Spring-mvc与shiro配置遇到的问题

最新推荐文章于 2020-04-16 22:45:02 发布
最新推荐文章于 2020-04-16 22:45:02 发布
阅读量632 收藏
点赞数
分类专栏: java-web 文章标签: shiro subject 密码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KanShiMeKan/article/details/52431032
版权

第一次在项目里使用shiro,网上也搜到很多教程,然而我还是踩了两个坑。
第一个是验证失败,后来发现是数据库存的密码是md5加密的,从网上搜到的教程里有这样的一段配置:

<bean id="credentialsMatcher"
        class="com.zlms.realm.RetryLimitHashedCredentialsMatcher">
        <constructor-arg ref="cacheManager" />
        <property name="hashAlgorithmName" value="md5" />
        <property name="hashIterations" value="1" />
        <property name="storedCredentialsHexEncoded" value="true" />
        <!-- 最多尝试次数 默认 5 次 -->
        <property name="maxCount" value="3" />
</bean>

然后就想当然的以为它会帮我进行加密以后验证,但是没有生效,不知为何而。
手动加上这段代码:
UsernamePasswordToken token = new UsernamePasswordToken(username, MD5Util.getMD5(password), remember);
验证就通过了。

第二个是登录成功跳转的页面仍然被拦截,还需要登录,但是我明明已经登录了。从这段代码:

Subject subject = SecurityUtils.getSubject();
            subject.login(token);
            System.out.println("subject " + subject.isAuthenticated());
            System.out.println("remember " + subject.isRemembered());
            System.out.println("user " + subject.getPrincipal());

输出为:

subject true
remember false
user admin

应该也没问题。

过滤链我是这样配置的

        <property name="filterChainDefinitions">
            <value>
                /static/** = anon
                /unauthorized = anon
                /login = anon
                /logout = logout
                /admin/** =user
            </value>
        </property>

当我把user换成anon,跳转就成功了,但是就达不到拦截管理页面的目的了。因此问题一定出在身份验证里。

我又加了一个过滤器

    <bean id="userFilter"
        class="com.zlms.realm.MyUserFilter">
    </bean>
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager" />
        <property name="loginUrl" value="/login" />
        <property name="unauthorizedUrl" value="/loginl" />
        <property name="filters">
            <util:map>
                <entry key="authc" value-ref="formAuthenticationFilter" />
                <entry key="user" value-ref="userFilter" />
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value>
                /static/** = anon
                /unauthorized = anon
                /login = anon
                /logout = logout
                /admin/** =user
            </value>
        </property>
    </bean>

在MyUserFilter中:

@Override
    protected boolean isAccessAllowed(ServletRequest arg0, ServletResponse arg1, Object arg2) {
        // TODO Auto-generated method stub
        boolean isAllowed=super.isAccessAllowed(arg0, arg1, arg2);
        Subject subject = SecurityUtils.getSubject();
        System.out.println("allow  principal "+subject.getPrincipal());
        System.out.println("allow sub "+subject.isAuthenticated());
        System.out.println("allow principals "+subject.getPrincipals());
        return isAllowed;
    }

输出如下

allow  principal null
allow sub false
allow principals null

表示这里Subject和登录时的Subject不是同一个,或者内容被清空。

最后在检查web.xml时发现我的配置是

    <filter>  
        <filter-name>shiroFilter</filter-name>  
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
        <init-param>  
            <param-name>targetFilterLifecycle</param-name>  
            <param-value>true</param-value>  
        </init-param>  
    </filter> 
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/admin/*</url-pattern>
    </filter-mapping>

尝试把<url-pattern>/admin/*</url-pattern>修改为
<url-pattern>/*</url-pattern>
再一测试,竟然神奇的解决了那个困扰我三个小时的bug。

最后推测出现这种问题的原因。
由于我想把管理页面与前台页面分开,前台不需要做拦截,但是也有登录的功能,所以登录页面的路径设置为/login,后台页面的路径设置为/admin/*。然后我就想当然的在web.xml里设置成了
<url-pattern>/admin/*</url-pattern>
目的是只拦截后台页面。实际上这样会导致访问/login和/admin时subject不一致。

看什么看
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
论文笔记 Question Answering over Freebase via Attentive RNN with Similarity Matrix based CNN
Evaooooes的博客
03-20 1450
Question Answering over Freebase via Attentive RNN with Similarity Matrix based CNN https://arxiv.org/vc/arxiv/papers/1804/1804.03317v2.pdf 概述: 随着近年来知识库的快速发展,基于知识库的问答系统吸引了业界的广泛关注。该类问答系统秉承先编码再比较的设计思...
Spring-mvc+mybatis+shiro学习demo
03-29
具体实现时,通常会在Spring MVC的配置文件中添加Shiro的Filter,如DelegatingFilterProxy,以便在请求进入控制器之前进行安全检查。同时,会创建一个Shiro配置类,定义Realm(域),将用户、角色和权限关联起来。...
使用shiro遇到问题
a535359884的博客
05-16 199
Caused by: java.lang.NoClassDefFoundError: net/sf/ehcache/CacheException 解决问题:缺少一个依赖的缓存jar 添加: <dependency> <groupId>net.sf.ehcache</groupId> <artifactId>ehcache&l...
Spring Mvc 和Shiro整合常见问题
cooperay的专栏
02-28 187
问题1:  @RequiresPermissions 注解不起作用。当Shiro和spring 整合完成后,认证(登陆)模块没有问题,但是授权模块使用user..isAuthenticated()方法能进行授权验证,使用注解方法不能授权。这是因为Shiro配置文件应放在SpringMvc的配置文件中,这样才能被SpringMvc扫描。如果放到spring的配置文件中将会出现不能扫描注解的情况。...
使用Shiro做登录与退出功能遇到问题
Mr_ZTQ
04-16 770
Shiro在IDEA运行时登录,如果密码错误能够正常捕获异常,前端提示“用户名或密码错误”; 而打包成jar后在控制台运行,如果密码错误,不能捕获异常,前端报500错误 ...
SpringBoot整合Shiro框架,遇到的反射以及密码加盐问题踩坑
zy_javapythonc的博客
04-09 214
SpringBoot整合Shiro框架,遇到的反射以及密码加盐问题踩坑记录一下1.反射获取对象时,报NullPointerException空指针异常2.shiro登录校验密码以及加盐处理: 记录一下 1.反射获取对象时,报NullPointerException空指针异常 在使用反射获取时,使用newInstance 方法获取对象时,报空指针,百度诸多方法未寻得一正确方法,后来在各种尝试便览下发...
spring mvc shiro配置使用.zip_DEMO_spring mvc_spring mvc shiro
最新发布
09-15
在"spring mvc shiro"的配置使用中,我们首先需要理解这两个框架的基本概念: 1. **Spring MVC**:Spring MVC 提供了一个分层架构,包括 DispatcherServlet、Model、View 和 Controller。DispatcherServlet 负责...
spring mvc-redis-shiro
05-30
在"spring mvc-redis-shiro"项目中,你可以看到Spring MVC如何配置、如何创建控制器以及如何与视图模板(如JSP)交互。 其次,Redis是一个高性能的键值存储系统,常被用作数据缓存。在Web应用中,Redis可以帮助我们...
spring-shiro:Spring Mvc 搭配shiro Demo
06-21
《Spring Mvc与Shiro整合应用详解》 在Java Web开发领域,Spring MVC和Apache Shiro是两个非常重要的组件。Spring MVC作为Spring框架的一部分,提供了一种强大的MVC(Model-View-Controller)架构模式实现,而...
spring-boot mybaits shiro redis整合
05-14
基于spring mvc注解。Exception统一管理。 shiro权限管理。 aop日志记录。 4、调度 ====== Spring task, 可以查询已经注册的任务。立即执行一次任务。 5、缓存和Session =========== 注解redis缓存数据,...
freebase-FB2M数据
06-19
freebase-FB2M数据 freebase-FB2M数据 freebase-FB2M数据
springMVC视图解析器的配置和使用
苏凯的博客
10-28 8387
在spring-servlet.xml中配置视图解析器 &lt;!-- 配置视图解析器 --&gt; &lt;bean class="org.springframework.web.servlet.view.InternalResourceViewResolver"&gt; &lt;property name="suffix" value=".jsp"/&gt; &lt
Shiro使用及出现问题
sodaZhao的博客
10-31 546
Shiro的应用不依赖任何容器,一般的使用环境都是JavaEE。
论文解读:Question Answering over Freebase with Multi-Column Convolutional Neural Networks
夏栀的博客
03-02 933
论文解读:Question Answering over Freebase with Multi-Column Convolutional Neural Networks   KB-QA是一种问答系统任务,其是基于知识库进行的问答。给定一个知识库,其包含若干个实体和边,每两个实体和相连的边为一个三元组。实体分为客观实体和属性,客观实体就是客观存在的一般实体,例如人名地名机构名,属性则是一种特殊的实...
关于shiro+springMVC整合使用的问题
04-19 2253
最近做新系统的时候,关于权限刚开始考虑用spring security,研究了两天发现好复杂,就换了shiro,又折腾了几天,总算调试通过了,但是这过程也到处是坑,这里做个记录,如果有同样需求的,以防再掉进去。 从网上搜shiro教程的时候,大部分都是基于配置文件或者是角色进行管理的,但是我们平时做web系统根本不会这么用的,我们都是基于权限permissions的管理方式,这里推荐一个比价完整
springmvc+mybatis+shiro MD5加密匹配&登录失败超次数锁定帐号
椭圆的博客
10-13 1883
shiro的身份认证的流程,大致是这样的:当我们调用subject.login(token)的时候,首先这次身份认证会委托给Security Manager,而Security Manager又会委托给Authenticator,接着Authenticator会把传过来的token再交给我们自己注入的Realm进行数据匹配从而完成整个认证。如果不太了解这个流程建议再仔细读一下官方提供的Authent
使用shiro安全框架遇到问题
tyeerth的博客
02-09 400
管理员登入失败,显示不能辨别出管理员的realm,使得在数据库中查找不到相关的数据。
Spring与Shiro深度整合:权限控制实战解析
- `shiro-spring`:Spring与Shiro的整合模块,提供Spring Bean的集成。 另外,还需要确保Spring、Spring MVC和MyBatis(或类似的持久层框架)的版本正确,并添加对应的依赖。 2. 配置web.xml 在Web应用的配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值