shiro无权限,不跳转到指定页面。setUnauthorizedUrl无效

最新推荐文章于 2024-05-12 10:41:40 发布
最新推荐文章于 2024-05-12 10:41:40 发布
阅读量1.6w 收藏 54
点赞数 29
分类专栏: shiro springboot 文章标签: shiro java springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bicheng4769/article/details/86680955
版权

既上一篇博客,当用户在登陆之后,访问没有权限的页面时,没有跳转到指定页面,并且后台报错。我们之前在ShiroConfig中已经设置了无权限的跳转页面,那么为什么没起作用呢?

问题复现:

org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method: public java.lang.String com.cj.shirodemo.controller.UserController.showUser()
	at org.apache.shiro.authz.aop.AuthorizingAnnotationMethodInterceptor.assertAuthorized(AuthorizingAnnotationMethodInterceptor.java:90) ~[shiro-core-1.3.2.jar:1.3.2]
	at org.apache.shiro.authz.aop.AnnotationsAuthorizingMethodInterceptor.assertAuthorized(AnnotationsAuthorizingMethodInterceptor.java:100) ~[shiro-core-1.3.2.jar:1.3.2]
	at org.apache.shiro.authz.aop.AuthorizingMethodInterceptor.invoke(AuthorizingMethodInterceptor.java:38) ~[shiro-core-1.3.2.jar:1.3.2]
	at org.apache.shiro.spring.security.interceptor.AopAllianceAnnotationsAuthorizingMethodInterceptor.invoke(AopAllianceAnnotationsAuthorizingMethodInterceptor.java:115) ~[shiro-spring-1.3.2.jar:1.3.2]
	at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:186) ~[spring-aop-5.1.4.RELEASE.jar:5.1.4.RELEASE]
	at org.springframework.aop.framework.CglibAopProxy$DynamicAdvisedInterceptor.intercept(CglibAopProxy.java:688) ~[spring-aop-5.1.4.RELEASE.jar:5.1.4.RELEASE]

对于这种问题,我们要从设置跳转页面开始看,我开发工具用的idea。可以按住ctrl+鼠标点击进入源码(idea好-。-)。
进入到ShiroFilterFactoryBean类中,我们可以大概浏览下类的基本构成(包括方法和属性),找到setUnauthorizedUrl方法:

 public void setUnauthorizedUrl(String unauthorizedUrl) {
        this.unauthorizedUrl = unauthorizedUrl;
    }

咦,很简单啊,就是赋值操作,ok。那我们再来看看unauthorizedUrl这个参数在整个实体类中在哪个地方使用的。
一共找到下面几个地方:

	 public String getUnauthorizedUrl() {
        return this.unauthorizedUrl;
    }

    public void setUnauthorizedUrl(String unauthorizedUrl) {
        this.unauthorizedUrl = unauthorizedUrl;
    }
    ..........
      private void applyUnauthorizedUrlIfNecessary(Filter filter) {
        String unauthorizedUrl = this.getUnauthorizedUrl();
        if (StringUtils.hasText(unauthorizedUrl) && filter instanceof AuthorizationFilter) {
            AuthorizationFilter authzFilter = (AuthorizationFilter)filter;
            String existingUnauthorizedUrl = authzFilter.getUnauthorizedUrl();
            if (existingUnauthorizedUrl == null) {
                authzFilter.setUnauthorizedUrl(unauthorizedUrl);
            }
        }

    }

    private void applyGlobalPropertiesIfNecessary(Filter filter) {
        this.applyLoginUrlIfNecessary(filter);
        this.applySuccessUrlIfNecessary(filter);
        this.applyUnauthorizedUrlIfNecessary(filter);
    }

到这里,我们已经找到关键的地方 :

   private void applyUnauthorizedUrlIfNecessary(Filter filter) {
        String unauthorizedUrl = this.getUnauthorizedUrl();
        if (StringUtils.hasText(unauthorizedUrl) && filter instanceof AuthorizationFilter) {
            AuthorizationFilter authzFilter = (AuthorizationFilter)filter;
            String existingUnauthorizedUrl = authzFilter.getUnauthorizedUrl();
            if (existingUnauthorizedUrl == null) {
                authzFilter.setUnauthorizedUrl(unauthorizedUrl);
            }
        }
    }

applyUnauthorizedUrlIfNecessary就是设置无权限访问的url的方法。其中有一行很重要filter instanceof AuthorizationFilter 这个过滤器必须要是AuthorizationFilter过滤器才行,那么什么才是AuthorizationFilter类型的过滤器呢?
我们可以点进AuthorizationFilter的源码看一下。
AuthorizationFilter是一个抽象类,抽象类没什么好看的,我们看看他的具体的类:
在这里插入图片描述
这些才是具体的类。换句话说只有这些过滤器才可以使设置生效。
这些过滤器到底是什么呢?
看过我之前博客的都知道在ShiroConfig设置权限的时候,我曾经叫大家看下package org.apache.shiro.web.filter.mgt.DefaultFilter,这个是shiro默认提供给我们的过滤器,不知道大家有没有看-。-,荣老夫截个图吧:
在这里插入图片描述
这是个啥?不对,稍微等一等,HttpMethodPermissionFilterSslFilterPermissionsAuthorizationFilterRolesAuthorizationFilter这几个貌似就是能使setUnauthorizedUrl这个方法生效的过滤器耶。

原因:

只有perms,roles,ssl,rest,port才是属于AuthorizationFilter,而anon,authcBasic,auchc,user是AuthenticationFilter,所以unauthorizedUrl设置后页面不跳转。

解决方案:

  1. 既然不是属于AuthorizationFilter,那就改为AuthorizationFilter。(这种方法没试过,不做评价,感兴趣的同学可以试一试)。
  2. 对抛出的异常进行统一处理跳转。

方案一:

略略略略略略略略略略略略略略略-。-

方案二:

package com.cj.shirodemo.exceptions;

import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.UnauthorizedException;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseBody;

/**
 * 描述:
 *
 * @author caojing
 * @create 2019-01-27-17:12
 */
@ControllerAdvice
public class NoPermissionException {
    @ResponseBody
    @ExceptionHandler(UnauthorizedException.class)
    public String handleShiroException(Exception ex) {
        return "无权限";
    }
    @ResponseBody
    @ExceptionHandler(AuthorizationException.class)
    public String AuthorizationException(Exception ex) {
        return "权限认证失败";
    }
}

总结:

我该说点啥呢?其实有问题的话不要慌,先找出问题产生的原因,从根本上去解决问题,而不是一遇到问题去百度(或者你先解决问题,在回来看一眼为什么会产生这个问题),只有这样,你才能在下次遇到相同问题的时候才不又去问百度。

JAVA-cjing
关注
  • 29
    点赞
  • 54
    收藏
    觉得还不错? 一键收藏
  • 17
    评论
专栏目录
setUnauthorizedUrl不起作用
ajax_yan的博客
06-18 441
setUnauthorizedUrl("/403")不起作用 SpringBoot中集成Shiro的时候, 配置setUnauthorizedUrl("/403")了,但是不起作用,只会在控制台打印UnauthorizedException异常信息: 原因: Shiro源码中是这样做的: private void applyUnauthorizedUrlIfNecessary(Filter filter) { String unauthorizedUrl =...
使用Shiro实现登录成功后跳转到之前的页面
09-01
正确配置 Shiro 的过滤器链定义,确保只有需要认证的URL会被保存,这样才能在用户登录后跳转到他们最初尝试访问的页面。在实际应用中,根据项目的具体需求,可以结合这两种方法,以提供更优质的用户体验。
org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method报错解决方案
sinat_40693969的博客
06-01 4316
org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method
其他的 框架安全:Apache Shiro 未授权访问漏洞.(CVE-2020-1957 || CVE-2020-11989)
最新发布
网络安全领域___专研者.
05-12 526
Apache Shiro 是一个强大且易用的Java安全框架,它为应用程序提供了身份验证、授权、加密和会话管理等常见的安全功能。漏洞大多会发生在登录处,返回包里包含remeberMe=deleteMe字段.(Shiro 这个属于第三方的,Apache 中的 Shiro
Shiro页面权限拦截
qq_36008278的博客
01-07 2855
@Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); Users users=UserUtil.getUser(); String userType=users.getUserType(); authoriz
org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method:解决
CEVERY的博客
01-07 7368
org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method: public java.lang.String 原因分析: 集成thymeleaf后使用@Controller注解一个方法返回的是一个页面,且用了 @RequiresPermissions("app:article")注解。 但是在进行授权配置的时候针对这个登陆的用户没有配置这个权限,即该用户是没有权限访问这个页面, 此时shiro根据没有权限本应该
setUnauthorizedUrl("")不起作用,不能设置没有权限跳转页面
二十一克阳光!的博客
05-04 822
SpringBoot中集成Shiro的时候, 配置setUnauthorizedUrl("")了,但是不起作用,只会在控制台打印UnauthorizedException异常信息: 原因: Shiro源码中是这样做的: private void applyUnauthorizedUrlIfNecessary(Filter filter) { String unauthorized...
ShirosetUnauthorizedUrl("/403")不生效,无法跳转指定页面的解决办法。
banmajio的博客
01-08 1465
ShirosetUnauthorizedUrl"/403"不生效,无法跳转指定页面的解决办法问题描述问题分析解决办法 问题描述 ShiroConfig中设置未授权页面统一跳转403页面,但是没有权限的用户访问时,并未跳转指定页面页面报错信息如下: 控制台报错如下: 问题分析 这是因为shiro源代码中判断了filter是否为AuthorizationFilter,只有perms,roles...
Shiro根据用户权限显示不同的菜单.Shiro根据权限显示指定菜单
01-06
3. **使用Shiro的`hasPermission`标签**:在JSP页面中,我们可以利用Shiro提供的JSTL标签库来进行权限检查。例如,我们可以使用`<shiro:hasPermission name="editUser">`标签来包裹需要展示的菜单项代码。如果当前...
vue与shiro结合实现权限按钮
12-15
在现代Web应用开发中,权限控制是一个至关重要的环节,它涉及到用户访问的权限范围和操作权限,确保系统安全。Vue.js作为一个轻量级的前端框架,搭配Apache Shiro这样的安全管理框架,可以有效地实现前端的细粒度...
Session过期后自动跳转到登录页面的实例代码
09-02
虽然可以在`sessionDestroyed()`方法中进行一些后台统计处理,但监听器并不适合直接处理页面跳转,因为它不直接参与到HTTP响应的过程中。 因此,通常我们会采用过滤器(Filter)的方式来处理Session过期后的跳转。...
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
在本文中,我们将深入探讨如何在Spring Boot应用中集成Apache Shiro框架,以实现动态加载权限的功能。Shiro是一个强大的安全框架,可以帮助我们处理身份验证(登录)、授权(权限管理)以及会话管理等问题。 首先,...
springboot+shiro入门学习(三)setUnauthorizedUrl的设置
java_chegnxuyuan的博客
06-05 3545
在上一篇中我们遗留了一个问题就是当没有权限页面跳转的问题。 首先搭建一个jsp的环境 pom文件: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-in...
Shiro中loginUrl与unauthorizedUrl
web15185420056的博客
08-24 742
项目中有用到Shiro框架,但是只使用了身份认证,即登录功能,未用到授权 权限验证功能,在使用的时候对loginUrl和unauthorizedUrl没有区分太清,一直以为unauthorizedUrl是被拦截后要跳转到的页面,今天特意查了一下,才清楚loginUrl是登录页面,unauthorizedUrl是没有资源权限跳转到的页面。unauthorizedUrl:没有权限默认跳转页面,登录的用户访问了没有被授权的资源自动跳转到的页面。在SpringBoot中通过Java代码来实现Shiro的配置。
Shiro系列(六)--- 完善登录认证、授权细节及解决setLoginUrlsetUnauthorizedUrl失效问题
FAIRYTAIL的博客
08-31 1854
继续我们shiro系列博客相关的学习笔记,完善一下登录认证和授权流程的一些细节,各位看到此博客的小伙伴,如有不对的地方请及时通过私信我或者评论此博客的方式指出,以免误人子弟。多谢! 首先完善一下登录的流程,使其更接近于实际的应用场景,我们在Shiro系列(四)--- Springboot整合Shiro实现基本的登录认证流程中描述了登录认证的基本流程,并且最后我们测试的时候通过访问http://localhost:8080/login进入到登录页面,然后输入用户名密码进行登录验证。 貌似也没有什么问题..
shiro-权限注解
aji_csdn的博客
10-31 522
摘自:http://www.cnblogs.com/wq3435/p/6271381.html shiro通过注解进行权限验证: 在shiro的xml配置文件里设置 lifecycleBeanPostProcessor和securityManager是在shiro配置文件中定义好的:
setUnauthorizedUrl("/403")不起作用,不能设置没有权限跳转页面
qq_33002015的博客
09-18 2184
SpringBoot中集成Shiro的时候, 配置setUnauthorizedUrl("/403")了,但是不起作用,只会在控制台打印UnauthorizedException异常信息: 原因: Shiro源码中是这样做的: private void applyUnauthorizedUrlIfNecessary(Filter filter) { String unauth...
Springboot+Shiro配置setUnauthorizedUrl()不生效
weixin_45864962的博客
11-25 942
问题背景分析解决方法一方法二方法三 问题背景 1.使用Shiro对用户访问资源进行权限校验(授权)。 2.目的:当用户访问没有权限资源时,跳转指定页面。 3.setUnauthorizedUrl("/view/permission")方法作用:当用户没有权限访问时跳转到"/view/permission"页面。 4.但是setUnauthorizedUrl配置没有生效。 @Bean //此对象中要配置一些访问规则(匿名访问的资源,认证的访问的资源) public ShiroFilterF.
shiro权限管理 放行页面
12-07
根据提供的引用内容,Shiro权限管理器可以根据realm的授权信息判断是否拥有某个权限,如果没有权限跳转到响应页面。如果需要放行某个页面,则可以在Shiro的配置文件中进行相应的配置。具体步骤如下: 1. 在Shiro的配置文件中,找到`<shiro:filter>`标签,添加一个新的`<shiro:filter>`标签,例如: ```xml <shiro:filter> <shiro:filter-name>myFilter</shiro:filter-name> <shiro:filter-class>com.example.MyFilter</shiro:filter-class> </shiro:filter> ``` 2. 在`<shiro:filter>`标签中,设置`<shiro:perms>`标签,指定需要放行的页面权限,例如: ```xml <shiro:filter> <shiro:filter-name>myFilter</shiro:filter-name> <shiro:filter-class>com.example.MyFilter</shiro:filter-class> <shiro:perms> /index.html = myPermission </shiro:perms> </shiro:filter> ``` 上述配置表示,放行`/index.html`页面,并且需要具有`myPermission`权限。 3. 在Shiro的配置文件中,找到`<shiro:filter-mapping>`标签,添加一个新的`<shiro:filter-mapping>`标签,例如: ```xml <shiro:filter-mapping> <shiro:filter-name>myFilter</shiro:filter-name> <shiro:url-pattern>/index.html</shiro:url-pattern> </shiro:filter-mapping> ``` 上述配置表示,将`myFilter`过滤器映射到`/index.html`页面。 通过上述配置,可以实现对某个页面的放行。需要注意的是,如果需要放行的页面需要具有多个权限,则可以使用逗号分隔多个权限,例如: ```xml <shiro:perms> /index.html = myPermission1, myPermission2 </shiro:perms> ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值