shiro 控制一个url多个角色都可以访问
关于shiro控制一个url可以多个角色访问，
我看到这样一个说法：
第一，就是要这写些个用户拥有这些全部角色，因为如果url后面有多个角色，那么就是要同时拥有这些角色才能访问，
第二，就是重写
@SuppressWarnings({"unchecked"})
public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

Subject subject = getSubject(request, response);
String[] rolesArray = (String[]) mappedValue;

if (rolesArray == null || rolesArray.length == 0) {
//no roles specified, so nothing to check - allow access.
return true;
}

Set<String> roles = CollectionUtils.asSet(rolesArray);
return subject.hasAllRoles(roles);
}

}

这个方法是and逻辑 即必须匹配所有角色，你可以自己写个filter 改成or


你可以看一下org.apache.shiro.web.filter.authz.RolesAuthorizationFilter的源码，然后自己实现一个支持or关系的，而不是and关系的filter，具体，只要匹配任意一个角色就返回true，而不是之前的hasAllRoles才返回true，如果你是用spring的话，然后在spring的配置文件里配置一下类似这样的 <bean id="roleOrFilter" class="XXXX.YYYY.ZZZZ.RolesOrAuthorizationFilter">
</bean>
最后配置的时候用这样的格式：

"/orgemp/** = authc,roleOrFilter["11,12"]