Shiro getAuthenticationInfo()中抛出异常, 全局异常处理却收不到自己抛出的异常

最新推荐文章于 2023-06-07 19:52:00 发布
最新推荐文章于 2023-06-07 19:52:00 发布
阅读量1.3k 收藏 6
点赞数 2
分类专栏: Shiro SpringBoot 文章标签: shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DoubleRam/article/details/117202072
版权
当Shiro在getAuthenticationInfo()中抛出异常时,全局异常处理无法捕获。原因是默认的AuthenticationStrategy导致。解决方案是实现自定义AuthenticationStrategy并正确配置。尝试通过Spring Boot YAML配置、shiro.ini配置、创建Bean方式失败。最终,通过获取SecurityManager的Authenticator并设置自定义Strategy成功解决问题。
摘要由CSDN通过智能技术生成

该解决思路来自StackOverflow: Apache Shiro: Exception-Handling with Multiple Realms

首先下结论: 这是因为使用了默认的AuthenticationStrategy所致, 只需要为自己的shiro实现自定义的AuthenticationStrategy, 并将其正确配置即可.

public class MyAtLeastOneSuccessfulStrategy extends AtLeastOneSuccessfulStrategy {
   
    @Override
    public AuthenticationInfo afterAttempt(Realm realm, AuthenticationToken token, AuthenticationInfo singleRealmInfo, AuthenticationInfo aggregateInfo, Throwable t) throws AuthenticationException {
   
        if (t != null && t instanceof AuthenticationException){
   
            throw (AuthenticationException) t;
        }
        return super.afterAttempt(realm, token, singleRealmInfo, aggregateInfo, t);
    }
}

配置AuthenticationStrategy的方法如下:

MyAtLeastOneSuccessfulStrategy strategy = new MyAtLeastOneSuccessfulStrategy();
((ModularRealmAuthenticator)(securityManager.getAuthenticator()))
														.setAuthenticationStrategy(strategy);

如果希望知道为何收到的是AuthenticationException, 以及为何要按照上面这么配置. 请看源码分析(我的经历):

为何总是收不到自己throw的异常

doGetAuthenticationInfo方法中

if (user == null)
            throw new UnknownAccountException("账户不存在!");

在调用一堆构造函数后, 进入ModularRealmAuthenticator的doMultiRealmAuthentication方法

protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, 
                        AuthenticationToken token) {
   
				
				// 获取验证策略
        AuthenticationStrategy strategy = getAuthenticationStrategy();

        AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);
				// 日志
        if (log.isTraceEnabled()) {
   
            log.trace("Iterating through {} realms for PAM authentication", realms.size());
        }
				
				// 循环遍历realm
        for (Realm realm : realms) {
   
						// 
            try {
   
                aggregate = strategy.beforeAttempt(realm, token, aggregate);
            } catch (ShortCircuitIterationException shortCircuitSignal) {
   
                // Break from continuing with subsequnet realms on receiving 
                // short circuit signal from strategy
                break;
            }

            if (realm.supports(token)) {
   

                log.trace("Attempting to authenticate token [{}] using realm [{}]", token, realm);

                AuthenticationInfo info = null;
                Throwable t = null;
                try {
   
										**// 这里调用了自定义Realm的getAuthenticationInfo方法**
                    **info = realm.getAuthenticationInfo(token);**
                } catch (Throwable throwable) {
   
										**// 这里采用catch将Realm中抛出的异常直接捕获, 
										// 并且在后续的处理中并没有将该异常重新抛出**
                    t = throwable;
                    if (log.isDebugEnabled()) {
   
                        String msg = "Realm [" + realm + "] threw an exception during a multi-realm authentication attempt:";
                        log.debug(msg, t);
                    }
                }
								// 如果在Realm中抛出异常,
最低0.47元/天 解锁文章
codezrh
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Shiro——Bug篇——AuthenticationException 异常无法自定义返回值结果集
WoodYangOY的博客
03-29 2640
项目场景: 刚接触到公司的项目时候,项目内没有权限框架这一块,后面项目成型之后引进权限框架shiro。 问题描述: 引进shiro后续发现一些问题,抛出AuthenticationException异常后,未能统一自定义返回结果集,前端未能接收到之前约定的状态码,导致token过期之后,结果集是shiro内部抛出的,后面导致前端访问后台所有的接口抛出异常。 后续在全局自定义捕获器内增加此异常捕获,发现根本捕获不了;在网上找了很久,都没有发现很好的解决方案,我都准备把shiro换成security(在
外部无法捕捉Realm的doGetAuthenticationInfo方法抛出异常
Stone.鱼儿的博客
10-16 1787
shiro权限框架,用户登录方法的subject.login(token)会进入自定义的UserNamePasswordRealm类的doGetAuthenticationInfo身份验证方法,通常情况,doGetAuthenticationInfo写法如下: /** * 登录认证 subject.login()登录时调用 * @param authenticationToken * @return * @throws AuthenticationExc
Shiro身份验证抛出AuthenticationException异常,解决方案
weixin_34033624的博客
02-01 9793
问题 在学习Shiro的时候,遇到Shiro抛出org.apache.shiro.authc.AuthenticationException异常,完整异常如下: org.apache.shiro.authc.AuthenticationException: Authentication failed for token submission [org.apache.shiro.authc.Use...
dogetauthenticationinfo抛出的错误无法捕获_OOM不可捕获
weixin_39640414的博客
12-30 292
一、前言相信了解过java异常机制的就知道,异常都是继承自Throwable,主要分为Error和Exception。Error一般代表虚拟机错误,即用户无法处理的异常,而Exception分为受检异常和非受检异常,这里就不详细描述了。Exception的继承关系Error的继承关系二、场景领导喊我写完一个图片处理的工具,领导觉得可能性能堪忧,然后让我进行压测,我在压测过程发现有些请求报了OOM...
Shiro异常捕捉
fenfenguai的专栏
01-13 1672
在使用shiro的项目,验证身份时抛出异常无法捕捉让人很苦恼 解决办法如下 集成 AtLeastOneSuccessfulStrategy import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc
关于无法捕获shiro异常的处理办法
weixin_56227932的博客
03-31 260
【代码】关于无法捕获shiro异常的处理办法。
Beatles9527#StudyNotes#_6SpringMVC全局异常处理1
07-25
SpringMVC处理全局异常在使用Shiro权限控制框架后,如果使用注解在Controller控制访问的角色,如果权限不足,就会抛出Authorization
pringmvc整合shiro权限控制的实例教程共15页
10-31
7. **全局异常处理**:捕获Shiro抛出的未授权或未登录异常,进行重定向或显示错误信息。 通过以上步骤,你可以构建一个基于SpringMVC和Shiro的权限控制应用。这个教程可能详细讲述了每个步骤的实现细节,包括配置...
ssm+shiro实现简单的登陆认证功能
11-07
失败则抛出异常,你可以捕获这个异常并返回相应的错误信息。 5. **权限控制**:在页面上,你可以使用Shiro的标签库进行权限控制,比如`<shiro:hasPermission name="admin">`,只有拥有"admin"权限的用户才能看到这...
安全框架Shiro使用.doc
08-22
5. 使用 Subject 的 `login()` 方法提交 Token 进行认证,如果认证失败,Shiro抛出异常,如 `UnknownAccountException`(账号不存在)和 `IncorrectCredentialsException`(密码错误)。 **3.1. Realm 示例** 1...
Apache Shiro 集成-spring
04-21
6. 安全异常处理:设置全局的错误页面或者异常处理器,处理Shiro抛出的未授权或未认证异常。 在项目结构,`.classpath`和`.project`是Eclipse或IDEA等开发工具的项目配置文件,它们包含了项目的类路径和项目设置...
Shiro自定义异常无法捕获总是抛出AuthenticationException解决方案
gzyes
06-07 492
问题描述 配置Realm之后,发现在Realm抛出异常无法捕获抛出AuthenticationException异常。例如请求接收的token无效等,这致使log文件里出现大量这样的异常堆栈信息。我司系统会对通过应用log文件检测异常数量,达到阈值进行告警。 经内部研判,这种Shiro认证失败的异常,程序可以自行消化,无须抛出。 场景再现 下面是error log 2023-0...
SpringBoot集成Shiro,认证和授权,全局异常处理
m0_49353216的博客
10-12 3114
项目版本: ** springboot2.x shiro:1.5.3 Maven配置: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.3</version> </depen
Shiro doGetAuthenticationInfo方法登录后获取不到正确的权限
热门推荐
wjzhang5514的博客
06-25 1万+
前提: Shiro的认证依赖AuthenticatingRealm里的getAuthenticationInfo方法,该方法会调用我们自定义的认证方法doGetAuthenticationInfo获取本次认证的结果,如下: public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken ...
新!Shiro自定义异常无法捕获总是抛出AuthenticationException解决方案
qq_34168515的博客
01-09 5564
文章目录一、出现原因二、当我们创建全局拦截失败三、最终方案 一、出现原因 在 AuthorizingRealm doGetAuthenticationInfo 抛出异常 案例: @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken){ String token = (String) authenticationToken.g
springboot项目使用使用aop处理shiro自定义异常抛出
m0_49470242的博客
02-22 1309
springboot项目使用使用aop处理shiro自定义异常抛出 问题描述: 在 springboot 项目全局异常捕捉时,使用的是 spring 的 @RestControllerAdvice 和 @ExceptionHandler ,但是在 shiro 框架 doGetAuthenticationInfo抛出异常并不能够被捕捉到。
SpringBoot+Vue前后端分离跨域问题
zukxu123的博客
09-16 1519
文章目录前言一、CORS是什么?二、解决方法1.后端解决方法1.1.注解1.2.过滤器预处理(SpringMVC)1.3.编写跨域配置类(SpringBoot)2.前端解决方法2.1. vue.config.js配置项服务器解决方法Nginx总结 前言 作为前后端分离的项目,跨域问题是无法避免的,通常我们都会在后端进行全局跨域的处理 后端解决方法 一、CORS是什么? CORS即跨源资源共享,它定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。它是一个妥协,有更大的灵活性,但比起简单地允许所有这些
shiro自定义异常无效
qq_42826413的博客
01-10 869
shiro自定义异常无效一定要看一下自己重写AuthorizingRealmdoGetAuthenticationInfo方法时候抛出什么异常,这抛出得是AuthenticationToken;而我在controller里面抛出得却是UnknownAccountException,这样能捕捉到想要得自定义异常才有鬼了! #记录一下sb一样得操作 一定要看一下自己重写AuthorizingReal...
try catch 抛出异常怎么捕获
最新发布
01-04
在C++,try-catch语句用于捕获和处理异常。当程序的代码可能会引发异常时,我们可以使用try块来包裹这部分代码,并使用catch块来捕获并处理异常。 try块包含可能引发异常的代码,如果在try块的代码引发了异常,那么程序会立即跳转到与之匹配的catch块进行异常处理。 catch块用于捕获和处理异常。catch块可以指定捕获特定类型的异常,也可以使用通用的catch块来捕获所有类型的异常。在catch块,我们可以编写处理异常的代码逻辑,比如输出错误信息、进行日志记录、进行恢复操作等。 下面是一个简单的示例代码,演示了try-catch语句的使用: ```cpp try { // 可能引发异常的代码 throw MyException(); // 抛出自定义异常 } catch (const MyException& e) { // 处理自定义异常 std::cout << "Caught MyException: " << e.what() << std::endl; } catch (const std::exception& e) { // 处理其他类型的异常 std::cout << "Caught std::exception: " << e.what() << std::endl; } catch (...) { // 处理未知类型的异常 std::cout << "Caught unknown exception" << std::endl; } ``` 在上面的代码,try块抛出了一个自定义异常MyException。catch块按照顺序进行匹配,首先匹配到与MyException类型匹配的catch块,然后执行其的代码。如果没有匹配到特定类型的catch块,则会匹配到通用的catch块,执行其的代码。如果连通用的catch块也没有匹配到,则异常会继续向上层传递,直到找到匹配的catch块或者程序终止。 需要注意的是,catch块的参数可以是异常类型的引用或指针,通过该参数可以访问到抛出异常对象。在上面的示例,我们使用了const引用来捕获异常对象,并通过e.what()方法获取异常信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值