Shiro拦截AJAX的解决方案

最新推荐文章于 2021-08-05 13:56:25 发布
最新推荐文章于 2021-08-05 13:56:25 发布
阅读量2.6w 收藏 23
点赞数 15
分类专栏: shiro 文章标签: shiro ajax spring-boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014042146/article/details/72834582
版权

Shiro拦截AJAX的解决方案

最近在springboot项目上使用了shiro,但是shiro配置好后都是默认页面重定向处理。然而前后端分离后,静态页面都是部署在nginx上,统一都通过ajax进行调用。ajax的话不能进行重定向,需要返回指定格式的JSON。所以shiro需要满足一下几点要求:

  • ajax调用接口没有登录时,返回指定格式JSON

  • ajax调用接口在登录的情况下,没有权限时,返回指定格式JSON

  • 普通请求调用接口则进行重定向处理

Shiro的Filter拦截器

这时候需要扩展一下Shiro的Filter,主要有AdviceFilter、RolesAuthorizationFilter、PermissionsAuthorizationFilter

  • AdviceFilter有点类似SpringMVC中的HandlerInterceptor拦截器,主要用于在访问Controller之前用于判断用户是否登录
  • RolesAuthorizationFilter主要扩展了在shiro在认证Roles失败时回调的onAccessDenied方法,用于返回JSON或是重定向,也是需要我们实现的。
  • PermissionsAuthorizationFilter主要是认证perms资源,也是一样重写onAccessDenied方法

下图为Shiro的Filter关系图
这里写图片描述

  • 可以看到AccessControllerFilter主要是Shiro控制认证和授权的过滤器

Filter拦截器的实现

扩展AdviceFilter,用于ajax访问接口未登录的处理

class ShiroLoginFilter extends AdviceFilter {

    /**
     * 在访问controller前判断是否登录,返回json,不进行重定向。
     * @param request
     * @param response
     * @return true-继续往下执行,false-该filter过滤器已经处理,不继续执行其他过滤器
     * @throws Exception
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        SysUser sysUser = (SysUser) httpServletRequest.getSession().getAttribute("user");
        if (null == sysUser && !StringUtils.contains(httpServletRequest.getRequestURI(), "/login")) {
            String requestedWith = httpServletRequest.getHeader("X-Requested-With");
            if (StringUtils.isNotEmpty(requestedWith) && StringUtils.equals(requestedWith, "XMLHttpRequest")) {//如果是ajax返回指定数据
                ResponseHeader responseHeader = new ResponseHeader();
                responseHeader.setResponse(ResponseHeader.SC_MOVED_TEMPORARILY, null);
                httpServletResponse.setCharacterEncoding("UTF-8");
                httpServletResponse.setContentType("application/json");
                httpServletResponse.getWriter().write(JSONObject.toJSONString(responseHeader));
                return false;
            } else {//不是ajax进行重定向处理
                httpServletResponse.sendRedirect("/login/local");
                return false;
            }
        }
        return true;
    }

}

扩展RolesAuthorizationFilter,用于ajax访问接口登录但是角色认证不通过的处理
public class ShiroRolesFilter extends RolesAuthorizationFilter {

   class ShiroLoginFilter extends AdviceFilter {

    /**
     * 在访问controller前判断是否登录,返回json,不进行重定向。
     * @param request
     * @param response
     * @return true-继续往下执行,false-该filter过滤器已经处理,不继续执行其他过滤器
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws IOException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
        String requestedWith = httpServletRequest.getHeader("X-Requested-With");
        if (StringUtils.isNotEmpty(requestedWith) &&
                StringUtils.equals(requestedWith, "XMLHttpRequest")) {//如果是ajax返回指定格式数据
            ResponseHeader responseHeader = new ResponseHeader();
            responseHeader.setResponse(ResponseHeader.SC_FORBIDDEN, null);
            httpServletResponse.setCharacterEncoding("UTF-8");
            httpServletResponse.setContentType("application/json");
            httpServletResponse.getWriter().write(JSONObject.toJSONString(responseHeader));
        } else {//如果是普通请求进行重定向
            httpServletResponse.sendRedirect("/403");
        }
        return false;
    }
}

同样扩展PermissionsAuthorizationFilter,用于ajax访问接口登录但是资源操作认证不通过的处理

public class ShiroPermsFilter extends PermissionsAuthorizationFilter {
    /**
     * shiro认证perms资源失败后回调方法
     * @param servletRequest
     * @param servletResponse
     * @return
     * @throws IOException
     */
    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws IOException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
        String requestedWith = httpServletRequest.getHeader("X-Requested-With");
        if (StringUtils.isNotEmpty(requestedWith) &&
                StringUtils.equals(requestedWith, "XMLHttpRequest")) {//如果是ajax返回指定格式数据
            ResponseHeader responseHeader = new ResponseHeader();
            responseHeader.setResponse(ResponseHeader.SC_FORBIDDEN, null);
            httpServletResponse.setCharacterEncoding("UTF-8");
            httpServletResponse.setContentType("application/json");
            httpServletResponse.getWriter().write(JSONObject.toJSONString(responseHeader));
        } else {//如果是普通请求进行重定向
            httpServletResponse.sendRedirect("/403");
        }
        return false;
    }
}

最后在配置中将上面自定义的Filter设置到ShiroFilterFactoryBean。由于我的是springboot都是在java代码配置


    @Bean(name = "shiroLoginFilter")
    public ShiroLoginFilter shiroLoginFilter(){
        ShiroLoginFilter shiroLoginFilter = new ShiroLoginFilter();
        return shiroLoginFilter;
    }

这里写图片描述

Filter配置后,Shiro处理用户请求的流程如下

这里写图片描述

注意点

  • 在实现自定义Filter的时候不要用Spring进行单例模式的bean初始化,不然在认证的时候SecurityUtils.getSubject()会抛出:
    org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.ThreadContext or as a vm static singleton. This is an invalid application configuration.
    看着错误信息好像就是不要使用单例模式。具体查看: [ Spring Boot:取消Filter自动注册 ]
打代码的哈士奇
关注
  • 15
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
已经解决shiro登录 ajax交互
01-23
shiro ajax 删除 没有权限 不跳转页面 或者没有反应
springboot+shiro实现自定义header登录认证
技术交流,共同进步
08-09 3987
springboot+shiro实现自定义header登录认证 基本配置 config子包的ShiroConfig引入了Shiro并配置了shirFilter、realm和sessionManager; shiroFilter配置只允许少量url可以匿名访问,其他url都需要登录才能访问; realm设置的是shiro子包的AdminAuthorizingRealm类,该类作用是认证和授权的功能;...
shiro控制返回的三种形式
yuhui666666的博客
01-04 1492
  返回状态码,json格式适用于前后分离时,前段清一色的ajax,他们判断你登录成功,或者没有权限等,不能解析你的返回url页面,这时你重写在用url跳转的时候判断是ajax请求就返回状态码给前台,不做跳转    response中的内容只要mvc返回了就自动会返回页面,在相应的结构可以看到,+return null;或者return; 用response.getWriter().p...
shiro框架源码解析与改造(八)---PermissionsAuthorizationFilter
ljz2016的博客
08-10 2417
PermissionsAuthorizationFilter是权限验证的关键过滤器。 @Override protected boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { return this.i...
SpringBoot Shiro Ajax的认证处理
oujiangping的博客
11-21 1302
吐槽 真是什么都做一点,最近撸主变成了一个web后端程序员去了,真是什么都弄一点,什么都不精通,八爪章鱼 问题 springboot用shiro来做ajax动静分离的方案的认证和授权的时候遇到一个特别为难的问题,那就是你访问未授权页面的时候,登陆未成功或者未登陆访问需要认证的接口的时候,服务器端回redirect重定向到loginUrl,这对于莫版型写法的页面是很方便的,但是我们ajax更希望看到...
shiro ajax权限拦截器,Shiro Ajax请求权限不满足,拦截解决方案
weixin_39526415的博客
08-05 318
Java模拟Http请求Java模拟Http请求使用的是org.apache.httpcomponents中的httpclient,因为post请求涉及到传输文件,所以需要使用httpmime这个包...centos7 上安装mysql5.7后登录报错ERROR 1045 (28000): Access denied for user 'root'@'localhost'安装完mysql后会有个临...
SpringBoot基于Shiro处理ajax请求代码实例
08-19
主要介绍了SpringBoot基于Shiro处理ajax请求代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
ShiroAJAX完美整合
09-21
ShiroAJAX完美整合
基于Shiro 拦截URL,实现权限控制
08-02
NULL 博文链接:https://vti-iteye.iteye.com/blog/1963397
基于springboot+vue 整合shiro的cms解决方案.zip
最新发布
01-15
方案是为解决特定问题或达成特定目标而制定的一系列计划或步骤。它的作用是提供一种系统性的方法,以有效地应对挑战、优化流程或实现目标。以下是方案的主要作用: 问题解决: 方案的核心目标是解决问题。通过系统...
Shiro权限控制-区分Ajax请求
07-19
Shiro对权限的处理,并没有区分是否是Ajax请求,需要我们自己写过滤器来实现。在实现时通过获取请求头X-Request-with是否有值来区分,区分开来以后,对于普通请求直接跳转到没有权限的页面,对于AJax请求返回一个没有权限的JSon数据
@RequiresPermissions 控制权限的异常处理以及Ajax方式请求时返回json
qioutiandeyun的博客
09-13 6786
参考http://www.mamicode.com/info-detail-1746942.html 例如使用到注解:  @RequiresPermissions 来控制是否有对应权限才可以访问  @RequiresUser 来控制是否存在用户登录状态才可以访问 想了解Shiro是如何通过注解来控制权限的,可以查看源码 AopAllianceAnnotationsAuthori
shiro 拦截未登录的ajax_shiro 拦截器实现session过期拦截ajax请求的处理
weixin_39992660的博客
12-19 190
拦截器代码:package com.xlqh.outlook.shirofilter;import java.io.IOException;import org.apache.shiro.web.filter.PathMatchingFilter;import com.xlqh.outlook.MyShiroConstants.MyShiroConstants;import com.xlqh.ou...
Java个人总结系列-JavaWeb基础
10-26 701
Java个人总结 Java 个人总结是一个持续更新的系列,工作多年,抽个空对Java 做一个总结归纳,温故而知新,也希望能帮助到正在学习Java EE的同学们,本系列目录: Java是什么 面向对象的编程思想 Java基础语法 JavaWeb基础 Java常用框架介绍 本次是第三次修改,会随着JDK更新而修改,增删一些东西,目前已至JDK8。 Java Web是什么 Web翻译过来就是网页的意思,而Java Web是使用Java技术来解决网页相关领域的技术栈。 Web程序一般分为客户端,服务器端即我们常
Shiro拦截ajax请求
大宇的博客,欢迎访问
03-28 3728
        今天又发现了一个新的问题,Shiro拦截器不能够拦截ajax请求,需要自定义一个拦截器来拦截ajax请求。 package com.ssi.domains.secutity; import org.apache.shiro.SecurityUtils; import org.apache.shiro.subject.Subject; import org.apache.sh...
Shiro拦截Ajax请求,认证失败重定向 dao到登录页面 (亲测有效)
chenzhenguo
06-06 3499
由于 shiro 能 自动判断登录并返回登录登录页面,自动跳转到登录页面,返回login 页面 ,但是遇到ajax请求的 方法, 程序不会自动跳转到登录页面,所以需要 添加重定向方法 自动跳转到重定向 登录页面 1.自定义拦截器LoginFormFilter拦截器,继承FormAuthenticationFilter类,在需要登录而未登录的请求都会执行onAccessDenied请求。 ...
spring---Shiro拦截
weixin_43590392的博客
11-10 994
拦截器 1.结构架构图 2.Shiro拦截器 2.1.ShiroConfig 代码: package com.auth; import org.apache.shiro.mgt.DefaultSessionStorageEvaluator; import org.apache.shiro.mgt.DefaultSubjectDAO; import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.spring.web.ShiroFi
shiro ajax请求拦截器,shiro ajax返回登录成功
weixin_36245958的博客
08-05 241
shiro默认在我们登录成功后会重定向到用户首页,有些时候,登录是使用ajax完成,登录成功后,会返回给我们登录成功的页面,尽管在ajax中页面不跳转我们可以手动跳转,但是还是有些不爽希望能返回json登录成功提示.在网上收集了一些资料,有些是重写onAccessDenied实现.有些是其他方式.本篇是重写UserFilter中的redirectToLogin实现的.具体思想是我们在页面进行判断是...
使用shiro 拦截ajax请求判断 登录状态是否失效
醋拌柠檬
03-11 361
使用shiro 拦截ajax请求判断 登录状态是否失效 自定义拦截器 继承 UserFilter 重写 onAccessDenied 方法, @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { HttpServletRequest req = (HttpServletRequest) request;
springboot基于Shiro拦截ajax请求
05-09
在Spring Boot中使用Shiro进行拦截Ajax请求,可以使用Shiro提供的Filter来实现。 首先,需要创建一个自定义的ShiroFilter,并在Spring Boot的配置文件中进行配置: ```java @Configuration public class Shiro...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值