关于shiro的默认filter的第二次请求”免“验证

最新推荐文章于 2022-11-21 15:46:47 发布
最新推荐文章于 2022-11-21 15:46:47 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: Shrio 文章标签: Shiro的基础认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/apache_z/article/details/100115738
版权

写在前面

这是我开始整理自己前面所遇到的问题所写下的笔记,希望遇到相同问题的你,能够得到些许帮助,可能会有很多不完善的地方,也希望大家给予指正,谢谢!

问题:在shiro第一登录成功以后,用户在第二次进行请求时

  1. 前提:这块的知识点时Shiro使用DefaultWebSecurityManager 所操作的用户认证
  2. 情景:用户通过Login.do提交过来的User和password,组装为token
  3. Subject.login(token)来实现该subject的认证
  4. 疑问:下一个请求会产出新的subject,但是这个subject没有通过login方法认证,却直接能够通过Shirofilter过滤,直接调用Controller

探究结果

当第一次认证成功,Shiro会将用户的认证信息存储在session(会话)里面,也就是说在这一次会话中,所有的请求都会通过JSESSIONID(在本地的Cookie之中)跟服务器端的session查询,看是否有这个用户的认证信息

  1. session中的认证信息只在本次会话中有效,当你关闭浏览器,尽管你没有调用logout(),但是你依旧需要重新验证
  2. 但你调用subject.logout()会发生很多事情
  3. logout之后
贝多芬也爱敲代码
关注
专栏目录
shiro安全框架登陆验证实现
yuan__meng的博客
07-23 858
shiro简介 shiro 是一个简单且强大的Java安全框架 有三个核心组件 三个核心组件 Subject :交互主体 SecurityManager:提供安全管理的各种服务 Realm:shiro框架 “数据源” 简单Demo 数据库准备 需要建五张表: 三张主表 :t_user, t_role, t_permission 两张中间表 :t_user_role, t_role_...
shiro整合cas多次验证或者重复重定向问题
喵″的博客
11-26 1万+
很多人初学都会遇到多次验证或者重复重定向,然后拿着异常网上各种查资料,到最后会发现,是因为shiro封装了指定的返回路劲:/、/index、上次request地址 通过配置文件配置的路劲,只是一个辅助作用,在shiro找不到跳转路劲后才会跳转到配置的路劲,所以我们要做的就是:重写跳转方法。
Shiro配置跳过权限验证
web18484626332的博客
03-28 2379
需求 因为在开发环境,测试环境,有时候需要跳过shiro的权限验证.所以想写个简单的配置跳过shiro的权限验证. 跳过权限验证的原理就是重写**@RequiresPermissions**的实现,然后在配置文件中写一个开关,最后通过Aop注入进去就大功告成. @RequiresPermissions 处理类 在 org.apache.shiro.authz.aop.PermissionAnnotationHandler 中处理这个注解,这就是我们要 覆写的类.我准备将它替换成log日志. /** * 检
spring shiro 通过自定义注解跳过登录验证(无token)访问接口
qq_50647760的博客
11-21 3182
spring shiro 通过自定义注解跳过登录验证(无token)访问接口
shiro通过注解方式自定义控制接口无需认证访问的解决过程
凌大大的博客
01-26 1万+
1. 需求背景   用过Shiro的小伙伴都知道,shiro提供两种权限控制方式,通过过滤器或注解。我们项目是springboot + vue前后分离项目,后台对于权限控制一直使用的是过滤器的方式,并且还有自定义的过滤器。大概如下: @Bean("shiroFilter") public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilter = new
Shiro安全框架入门篇(登录验证实例详解与源码)
热门推荐
小宝鸽
02-03 18万+
一、Shiro框架简单介绍Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下:(1)身份认证/登录,验证用户是不是拥有相应的身份; (2)授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是
Shiro + JWT实现Token验证的快速入门
菩提小猿的博客
06-23 4238
章节目录1. 用户认证1.1 Session认证1.1.1 什么是Session?1.1.2 什么是Session认证? 1. 用户认证 用户认证一般分为:Session认证、Token认证(JWT是一种特殊的Token认证) 1.1 Session认证 Session认证用于一般的Web项目中。 1.1.1 什么是Session? HTTP协议是一种无状态协议。即:每次服务端接收客户端的请求时,都是一个全新的请求,服务端并不知道客户端的历史请求。例如说:当客户端进行账号和密码通过了身份认证,接着向服务端发
Shiro
weixin_42592613的博客
11-14 230
Shiro 快速开始Shiro 导包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.7.0</version> </dependency> <depe
Shiro框架-史上详解
qq_46416934的博客
08-02 579
权限管理概述某个拥有什么,被允许做什么事情()用户登录—>分配角色---->(权限关联映射)---->鉴权(拥有什么什么权限)
apache shiro 跳过验证直接访问指定页面的方法
zhongruichun的博客
12-04 1万+
1、想要把后台管理系统中的某个预览界面作为展示界面,无需登录也可以访问。 但是后台管理系统中的页面访问都受shiro保护,需要验证登录才可以。   方法是在shiro的配置文件中, &lt;property name="filterChainDefinitions"&gt;             &lt;value&gt;                 /admin/common/lo...
shiro保持一个用户在登录状态,再重新再次登录
m0_37626203的博客
05-08 4535
shiro登录是用过滤器来验证的。那么,我们本身是不用写登录(login)的业务需求的。 当我们第一次登录的时候,都是走完整个流程也就会对了。但是,如标题所示,保持shiro逻辑不变的话,重新登录,两种结果: 1.当不配置login接口的话,进入404页面。 2.当配置login接口的话,能正确走完流程,只是,二次登录会进行两次登录校验。 现在,有个方法能很好的解决这个问题: 重写:is...
shiro目前问题记录
健康平安的活着的专栏
05-31 140
1.springboot整合shiro基于角色实现认证和授权中,前端页面必须写死判断吗,新增一个角色,还得修改前端页面? 2.基于资源实现认证和授权,前端页面怎么怎么写的?
shiro当用户不先注销登陆而直接再次登陆时不会跳转到新登录用户的问题
me_ng的个人博客
03-19 1万+
问题:第一次使用shiro时,做好登录功能(包括用户检验等),并且登录成功以后,为了方便直接修改浏览器的地址返回到登录页面(即没有注销登录),当输入另一个用户的账号和密码后跳转到登录成功页面还是显示先前登录的用户信息原因:一步步debug下去以后就很容易发现问题了,登录验证前会经过AuthenticationFilter类的isAccessAllowed方法,如果该方法返回true的话就不会执行下面
Springboot整合shiro基于url身份认证和授权认证
bigsai
03-10 4347
你还不会shiro吗? 前奏 shiro核心配置文件(rolesFilter可选)。 身份认证 多表登录源如何操作? 授权管理 如何解决界面多角色/资源问题 访问效果 权限管理在日常开发中很重要,所以硬着头皮也要啃下来。 实现功能: 身份认证 对不同页面进行url授权 多表登录解决 同一个页面多role访问 项目完整github地址 欢迎star springboo...
shiro学习
weixin_34113237的博客
12-25 169
简介: Apache Shiro 是 Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单;其基本功能点如下图所示: Authenticat...
Java Shiro 安全框架:(二)Shiro认证
地球村
07-01 232
Shiro认证 第一:导包 第二:书写 shiro.ini 文件 [users] DQC=123 DQCGM=root 第三:书写测试代码 package com.shiro1; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.IncorrectCredentialsException; impo
shiro登入验证的过程详解
Heyyouare的博客
08-22 430
写这篇文章主要是记住自己所学过的知识点,二就是学习过程 从网上下载小demo然后根据demo自己改需求,慢慢的理解了shiro的一些基本的用法,但是好奇他是如何去验证我们的密码的所以学习网上的方法跟踪源码发现。 首先在这里打个断定 首先他会进入这个subject.login 方法进行登入密码验证debug模式进入 进入这个实现类 然后他会把这个验证的过程交给securitymanager.login 进入这个方法看看 走标红线的方法 继续往下看 这里判断你有没有自己定义的realms如果有他会走你
总结 前后端分离 springboot+shiro登录验证的几种方式
werewolf2的博客
01-11 1287
总结 前后端分离 springboot+shiro登录验证的几种方式登录验证硬编码方式(不推荐)在自定义过滤器中返回给前端错误码设置shiro的loginURL使用注解方式(推荐)权限控制使用注解方式 登录验证 在前后端的登录验证中,如果当前用户未登录要返回给前端一个状态码。返回给前端状态码有以下几种方式(暂时只知道这些) 硬编码方式(不推荐) 在获取当前登录者id时判断是否已经登录,如果没有登录就抛出自定义异常,通过全局异常捕获返回给前端固定的状态码 public Long getLoginID() {
shiro跨域请求两次
最新发布
11-16
根据提供的引用内容,可以得知在使用shiro进行跨域请求时,会出现请求两次的问题。这是因为后台采用了token检验机制,前台发送请求必须将token放到request header中,而请求头中携带自定义参数,浏览器就认为请求是复杂跨域请求,所以浏览器在真正请求之前会发送一次预检请求,检测服务器是否支持真实请求进行跨域访问。 解决方案如下: 1.在后台代码中添加如下配置,允许跨域请求: ```java // 允许跨域请求 response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "x-requested-with,Authorization"); ``` 2.在shiro配置文件中添加如下配置,允许OPTIONS请求通过: ```xml <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager"/> <property name="loginUrl" value="/login"/> <property name="successUrl" value="/index"/> <property name="unauthorizedUrl" value="/unauthorized"/> <property name="filters"> <util:map> <entry key="authc"> <bean class="org.apache.shiro.web.filter.authc.PassThruAuthenticationFilter"/> </entry> </util:map> </property> <property name="filterChainDefinitions"> <value> /login = anon /logout = logout /** = authc </value> </property> </bean> ``` 3.在前端代码中添加如下配置,允许携带自定义参数: ```javascript axios.defaults.headers.common['Authorization'] = 'Bearer ' + token; axios.defaults.headers.post['Content-Type'] = 'application/x-www-form-urlencoded'; axios.defaults.withCredentials = true; ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

贝多芬也爱敲代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值