Shiro和SpringBoot集成前后端分离登陆验证和权限验证接口302获取不到返回结果的问题

最新推荐文章于 2023-12-03 21:35:48 发布
最新推荐文章于 2023-12-03 21:35:48 发布
阅读量3k 收藏 13
点赞数 3
分类专栏: SpringBoot 文章标签: SpringBoot Shiro 302 authc perms
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/China_hdy/article/details/97154272
版权

1、Shiro相关的依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.4.0</version>
</dependency>
<dependency>
    <groupId>org.crazycake</groupId>
    <artifactId>shiro-redis</artifactId>
    <version>3.2.3</version>
</dependency>

2、重写登陆验证过滤器authc,继承 org.apache.shiro.web.filter.authc.FormAuthenticationFilter

import cn.gov.chinatax.beijing.entity.base.JsonResult;
import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

public class CustomFormAuthenticationFilter extends FormAuthenticationFilter {
	
	/**
	 * 屏蔽OPTIONS请求
	 */
	@Override
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
		boolean accessAllowed = super.isAccessAllowed(request, response, mappedValue);
		if (!accessAllowed) {
			// 判断请求是否是options请求
			String method = WebUtils.toHttp(request).getMethod();
			if (StringUtils.equalsIgnoreCase("OPTIONS", method)) {
				return true;
			}
		}
		return accessAllowed;
	}

	/**
	 * 解决未登录302问题
	 * @param request
	 * @param response
	 * @return
	 * @throws Exception
	 */
	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
		if (isLoginRequest(request, response)) {
			if (isLoginSubmission(request, response)) {
				return executeLogin(request, response);
			} else {
				return true;
			}
		} else {
			// 返回固定的JSON串
			WebUtils.toHttp(response).setContentType("application/json; charset=utf-8");
			WebUtils.toHttp(response).getWriter().print(JsonResult.json(JsonResult.unlogin()));
			return false;
		}
	}
}

3、重写权限验证过滤器,继承 org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter

import cn.gov.chinatax.beijing.entity.base.JsonResult;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.IOException;

/**
 * 自定义权限验证过滤器
 */
public class CustomPermissionsAuthorizationFilter extends PermissionsAuthorizationFilter {

    /**
     * 根据请求接口路径进行验证
     * @param request
     * @param response
     * @param mappedValue
     * @return
     * @throws IOException
     */
    @Override
    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {
        // 获取接口请求路径
        String servletPath = WebUtils.toHttp(request).getServletPath();
        mappedValue = new String[]{servletPath};
        return super.isAccessAllowed(request, response, mappedValue);
    }

    /**
     * 解决权限不足302问题
     * @param request
     * @param response
     * @return
     * @throws IOException
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        Subject subject = getSubject(request, response);
        if (subject.getPrincipal() == null) {
            saveRequestAndRedirectToLogin(request, response);
        } else {
            WebUtils.toHttp(response).setContentType("application/json; charset=utf-8");
            WebUtils.toHttp(response).getWriter().print(JsonResult.json(JsonResult.unauthorized()));
        }
        return false;
    }
}

4、重写sessionId获取方法,继承 org.apache.shiro.web.session.mgt.DefaultWebSessionManager

import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.Serializable;

/**
 * 自定义SessionId获取路径
 */
public class CustomDefaultWebSessionManager extends DefaultWebSessionManager {

    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        String sessionId = WebUtils.toHttp(request).getHeader("Authorization");
        // 如果请求头中有 Authorization 则其值为sessionId
        if (StringUtils.isNotBlank(sessionId)) {
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, ShiroHttpServletRequest.URL_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, sessionId);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return sessionId;
        } else {
            //否则按默认规则从cookie取sessionId
            return super.getSessionId(request, response);
        }
    }
}

5、Shiro配置类

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.crazycake.shiro.RedisCacheManager;
import org.crazycake.shiro.RedisManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.Map;

/**
 * Shiro配置类
 */
@Configuration
public class ShiroConfiguration {

    @Value("${spring.redis.host}")
    private String host;
    @Value("${spring.redis.port}")
    private int port;
    @Value("${spring.redis.timeout}")
    private int timeout;
    @Value("${spring.redis.database}")
    private int database;
    @Value("${spring.redis.password}")
    private String password;

    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 设置自定义的过滤器
        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
        filters.put("authc", new CustomFormAuthenticationFilter());
        filters.put("perms", new CustomPermissionsAuthorizationFilter());
        Map<String, String> filterChainDefinitionMap = shiroFilterFactoryBean.getFilterChainDefinitionMap();
        //注意过滤器配置顺序
        filterChainDefinitionMap.put("/xxx", "anon");      // 不需要登录
        filterChainDefinitionMap.put("/yyy", "authc");     // 需要登录不需要验证权限       
        filterChainDefinitionMap.put("/**", "authc,perms"); // 需要登录也需要验证权限
        shiroFilterFactoryBean.setLoginUrl("/");
        shiroFilterFactoryBean.setUnauthorizedUrl("/");
        return shiroFilterFactoryBean;
    }

    /**
     * 凭证匹配器
     * (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了
     * )
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5"); //散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashIterations(2); //散列的次数,比如散列两次,相当于 md5(md5(""));
        return hashedCredentialsMatcher;
    }

    @Bean
    public ShiroRealm shiroRealm() {
        ShiroRealm shiroRealm = new ShiroRealm();
        shiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return shiroRealm;
    }

    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(shiroRealm());
        // 自定义session管理 使用redis
        securityManager.setSessionManager(sessionManager());
        // 自定义缓存实现 使用redis
        securityManager.setCacheManager(cacheManager());
        return securityManager;
    }

    //自定义sessionManager
    @Bean
    public SessionManager sessionManager() {
        CustomDefaultWebSessionManager customDefaultWebSessionManager = new CustomDefaultWebSessionManager();
        customDefaultWebSessionManager.setSessionDAO(redisSessionDAO());
        return customDefaultWebSessionManager;
    }

    /**
     * 配置shiro redisManager
     * 使用的是shiro-redis开源插件
     * @return
     */
    public RedisManager redisManager() {
        RedisManager redisManager = new RedisManager();
        redisManager.setHost(host + ":" + port);
        redisManager.setDatabase(database);
        redisManager.setTimeout(timeout);
        redisManager.setPassword(password);
        return redisManager;
    }

    /**
     * cacheManager 缓存 redis实现
     * 使用的是shiro-redis开源插件
     * @return
     */
    @Bean
    public RedisCacheManager cacheManager() {
        RedisCacheManager redisCacheManager = new RedisCacheManager();
        redisCacheManager.setRedisManager(redisManager());
        return redisCacheManager;
    }

    /**
     * RedisSessionDAO shiro sessionDao层的实现 通过redis
     * 使用的是shiro-redis开源插件
     */
    @Bean
    public RedisSessionDAO redisSessionDAO() {
        RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
        redisSessionDAO.setRedisManager(redisManager());
        return redisSessionDAO;
    }

}

 

咋暖还寒时候
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springBoot前后端分离项目中shiro302跳转
qq_27521215的博客
07-25 1万+
     项目是使用的springboot ,使用的shiro做的用户鉴权。在前端请求时当用户信息失效,session失效的时候,shiro会重定向到配置的login.jsp 页面,或者是自己配置的logUrl。    因是前后端分离项目,与静态资源文件分离,固重定向后,接着会404。经过查找网上配置资料,发现302原因是 FormAuthenticationFilter 中 onAcces...
springboot+shiro前后端分离过程中跨域问题、sessionId问题302鉴权失败问题
wmy_0707的博客
08-28 6349
近期项目需要前后端分离,由于前后端分离后原来的适用的shiro配置无法满足现有系统要求。同时在前后端项目分离的项目中存在的跨域问题,cookies不再使用,通过token方式实现用户登陆鉴权。 下面记录在整个过程中涉及的几个大问题:1、跨域问题 2、sessionId问题 3、302鉴权问题 1、springboot跨域问题解决 package net.sino...
spring boot+shiro+vue前后端分离时,获取不到session
iamlzyoco的博客
07-10 1732
登录成功后,获取用户对应的菜单树,结果错session失效。 controller: @ApiOperation("用户登录") @ApiImplicitParams({@ApiImplicitParam(value = "用户名", name = "username",defaultValue = "系统管理",dataType = "String",paramType="query"), @ApiImplicitParam(value = "密码", name = "pa
当后端给我返回302状态码
热门推荐
yeyeye0525的博客
09-19 1万+
主要的作用就是当后端响应的内容是html的时候,跳转到登录页面。这种方案让我感觉有点别扭,于是具体了解了这段代码出现的原因。功能的核心在于用户鉴权,后端设想的方案是:当前端发起接口请求,后端识别到用户未登录的时候,就会给前端响应302的状态码,以为很方面,前端不用处理就直接跳转到了登录页面。然而,他们不知道的是,前端发起的ajax请求,并不能直接跳转,甚至连302状态码都捕获不到
java后端接口实现302跳转
weixin_45614626的博客
07-26 2077
java后端实现302跳转
Shiro logout 302重定向,shiro 302解决方案
蕃薯耀的博客
04-09 1683
================================ ©Copyright 蕃薯耀 2022-04-09 蕃薯耀的博客_CSDN博客 一、问题描述 当登录退出为Ajax请求时,使用Shiro的logout退出登录,会发生302重定向,导致不能正常退出。 二、解决方案 1、重写LogoutFilter过滤器 import java.util.Locale; import javax.servlet.ServletRequest; import javax.se.
Shiro前后端分离权限验证返回302错误
china_hdy的博客
04-26 1万+
Shiro和Spring集成,在XML文件中配置如下部分(非全部配置): <!-- Shiro权限管理 --> <bean id="shiroSecurityFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- 注入安全管理器对象 --> <proper...
SpringBoot 集成 Shiro 无法加载静态资源 302,已知原因并已解决
严泽熠的博客
06-20 3280
SpringBoot 集成 Shiro 无法加载静态资源 302,已知原因并已解决。错误:Uncaught SyntaxError: Unexpected token '
shiro引发的问题302 Found)
leaves_story的博客
04-12 1万+
做一个邮件反馈的时候遇到的,记录下来,与大家分享最近一个项目要发送邮件,在前端页面点击按钮发送一封邮件到指定邮箱,前端按钮做好了点击事件,起初点击时无法发送ajax请求,页面上的ajax无法发出去,经过查看请求头发现很奇怪的状态码,302错误,302重定向又称之为302代表暂时性转移(Temporarily Moved ),英文名称:302 redirect。 也被认为是暂时重定向,说明在请求的过...
基于springboot+mybatis+shiro+vue的前后端分离汽车租赁管理系统.zip
最新发布
05-14
这是一个基于现代技术栈的汽车租赁管理系统的实现,利用SpringBoot、MyBatis、Shiro和Vue.js进行前后端分离的设计。下面将详细讲解这个系统所涉及的技术知识点。 **1. SpringBoot** SpringBoot是Spring框架的扩展,...
SpringBoot+ant-design-pro-vue前后端分离权限管理系统.zip
03-23
SpringBoot+Ant Design Pro Vue 实现前后端分离权限管理系统》 在现代软件开发领域,前后端分离已经成为一种常见的架构模式,它有利于提升开发效率,优化用户体验,并且便于维护和扩展。本项目以"SpringBoot+...
Springboot + shiro权限管理
11-17
**SpringBoot + Shiro 权限管理详解** 在现代企业级应用开发中,权限管理是不可或缺的一部分,它确保用户只能访问他们被授权的资源。SpringBoot 和 Apache Shiro 是两个非常流行的 Java 开发框架,它们结合可以构建...
基于springboot+shiro+layui+jquery+thymeleaf医院管理系统和微信小程序源码.zip
10-03
这是一个基于Java技术栈的医院管理系统源码,集成SpringBootShiro、Layui、jQuery和Thymeleaf等流行框架。以下是这些技术在系统中的应用和知识点详解: 1. **SpringBoot**: SpringBoot是Spring框架的一个扩展,...
图文并茂教你模拟302接口,实现js中axios,fetch遇到302状态码后跳转的多种方案axios,fetch成功响应拦截302
tangdou369098655的博客
12-03 3282
下面我将会手把手教你实现: - 如何使用多种方案实现前端代码+302后端接口实现页面跳转? - fetch 发送GET 或者 POST请求如何处理 302?或者是说fetch 怎么才能拦截302? - Axios 响应拦截 302 状态码的方案有哪些?如何实现?
springboot shiro 前后分离 前端请求302
墨染秦时的博客
09-10 3219
前后端分离项目中,由于跨域,会导致复杂请求,即会发送preflighted request,这样会导致在GET/POST等请求之前会先发一个OPTIONS请求,但OPTIONS请求并不带shiro的’Authorization’字段(shiro的Session),即OPTIONS请求不能通过shiro验证,会返回未认证的信息。 解决方案为继承shiro的DefaultWebSessionManag...
VUE + Springboot 前后端分离线上 登陆接口请求302
秋实的博客
04-10 6719
最近开发项目过程中遇到一个困扰几天的问题,本地测试所有接口都正常,线上请求后端没设置登陆拦截的接口,能正常返回数据;但请求需要登陆访问接口,则出现302,直接重定向到/login接口,十分诡异。 与后端一起探讨解决发现,多方查询尝试才发现在axios配置中设置:withCredentials: true,允许跨域请求携带cookie才行。 axios中文文档配置拷贝过来: { // `...
关于shiro 总是302问题
callmesong的博客
12-17 7816
shiro
SpringBoot自定义拦截器注入Service
china_hdy的博客
09-23 3635
1、创建自定义拦截器,实现接口:org.springframework.web.servlet.HandlerInterceptor package com.hdy.manage.web.interceptor; import com.hdy.manage.service.SysLogService; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.servlet
springboot shiro 前后端分离
09-23
SpringBoot中实现前后端分离的开发模式下使用Shiro,可以通过以下步骤进行操作: 1. 配置Shiro的Maven依赖,添加ShiroSpringBoot的相关依赖。 2. 创建自定义的Realm,继承自`AuthorizingRealm`,并实现其中的认证和授权方法。 3. 在Shiro的配置类中,配置自定义Realm、session管理器、缓存等相关配置。 4. 配置前后端分离模式下的认证和授权过滤器,例如使用JWT进行身份验证。 5. 在Controller中添加需要进行权限控制的注解,如`@RequiresPermissions`等。 需要注意的是,在前后端分离的开发模式下,Shiro的session处理需要进行一些特殊的配置。可以通过使用无状态的JWT来替代传统的session机制,将用户的身份信息存储在token中,并通过token进行身份验证权限控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值