shiro 控制一个url多个角色都可以访问

关于shiro控制一个url可以多个角色访问，
我看到这样一个说法：
第一，就是要这写些个用户拥有这些全部角色，因为如果url后面有多个角色，那么就是要同时拥有这些角色才能访问，
第二，就是重写
    @SuppressWarnings({"unchecked"})
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

        Subject subject = getSubject(request, response);
        String[] rolesArray = (String[]) mappedValue;

        if (rolesArray == null || rolesArray.length == 0) {
            //no roles specified, so nothing to check - allow access.
            return true;
        }

        Set<String> roles = CollectionUtils.asSet(rolesArray);
        return subject.hasAllRoles(roles);
    }

}

这个方法是and逻辑 即必须匹配所有角色，你可以自己写个filter 改成or


你可以看一下org.apache.shiro.web.filter.authz.RolesAuthorizationFilter的源码，然后自己实现一个支持or关系的，而不是and关系的filter，具体，只要匹配任意一个角色就返回true，而不是之前的hasAllRoles才返回true，如果你是用spring的话，然后在spring的配置文件里配置一下类似这样的 <bean id="roleOrFilter" class="XXXX.YYYY.ZZZZ.RolesOrAuthorizationFilter">
</bean>
最后配置的时候用这样的格式：

"/orgemp/** = authc,roleOrFilter["11,12"]