shiro学习系列:shiro自定义filter过滤器

最新推荐文章于 2024-05-14 00:13:29 发布
最新推荐文章于 2024-05-14 00:13:29 发布
阅读量1.9k 收藏 10
点赞数 2
分类专栏: shiro 文章标签: shiro filter 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ITxiaofeixiang/article/details/112792886
版权

shiro学习系列:shiro自定义filter过滤器

自定义JwtFilter的hierarchy(层次体系)

在这里插入图片描述

上代码

package com.finn.springboot.common.config.shiro.filters;

import com.alibaba.fastjson.JSON;
import com.finn.springboot.common.api.vo.Result;
import com.finn.springboot.common.config.shiro.JwtToken;
import com.finn.springboot.common.utils.JwtUtils;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import org.apache.shiro.web.util.WebUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 自定义Jwt过滤器,对token进行处理
 */
@Slf4j
public class JwtFilter extends BasicHttpAuthenticationFilter {
    private Logger logger = LoggerFactory.getLogger(this.getClass());

    /**
     * 执行完executeLogin
     * 前置处理
     * 对跨域提供支持
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        // 是否允许发送Cookie,默认Cookie不包括在CORS请求之中。设为true时,表示服务器允许Cookie包含在请求中。
        httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
        // 跨域时会首先发送一个option请求,这里我们给option请求直接返回正常状态
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
    }

    /**
     * 判断访问是否允许
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        //登录请求不拦截
        try {
            return executeLogin(request, response);//认证是否成功
        } catch (Exception e) {
            //无需捕获
            throw new AuthenticationException("isAccessAllowed ===》 Token已过期或失效,请重新登录!", e);
        }
    }

    /**
     *执行登录
     */
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response){
        AuthenticationToken token = createToken(request,response);
        // 提交给realm进行验证,如果错误他会抛出异常并被捕获
        try {
            Subject subject = getSubject(request, response);
            subject.login(token); // 交给 realm 去进行登录验证
            return onLoginSuccess(token, subject, request, response);
        } catch (AuthenticationException e) {
            /**
             * AuthenticationException 异常,并不会被全局异常ExceptionHandler捕获。filter抛出的错误不会拦截
             * 解释(也不大确定对不对):
             * Spring MVC is based on servlet, and spring security is based on filter,
             * filter is before servlet,
             * so the exception handler in your controller will not be executed, because it's already failed in filter.
             */
            return false; //会进入onAccessDenied() 在此方法内部进行返回结果处理

        }
    }

    /**
     *  如果Shiro Login认证成功,会执行这个方法。目前每次请求都会刷新token
     */
    @Override
    protected boolean onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest request, ServletResponse response) {
        HttpServletResponse httpResponse = WebUtils.toHttp(response);
        String newToken = null;
        if(token instanceof JwtToken){
            JwtToken jwtToken = (JwtToken)token;
            newToken = JwtUtils.refreshTokenExpired(jwtToken.getPrincipal(),JwtUtils.SECRET);
        }
        if(newToken != null)
            httpResponse.setHeader(JwtUtils.AUTH_HEADER, newToken);
        return true;
    }

    /**
     * 如果调用shiro的login认证失败,会回调这个方法,这里我们什么都不做,因为逻辑放到了onAccessDenied()中。
     */
    @Override
    protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException e, ServletRequest request, ServletResponse response) {
        log.error("Validate token fail, token:{}, error:{}", token.toString(), e.getMessage());
        return false;
    }

    /**
     * isAccessAllowed 访问不允许时会进入该方法
     * @param request
     * @param response
     * @return
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        HttpServletResponse httpResponse = WebUtils.toHttp(response);
        httpResponse.setHeader("Content-type",  "application/json;charset=UTF-8");
        Result<?> result = new Result<>();
        result.setSuccess(false);
        result.setCode(500);
        result.setMessage("Token已过期或失效,请重新登录!");
        httpResponse.getWriter().append(JSON.toJSONString(result));
        return false;
    }

    /**
     * 从 Header 里提取 JWT token
     * 返回null会直接抛异常
     */
    @Override
    protected AuthenticationToken createToken(ServletRequest servletRequest, ServletResponse servletResponse) {
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        String authorization = httpServletRequest.getHeader(JwtUtils.AUTH_HEADER);
        JwtToken token = new JwtToken(authorization);
        return token;
    }

}

执行顺序

1. preHandle()

前置处理,最先执行。适合做一些跨域请求处理。

2. isAccessAllowed()

访问是否允许。具体判断,调用executeLogin(request, response)

3. executeLogin(request, response)

执行登录。获取token,调用subject.login(token)
返回结果boolean,无异常会执行onLoginSuccese()方法,代表登录成功。
有异常一般有两种处理方式:

1.向上抛异常,最终由isAccessAllowed()处理异常
2.返回false,按照父类规则执行onAccessDenied()方法

注意:最终抛出的AuthenticationException异常,是无法使用全局异常处理器捕获的。百度到的解释(如有错误,请指正):

AuthenticationException 异常,并不会被全局异常ExceptionHandler捕获。filter抛出的错误不会拦截
Spring MVC is based on servlet, and spring security is based on filter,filter is before servlet,so the exception handler in your controller will not be executed, because it’s already failed in filter.

所以与其返回springboot默认错误信息格式,不如自定义返回信息格式,好于全局返回格式一致。所以可以使用第二种方法,return false,执行onAccessDenied()方法

4. onAccessDenied()

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        HttpServletResponse httpResponse = WebUtils.toHttp(response);
        httpResponse.setHeader("Content-type",  "application/json;charset=UTF-8");
        Result<?> result = new Result<>();
        result.setSuccess(false);
        result.setCode(500);
        result.setMessage("Token已过期或失效,请重新登录!");
        httpResponse.getWriter().append(JSON.toJSONString(result));
        return false;
    }

5. onLoginFailure()

错误已经由onAccessDenied()方法处理了,这里就没必要再处理。

总结

最好是先不要自定义过滤器,自己debug一遍,就会对整体的流程熟悉很多。
有错误的地方,麻烦指正,看到会立即更改,且十分感谢!

悲雨叹风
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
Day41项目saas-export项目-shiro认证***
翁老师的教学团队
11-09 589
Shiro过滤器&标签简介 判断 sesion中是否有 user 判断账户密码是否正确 (1)分析 需要过滤器控制 没有权限下访问链接 需要标签控制 没有权限下 界面元素的隐藏 》anon代表不认证也可以访问,通常对静态资源进行放行 》authc代表必须通过认证才可以访问,通常对动态资源(controller,jsp页面)进行拦截,如果用户没有认证,Shiro会自动跳转到login.jsp页面 Shiro登陆认证-判断session中的user (1)过滤器 在项目中使用认证过滤器拦截资源(该
Shiro权限控制(二):自定义Filter
热门推荐
kity9420的专栏
04-07 1万+
通过自定义Filter实现权限配置,如某个URL需要某个角色的某个权限才能操作
Shiro核心处理类ShiroFilter创建和解析原理
最新发布
JavaMyDream的博客
05-14 105
【代码】Shiro核心处理类ShiroFilter创建和解析原理。
Springboot整合Shiro后对登录session超时自动跳转登录页、异地登录提醒、权限控制的使用
weixin_44825912的博客
03-30 3816
Springboot整合shiro、thymeleaf后对登录超时、异地提醒、权限控制的使用。
带你深入使用shiro,自定义token过滤器
UnicornRe_xiabin_无聊的时候,喜欢去超市买一大瓶纯牛奶,喝个精光
05-19 2091
文章目录依赖ShiroAuthFilter 自定义过滤器ShiroAuthRealmShiroAuthToken 自定义tokenShiroBeanConfigUserUtil 用户获取工具方法loginController测试controller 依赖 shiro自定义请求头token,实现权限过滤 废话不多说,直接上代码,如果不了解shiro的基本使用,建议先入门shiro <dependency> <groupId>org.apache.shiro</grou
Shiro自定义过滤器
m0_67402588的博客
03-28 1039
最近在学习shiro。 由于shiro过滤器是与的格式,在实际编辑过滤器链的时候 /admin/** = authc,roles[admin,passenger] 本意是想admin和passenger角色都能够拥有对 /admin/** 的进行访问,但是shiro内部过滤器的逻辑是与,即同时拥有admin和passenger的角色才可以对路径进行访问。 因此,需要自己定义一个过滤器,实现或的逻辑,定义一个过滤器如下 public class CustomRolesAuthorizationFilter
Shiro简易实例:HelloWorld
11-03
1. **配置Shiro**:创建一个`shiro.ini`配置文件,这是Shiro的主要配置源,用于定义 Realm(认证和授权信息来源)、过滤器链等。 2. **创建Realm**: Realm是Shiro与应用数据源交互的接口,你可以自定义 Realm 来...
shiro_demo:四郎学习演示
05-17
Shiro 提供了一系列 Filter,例如 FormAuthenticationFilter、AuthorizationFilter 等,它们可以直接在 Web 应用中使用,实现基于 URL 的访问控制。项目可能包含了如何配置这些过滤器,并在 Web 应用中实现拦截和...
shiro_train:Apache Shiro各种练习
06-25
- **安全过滤器(Security Filters)**:ShiroFilter是实现Web安全的关键部分,如`authc`(认证过滤器)、`perms`(权限过滤器)等,它们可以拦截请求,进行身份验证和授权检查。 - ** Realm实现**: Realm是Shiro...
shiro_01:springmvc+mybatis+shrio整合
05-01
配置Shiro时,你需要定义SecurityManager,设置Realm来处理认证和授权,以及定制化过滤器。 4. **JavaScript**:在前端部分,JavaScript可能用于处理用户交互,发送Ajax请求到后端,显示或隐藏页面元素等。通常会...
shiro讲解之 Shiro Filter
Dusty丶one的博客
10-26 1156
shiro讲解之 Shiro Filter本章节将详细说明Shiro Filter。概念 什么是Shiro FilterShiro 提供了与 Web 集成的支持,其通过一个ShiroFilter 入口来拦截需要安全控制的URL,然后进行相应的控制。 ShiroFilter 类似于如 Strut2/SpringMVC 这种web 框架的前端控制器,是安全控制的入口点,其负责读取配置(如ini 配置文件
自定义过滤器配置 Shiro 认证失败返回 json 数据
Reische的博客
12-31 1101
Shiro权限框架认证失败默认是重定向页面的,这对于前后端分离的项目及其不友好,可能会造成请求404的问题。现在我们自定义过滤器实现认证失败返回json数据。拦截器就是一道道的关卡,每一道关卡都有各自的职责。
shiro
weixin_50204197的博客
03-26 967
shiro,认证
shiroFilter配置详解
web17886480312的博客
08-24 895
定义,在Spring相关配置文件中配置。````定义`Shiro Filter Bean`对应关系。???这样就配置完成了。五、自定义Shiro Filter上面配置了,那下面举个栗子,然后以判断角色。
Shiro 完整教程及样例demo
lgxzzz的博客
10-14 1680
Shiro Demo 准备工作 运行前申明 请看完本页面的所有细节,对你掌握这个项目来说很重要,别一上来就搞,你不爽,我也不爽。 本项目需要一定的Java功底,需要对SpringMvc,Mybatis,有基本的了解,其次对Redis有了解和使用更佳。 本项目理论上,只需要一个Redis,然后一个Mysql和一个有Maven环境的开发工具即可运行起来。 对Reids没有了解,请看这里:对R...
springboot2.x整合shiro使用自定义过滤器解决session过期跳转login问题
weixin_42203158的博客
07-20 1357
1、问题出现原因: 问题一:后台springboot+shiro,前端使用iframe版layui。由于是iframe版是前端页面跳转不经过后台,session过期不会引起重定向到login。部分跳转页面session过期后可以重定向。 问题二:大量button事件触发走的ajax,返回的是login页面html形式的json串,解析有错误,显示parseerror。那么多ajax一个一个写错误重定向太麻烦不现实。 2、解决方法:使用shiro自定义过滤器+前端设置全局的ajax过滤。 3、首先,shiro
Shiro实际使用(实现各种实用的拦截器)
qq_38053426的博客
12-12 3210
目前 shiro基本上属于很火的一个对权限验证的框架 在大系统的使用中 也能够和其他的权限方面的框架进行整合 能够实现单点登录 与redis的集成 实现缓存用户session等,十分灵活      今天我就分享下使用了shiro一段时间的体会吧     首先,对于shiro的介绍 源码 本文就不涉及了 一切以最实用的东西出发     配置: <!-- 1. 配置 Shiro
shiro 拦截未登录的ajax_shiro自定义未登录返回状态
weixin_39621774的博客
12-19 277
在用shiro做登陆的时候,如果访问的地址没有登陆,会自定义返回到Web工程根目录下的"/login.jsp"页面,而这个不是我想要的,所以需要自定义登陆页面。shiroFilterFactoryBean.setLoginUrl("/h/login");通过这样的设置,就能让未登录的用户,跳转到自定义的登陆页面了。但是,这里主要讲的是前后端分离情况下,前端通过ajax的形式来访问数据,后端java...
在 Spring Boot 中使用shiro配置自定义过滤器
09-06
### 回答1: 在 Spring Boot 中使用 shiro 配置自定义过滤器需要以下几个步骤: 1. 引入 shiro-spring-boot-starter 依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> ``` 2. 创建自定义过滤器: ``` public class CustomFilter extends AccessControlFilter { @Override protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception { // 在这里实现自定义的过滤逻辑,返回 true 表示通过过滤器,返回 false 表示未通过过滤器 return true; } @Override protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception { // 如果 isAccessAllowed 返回 false,则会进入到这里,可以在这里处理未通过过滤器的情况 return false; } } ``` 3. 配置 shiroFilterChainDefinition: ``` @Bean public ShiroFilterChainDefinition shiroFilterChainDefinition() { DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition(); // 添加自定义过滤器,其中 key 是过滤器名称,value 是该过滤器对应的路径 chainDefinition.addPathDefinition("/custom/**", "custom"); return chainDefinition; } ``` 4. 配置自定义过滤器: ``` @Bean("custom") public CustomFilter customFilter() { return new CustomFilter(); } ``` 5. 配置 shiro 的注解支持: ``` @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) { AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor(); advisor.setSecurityManager(securityManager); return advisor; } ``` 完成以上步骤后,就可以在 Spring Boot 中使用 shiro 配置自定义过滤器了。 ### 回答2: 在 Spring Boot 中使用 Shiro 配置自定义过滤器分为三个步骤。 第一步,创建自定义过滤器类。可以通过实现 ShiroFilter 接口来创建自定义过滤器。在自定义过滤器中需要实现过滤规则,并对请求进行相应的处理。 第二步,配置 Shiro 过滤器链。在 Spring Boot 的配置类中,通过创建 ShiroFilterFactoryBean 对象来配置 Shiro过滤器链。可以使用 ShiroFilterChainDefinitionMap 对象来配置过滤器链,然后将该对象设置给 ShiroFilterFactoryBean。 第三步,启用 Shiro 过滤器。在 Spring Boot 的配置类中,通过创建 DefaultFilterChainManager 对象,并将该对象设置给 ShiroFilterFactoryBean,启用自定义过滤器。 有了以上三步,就可以在 Spring Boot 中使用 Shiro 配置自定义过滤器了。可以通过在自定义过滤器中实现过滤规则来对请求进行拦截或处理,然后在 Shiro 过滤器链中配置该过滤器,最后启用该过滤器。这样就可以实现对请求的自定义过滤器处理。 值得注意的是,在使用 Shiro 进行自定义过滤器配置时,需要保证 Shiro 的配置文件中已经进行了相应的配置,包括认证和授权等相关配置。只有在正确配置的前提下,才能正确使用 Shiro 进行自定义过滤器的配置。 ### 回答3: 在Spring Boot中使用Shiro配置自定义过滤器通常需要以下几个步骤: 1. 引入Shiro和Spring Boot依赖。在pom.xml文件中添加Shiro和Spring Boot Starter依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> ``` 2. 创建自定义过滤器类。可以通过实现`javax.servlet.Filter`接口或者继承`org.apache.shiro.web.servlet.OncePerRequestFilter`类来创建自定义过滤器。例如,创建一个名为`CustomFilter`的自定义过滤器类: ``` public class CustomFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { // 过滤器逻辑处理 // ... filterChain.doFilter(request, response); } } ``` 3. 在Shiro配置类中注册自定义过滤器。创建一个Shiro配置类,并使用`@Configuration`注解标记为配置类。通过`@Bean`注解将自定义过滤器注册到Shiro过滤器链中。例如,在配置类`ShiroConfig`中注册`CustomFilter`: ``` @Configuration public class ShiroConfig { @Bean public FilterRegistrationBean<CustomFilter> customFilterRegistrationBean() { FilterRegistrationBean<CustomFilter> registrationBean = new FilterRegistrationBean<>(); registrationBean.setFilter(new CustomFilter()); registrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE); // 过滤器执行顺序 registrationBean.addUrlPatterns("/*"); // 过滤器路径 return registrationBean; } } ``` 4. 配置Shiro的过滤规则。在Shiro配置文件中,可以设置自定义过滤器的拦截规则。例如,在`shiro.ini`配置文件中,设置自定义过滤器的拦截规则: ``` [urls] /** = customFilter // 对所有请求都使用自定义过滤器 ``` 通过以上步骤,在Spring Boot中使用Shiro配置自定义过滤器就可以实现对特定请求的拦截和处理。在`CustomFilter`类的`doFilterInternal`方法中编写自定义过滤器逻辑,例如鉴权、权限验证等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值