使用Apache shiro进行权限管理时如何对同一个URL配置多个角色的或关系

        在开发web应用时，通常会对一个用户分配某个角色。该角色拥有一定的权限，那么需要进行

权限管理。在进行权限管理的时候，常常会遇到不同角色的用户访问相同URL的情况。如果只有部

分角色访问该URL，那么需要限制只有这些角色才可以访问该URL。

        在这种情况下，涉及的是角色之间的或关系的管理。因为一般情况下，一个用户通常只有一个

角色。shiro的过滤中有个RolesAuthorizationFilter过滤器，对应的过滤器名为roles。当配置如

roles["admin,test"]时，表示的是当前用户角色必须既是admin，也是test。也就是说该过滤器的角色

控制是且的关系。若要实现或的关系，可以自己实现一个过滤器，实现或逻辑。

        实现方式很简单，实现AuthorizationFilter类就行了。实现如下

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;

// AuthorizationFilter抽象类事项了javax.servlet.Filter接口，它是个过滤器。
public class CustomRolesAuthorizationFilter extends AuthorizationFilter {

	@Override
	protected boolean isAccessAllowed(ServletRequest req, ServletResponse resp, Object mappedValue) throws Exception {
		Subject subject = getSubject(req, resp);
		String[] rolesArray = (String[]) mappedValue;

		if (rolesArray == null || rolesArray.length == 0) { //没有角色限制，有权限访问
			return true;
		}
		for (int i = 0; i < rolesArray.length; i++) {
			if (subject.hasRole(rolesArray[i])) { //若当前用户是rolesArray中的任何一个，则有权限访问
				return true;
			}
		}

		return false;
	}
}

        通过Spring框架将该过滤器添加到shiro权限管理中

	  
	  
	    
	    
	    	
	    
	    
	      
	        
	        	
	            /user!query.action = authc,roleOrFilter["comm,test"]
	          
	      
	
	
	
	

        此时当当前用户的角色为comm或test时，有权访问/user!query.action，若既不是comm，也不是

test，则无权访问/user!query.action。