
快速实现shiro拦截器授权认证等功能
springboot shiro添加处理角色or关系的过滤器
weixin_42220123的博客
01-15 1082
转载自:http://www.kssfeng.com/content/98ba790618b211e9a181525400cc6d13 为什么添加or关系处理器 shiro中配置roles的时候当存在多个角色参数时,这是各参数的关系是and关系。 如:roles[admin,user],这样配置的时候需要同时是admin和user角色是才能通过。 shiro默认不能处理admin或user...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值