Shiro和SpringBoot集成前后端分离登陆验证和权限验证接口302获取不到返回结果的问题

最新推荐文章于 2023-07-26 18:10:19 发布
最新推荐文章于 2023-07-26 18:10:19 发布
阅读量3k 收藏 13
点赞数 3
分类专栏: SpringBoot 文章标签: SpringBoot Shiro 302 authc perms
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/China_hdy/article/details/97154272
版权

1、Shiro相关的依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>
<dependency>
    <groupId>org.crazycake</groupId>
    <artifactId>shiro-redis</artifactId>
    <version>3.2.3</version>
</dependency>

2、重写登陆验证过滤器authc,继承 org.apache.shiro.web.filter.authc.FormAuthenticationFilter

import cn.gov.chinatax.beijing.entity.base.JsonResult;
import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

public class CustomFormAuthenticationFilter extends FormAuthenticationFilter {
	
	/**
	 * 屏蔽OPTIONS请求
	 */
	@Override
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
		boolean accessAllowed = super.isAccessAllowed(request, response, mappedValue);
		if (!accessAllowed) {
			// 判断请求是否是options请求
			String method = WebUtils.toHttp(request).getMethod();
			if (StringUtils.equalsIgnoreCase("OPTIONS", method)) {
				return true;
			}
		}
		return accessAllowed;
	}

	/**
	 * 解决未登录302问题
	 * @param request
	 * @param response
	 * @return
	 * @throws Exception
	 */
	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
		if (isLoginRequest(request, response)) {
			if (isLoginSubmission(request, response)) {
				return executeLogin(request, response);
			} else {
				return true;
			}
		} else {
			// 返回固定的JSON串
			WebUtils.toHttp(response).setContentType("application/json; charset=utf-8");
			WebUtils.toHttp(response).getWriter().print(JsonResult.json(JsonResult.unlogin()));
			return false;
		}
	}
}

3、重写权限验证过滤器,继承 org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

import cn.gov.chinatax.beijing.entity.base.JsonResult;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.IOException;

/**
 * 自定义权限验证过滤器
 */
public class CustomPermissionsAuthorizationFilter extends PermissionsAuthorizationFilter {

    /**
     * 根据请求接口路径进行验证
     * @param request
     * @param response
     * @param mappedValue
     * @return
     * @throws IOException
     */
    @Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
        // 获取接口请求路径
        String servletPath = WebUtils.toHttp(request).getServletPath();
        mappedValue = new String[]{servletPath};
        return super.isAccessAllowed(request, response, mappedValue);
    }

    /**
     * 解决权限不足302问题
     * @param request
     * @param response
     * @return
     * @throws IOException
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        Subject subject = getSubject(request, response);
        if (subject.getPrincipal() == null) {
            saveRequestAndRedirectToLogin(request, response);
        } else {
            WebUtils.toHttp(response).setContentType("application/json; charset=utf-8");
            WebUtils.toHttp(response).getWriter().print(JsonResult.json(JsonResult.unauthorized()));
        }
        return false;
    }
}

4、重写sessionId获取方法,继承 org.apache.shiro.web.session.mgt.DefaultWebSessionManager

import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.Serializable;

/**
 * 自定义SessionId获取路径
 */
public class CustomDefaultWebSessionManager extends DefaultWebSessionManager {

    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        String sessionId = WebUtils.toHttp(request).getHeader("Authorization");
        // 如果请求头中有 Authorization 则其值为sessionId
        if (StringUtils.isNotBlank(sessionId)) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, ShiroHttpServletRequest.URL_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, sessionId);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return sessionId;
        } else {
            //否则按默认规则从cookie取sessionId
            return super.getSessionId(request, response);
        }
    }
}

5、Shiro配置类

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.crazycake.shiro.RedisCacheManager;
import org.crazycake.shiro.RedisManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.Map;

/**
 * Shiro配置类
 */
@Configuration
public class ShiroConfiguration {

    @Value("${spring.redis.host}")
    private String host;
    @Value("${spring.redis.port}")
    private int port;
    @Value("${spring.redis.timeout}")
    private int timeout;
    @Value("${spring.redis.database}")
    private int database;
    @Value("${spring.redis.password}")
    private String password;

    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 设置自定义的过滤器
        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
        filters.put("authc", new CustomFormAuthenticationFilter());
        filters.put("perms", new CustomPermissionsAuthorizationFilter());
        Map<String, String> filterChainDefinitionMap = shiroFilterFactoryBean.getFilterChainDefinitionMap();
        //注意过滤器配置顺序
        filterChainDefinitionMap.put("/xxx", "anon");      // 不需要登录
        filterChainDefinitionMap.put("/yyy", "authc");     // 需要登录不需要验证权限       
        filterChainDefinitionMap.put("/**", "authc,perms"); // 需要登录也需要验证权限
        shiroFilterFactoryBean.setLoginUrl("/");
        shiroFilterFactoryBean.setUnauthorizedUrl("/");
        return shiroFilterFactoryBean;
    }

    /**
     * 凭证匹配器
     * (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了
     * )
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5"); //散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashIterations(2); //散列的次数,比如散列两次,相当于 md5(md5(""));
        return hashedCredentialsMatcher;
    }

    @Bean
    public ShiroRealm shiroRealm() {
        ShiroRealm shiroRealm = new ShiroRealm();
        shiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return shiroRealm;
    }

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(shiroRealm());
        // 自定义session管理 使用redis
        securityManager.setSessionManager(sessionManager());
        // 自定义缓存实现 使用redis
        securityManager.setCacheManager(cacheManager());
        return securityManager;
    }

    //自定义sessionManager
    @Bean
    public SessionManager sessionManager() {
        CustomDefaultWebSessionManager customDefaultWebSessionManager = new CustomDefaultWebSessionManager();
        customDefaultWebSessionManager.setSessionDAO(redisSessionDAO());
        return customDefaultWebSessionManager;
    }

    /**
     * 配置shiro redisManager
     * 使用的是shiro-redis开源插件
     * @return
     */
    public RedisManager redisManager() {
        RedisManager redisManager = new RedisManager();
        redisManager.setHost(host + ":" + port);
        redisManager.setDatabase(database);
        redisManager.setTimeout(timeout);
        redisManager.setPassword(password);
        return redisManager;
    }

    /**
     * cacheManager 缓存 redis实现
     * 使用的是shiro-redis开源插件
     * @return
     */
    @Bean
    public RedisCacheManager cacheManager() {
        RedisCacheManager redisCacheManager = new RedisCacheManager();
        redisCacheManager.setRedisManager(redisManager());
        return redisCacheManager;
    }

    /**
     * RedisSessionDAO shiro sessionDao层的实现 通过redis
     * 使用的是shiro-redis开源插件
     */
    @Bean
    public RedisSessionDAO redisSessionDAO() {
        RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
        redisSessionDAO.setRedisManager(redisManager());
        return redisSessionDAO;
    }

}

 

咋暖还寒时候
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springboot shiro 前后分离请求302
墨染秦时的博客
09-10 3222
前后分离项目中,由于跨域,会导致复杂请求,即会发送preflighted request,这样会导致在GET/POST等请求之前会先发一个OPTIONS请求,但OPTIONS请求并不带shiro的’Authorization’字段(shiro的Session),即OPTIONS请求不能通过shiro验证,会返回未认证的信息。 解决方案为继承shiro的DefaultWebSessionManag...
springBoot前后分离项目中shiro的302跳转
qq_27521215的博客
07-25 1万+
     项目是使用的springboot ,使用的shiro做的用户鉴权。在前请求时当用户信息失效,session失效的时候,shiro会重定向到配置的login.jsp 页面,或者是自己配置的logUrl。    因是前后分离项目,与静态资源文件分离,固重定向后,接着会404。经过查找网上配置资料,发现302原因是 FormAuthenticationFilter 中 onAcces...
springboot+shiro前后分离过程中跨域问题、sessionId问题、302鉴权失败问题
wmy_0707的博客
08-28 6364
近期项目需要前后分离,由于前后分离后原来的适用的shiro配置无法满足现有系统要求。同时在前后项目分离的项目中存在的跨域问题,cookies不再使用,通过token方式实现用户登陆鉴权。 下面记录在整个过程中涉及的几个大问题:1、跨域问题 2、sessionId问题 3、302鉴权问题 1、springboot跨域问题解决 package net.sino...
spring boot+shiro+vue前后分离时,获取不到session
iamlzyoco的博客
07-10 1733
登录成功后,获取用户对应的菜单树,结果报错session失效。 controller: @ApiOperation("用户登录") @ApiImplicitParams({@ApiImplicitParam(value = "用户名", name = "username",defaultValue = "系统管理",dataType = "String",paramType="query"), @ApiImplicitParam(value = "密码", name = "pa
当后给我返回了302状态码
热门推荐
yeyeye0525的博客
09-19 1万+
主要的作用就是当后响应的内容是html的时候,跳转到登录页面。这种方案让我感觉有点别扭,于是具体了解了这段代码出现的原因。功能的核心在于用户鉴权,后设想的方案是:当前发起接口请求,后识别到用户未登录的时候,就会给前响应302的状态码,以为很方面,前不用处理就直接跳转到了登录页面。然而,他们不知道的是,前发起的ajax请求,并不能直接跳转,甚至连302状态码都捕获不到
java后接口实现302跳转
weixin_45614626的博客
07-26 2102
java后实现302跳转
Shiro导致Request.getReader无法获取数据
KimmKing的技术博客
12-23 9167
Shiro导致Request.getReader无法获取数据 kimmking@163.com 2013-12-23         今天发现一个很奇怪的问题,我们系统里用REST方式做前后的访问,具体就是所有的请求都是POST,URL对应处理的action,HTTP body里的json是请求参数;后程序里从Request.getReader拿到json参数,然后调用相应的action
Shiro之前后分离权限验证返回302错误
china_hdy的博客
04-26 1万+
Shiro和Spring集成,在XML文件中配置如下部分(非全部配置): <!-- Shiro权限管理 --> <bean id="shiroSecurityFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- 注入安全管理器对象 --> <proper...
springboot+shiro点击登录 显示302问题
qq_43343451的博客
02-15 2599
报错显示 直接按F12 点击Network查看各个请求状态 在点击登录界面之后查看状态 我们可以看到login.html跳转链接代码显示302 它会一直跳转带登录界面, 无论你跳转链接写的是什么 弄了很久以后才发现是配饰shiro工具类的时候出错误了 在filterChainDefinitionMap.put("/login.html", "anon");, 应该是对应login.HTML里面路...
基于springboot+mybatis+shiro+vue的前后分离汽车租赁管理系统.zip
最新发布
05-14
这是一个基于现代技术栈的汽车租赁管理系统的实现,利用SpringBoot、MyBatis、Shiro和Vue.js进行前后分离的设计。下面将详细讲解这个系统所涉及的技术知识点。 **1. SpringBoot** SpringBoot是Spring框架的扩展,...
SpringBoot+ant-design-pro-vue前后分离权限管理系统.zip
03-23
SpringBoot+Ant Design Pro Vue 实现前后分离权限管理系统》 在现代软件开发领域,前后分离已经成为一种常见的架构模式,它有利于提升开发效率,优化用户体验,并且便于维护和扩展。本项目以"SpringBoot+...
Springboot + shiro权限管理
11-17
**SpringBoot + Shiro 权限管理详解** 在现代企业级应用开发中,权限管理是不可或缺的一部分,它确保用户只能访问他们被授权的资源。SpringBoot 和 Apache Shiro 是两个非常流行的 Java 开发框架,它们结合可以构建...
基于springboot+shiro+layui+jquery+thymeleaf医院管理系统和微信小程序源码.zip
10-03
这是一个基于Java技术栈的医院管理系统源码,集成SpringBootShiro、Layui、jQuery和Thymeleaf等流行框架。以下是这些技术在系统中的应用和知识点详解: 1. **SpringBoot**: SpringBoot是Spring框架的一个扩展,...
shiro整理2-----介绍Shiro 身份验证
m0_67391401的博客
03-28 460
一、shiro身份验证的基本概念: (1)身份验证: 这就不多说了,给shiro传递【身份+证明】,就可以进行验证。 (2)身份 粗浅的说,相当于账户。比如手机号、邮箱、用户名这些。 准确的说,相当于身份。 shiro中把这个封装成了【principals】 (3)证明 证明其实就是密码。 shiro中把这个封装成了【credentials】 二、实例使用 接下来,看看如何使用shiro进行身份验证。 (1)环境准备 maven引入,这个不解释了。 <dependency>
shiro服务器取不到用户信息,Shiro学习系列教程二:从数据库中获取认证信息
weixin_39616348的博客
08-12 603
原标题:Shiro学习系列教程二:从数据库中获取认证信息本讲主要内容:1:shiro框架流程了解 2:用户名密码从数据库中读取后进行验证(在实际工作中一般使用这种)第一节:shiro框架流程了解首先,我们从外部来看Shiro吧,即从应用程序角度的来观察如何使用Shiro完成工作。如下图: 可以看到:应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject;其每个...
关于shiro 总是302的问题
callmesong的博客
12-17 7818
shiro
使用shiro权限验证框架,request一直为null,获取项目根路径的解决办法
爱吃鸡腿的明仔
05-09 773
问题说明:项目使用shiro权限验证框架后,request.getSession().getServletContext().getRealPath("/")就一直都得不到项目的根路径,debug之后,显示request为null,如下图所示: 解决办法一: 1.在web.xml配置中找到shiro配置加入如下配置: <init-param> <param-name>targetFilterLifecycle</param-name> <param-value
springboot +shiro 授权无效的问题
Simlier的博客
04-30 1585
大神求指教 问题描述: 1.用数据库的权限码无效(放入集合无效) 2.手动添加权限可以使用(类似于:authorizationInfo.addStringPermission(“aa”)) 无效情况一: List<String> list=new ArrayList<String>(); for (Functions func : functions)...
SpringBoot自定义拦截器注入Service
china_hdy的博客
09-23 3650
1、创建自定义拦截器,实现接口:org.springframework.web.servlet.HandlerInterceptor package com.hdy.manage.web.interceptor; import com.hdy.manage.service.SysLogService; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.servlet
springboot shiro 前后分离
09-23
SpringBoot中实现前后分离的开发模式下使用Shiro,可以通过以下步骤进行操作: 1. 配置Shiro的Maven依赖,添加ShiroSpringBoot的相关依赖。 2. 创建自定义的Realm,继承自`AuthorizingRealm`,并实现其中的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值