shiro无权限,不跳转到指定页面。setUnauthorizedUrl无效

最新推荐文章于 2024-05-12 10:41:40 发布
最新推荐文章于 2024-05-12 10:41:40 发布
阅读量1.6w 收藏 54
点赞数 29
分类专栏: shiro springboot 文章标签: shiro java springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bicheng4769/article/details/86680955
版权

既上一篇博客,当用户在登陆之后,访问没有权限的页面时,没有跳转到指定页面,并且后台报错。我们之前在ShiroConfig中已经设置了无权限的跳转页面,那么为什么没起作用呢?

问题复现:

org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method: public java.lang.String com.cj.shirodemo.controller.UserController.showUser()
	at org.apache.shiro.authz.aop.AuthorizingAnnotationMethodInterceptor.assertAuthorized(AuthorizingAnnotationMethodInterceptor.java:90) ~[shiro-core-1.3.2.jar:1.3.2]
	at org.apache.shiro.authz.aop.AnnotationsAuthorizingMethodInterceptor.assertAuthorized(AnnotationsAuthorizingMethodInterceptor.java:100) ~[shiro-core-1.3.2.jar:1.3.2]
	at org.apache.shiro.authz.aop.AuthorizingMethodInterceptor.invoke(AuthorizingMethodInterceptor.java:38) ~[shiro-core-1.3.2.jar:1.3.2]
	at org.apache.shiro.spring.security.interceptor.AopAllianceAnnotationsAuthorizingMethodInterceptor.invoke(AopAllianceAnnotationsAuthorizingMethodInterceptor.java:115) ~[shiro-spring-1.3.2.jar:1.3.2]
	at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:186) ~[spring-aop-5.1.4.RELEASE.jar:5.1.4.RELEASE]
	at org.springframework.aop.framework.CglibAopProxy$DynamicAdvisedInterceptor.intercept(CglibAopProxy.java:688) ~[spring-aop-5.1.4.RELEASE.jar:5.1.4.RELEASE]

对于这种问题,我们要从设置跳转页面开始看,我开发工具用的idea。可以按住ctrl+鼠标点击进入源码(idea好-。-)。
进入到ShiroFilterFactoryBean类中,我们可以大概浏览下类的基本构成(包括方法和属性),找到setUnauthorizedUrl方法:

 public void setUnauthorizedUrl(String unauthorizedUrl) {
        this.unauthorizedUrl = unauthorizedUrl;
    }

咦,很简单啊,就是赋值操作,ok。那我们再来看看unauthorizedUrl这个参数在整个实体类中在哪个地方使用的。
一共找到下面几个地方:

	 public String getUnauthorizedUrl() {
        return this.unauthorizedUrl;
    }

    public void setUnauthorizedUrl(String unauthorizedUrl) {
        this.unauthorizedUrl = unauthorizedUrl;
    }
    ..........
      private void applyUnauthorizedUrlIfNecessary(Filter filter) {
        String unauthorizedUrl = this.getUnauthorizedUrl();
        if (StringUtils.hasText(unauthorizedUrl) && filter instanceof AuthorizationFilter) {
            AuthorizationFilter authzFilter = (AuthorizationFilter)filter;
            String existingUnauthorizedUrl = authzFilter.getUnauthorizedUrl();
            if (existingUnauthorizedUrl == null) {
                authzFilter.setUnauthorizedUrl(unauthorizedUrl);
            }
        }

    }

    private void applyGlobalPropertiesIfNecessary(Filter filter) {
        this.applyLoginUrlIfNecessary(filter);
        this.applySuccessUrlIfNecessary(filter);
        this.applyUnauthorizedUrlIfNecessary(filter);
    }

到这里,我们已经找到关键的地方 :

   private void applyUnauthorizedUrlIfNecessary(Filter filter) {
        String unauthorizedUrl = this.getUnauthorizedUrl();
        if (StringUtils.hasText(unauthorizedUrl) && filter instanceof AuthorizationFilter) {
            AuthorizationFilter authzFilter = (AuthorizationFilter)filter;
            String existingUnauthorizedUrl = authzFilter.getUnauthorizedUrl();
            if (existingUnauthorizedUrl == null) {
                authzFilter.setUnauthorizedUrl(unauthorizedUrl);
            }
        }
    }

applyUnauthorizedUrlIfNecessary就是设置无权限访问的url的方法。其中有一行很重要filter instanceof AuthorizationFilter 这个过滤器必须要是AuthorizationFilter过滤器才行,那么什么才是AuthorizationFilter类型的过滤器呢?
我们可以点进AuthorizationFilter的源码看一下。
AuthorizationFilter是一个抽象类,抽象类没什么好看的,我们看看他的具体的类:
在这里插入图片描述
这些才是具体的类。换句话说只有这些过滤器才可以使设置生效。
这些过滤器到底是什么呢?
看过我之前博客的都知道在ShiroConfig设置权限的时候,我曾经叫大家看下package org.apache.shiro.web.filter.mgt.DefaultFilter,这个是shiro默认提供给我们的过滤器,不知道大家有没有看-。-,荣老夫截个图吧:
在这里插入图片描述
这是个啥?不对,稍微等一等,HttpMethodPermissionFilterSslFilterPermissionsAuthorizationFilterRolesAuthorizationFilter这几个貌似就是能使setUnauthorizedUrl这个方法生效的过滤器耶。

原因:

只有perms,roles,ssl,rest,port才是属于AuthorizationFilter,而anon,authcBasic,auchc,user是AuthenticationFilter,所以unauthorizedUrl设置后页面不跳转。

解决方案:

  1. 既然不是属于AuthorizationFilter,那就改为AuthorizationFilter。(这种方法没试过,不做评价,感兴趣的同学可以试一试)。
  2. 对抛出的异常进行统一处理跳转。

方案一:

略略略略略略略略略略略略略略略-。-

方案二:

package com.cj.shirodemo.exceptions;

import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.UnauthorizedException;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseBody;

/**
 * 描述:
 *
 * @author caojing
 * @create 2019-01-27-17:12
 */
@ControllerAdvice
public class NoPermissionException {
    @ResponseBody
    @ExceptionHandler(UnauthorizedException.class)
    public String handleShiroException(Exception ex) {
        return "无权限";
    }
    @ResponseBody
    @ExceptionHandler(AuthorizationException.class)
    public String AuthorizationException(Exception ex) {
        return "权限认证失败";
    }
}

总结:

我该说点啥呢?其实有问题的话不要慌,先找出问题产生的原因,从根本上去解决问题,而不是一遇到问题去百度(或者你先解决问题,在回来看一眼为什么会产生这个问题),只有这样,你才能在下次遇到相同问题的时候才不又去问百度。

JAVA-cjing
关注
  • 29
    点赞
  • 54
    收藏
    觉得还不错? 一键收藏
  • 17
    评论
专栏目录
setUnauthorizedUrl不起作用
ajax_yan的博客
06-18 441
setUnauthorizedUrl("/403")不起作用 SpringBoot中集成Shiro的时候, 配置setUnauthorizedUrl("/403")了,但是不起作用,只会在控制台打印UnauthorizedException异常信息: 原因: Shiro源码中是这样做的: private void applyUnauthorizedUrlIfNecessary(Filter filter) { String unauthorizedUrl =...
使用Shiro实现登录成功后跳转到之前的页面
09-01
正确配置 Shiro 的过滤器链定义,确保只有需要认证的URL会被保存,这样才能在用户登录后跳转到他们最初尝试访问的页面。在实际应用中,根据项目的具体需求,可以结合这两种方法,以提供更优质的用户体验。
Shiro页面权限拦截
qq_36008278的博客
01-07 2855
@Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); Users users=UserUtil.getUser(); String userType=users.getUserType(); authoriz
其他的 框架安全:Apache Shiro 未授权访问漏洞.(CVE-2020-1957 || CVE-2020-11989)
最新发布
网络安全领域___专研者.
05-12 544
Apache Shiro 是一个强大且易用的Java安全框架,它为应用程序提供了身份验证、授权、加密和会话管理等常见的安全功能。漏洞大多会发生在登录处,返回包里包含remeberMe=deleteMe字段.(Shiro 这个属于第三方的,Apache 中的 Shiro
org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method:解决
CEVERY的博客
01-07 7382
org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method: public java.lang.String 原因分析: 集成thymeleaf后使用@Controller注解一个方法返回的是一个页面,且用了 @RequiresPermissions("app:article")注解。 但是在进行授权配置的时候针对这个登陆的用户没有配置这个权限,即该用户是没有权限访问这个页面, 此时shiro根据没有权限本应该
自己遇到的异常
qq_41353313的博客
11-20 229
问题:shiro   没有权限的时候  不会自动跳转到没有权限页面    springbootshiro整合 shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized"); 失效 org.apache.shiro.authz.AuthorizationException: Not authorized to invoke metho...
spring boot 整合 shiro bean.setUnauthorizedUrl("/auth/unauthorized.do"); 无效
liuzhen_333的专栏
04-13 2654
spring boot 整合 shiro setUnauthorizedUrl这个方法设置的url 反复测试无效,如果在ShiroConfiguration配置文件中这么配置权限filterChainDefinitionMap.put("/role/roleList.do", "perms[role:roleList]");的话,无权限就会跳转到对应的url“/auth/unauthorized....
org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method xxx
Bernie_7的博客
07-24 938
踩坑记录 springboot整合shiro的时候爆出的错误。 原因是认证授权的时候出错了。shiro抛出了错误。 但是好像springboot没有处理,自己定义全局异常捕获也没有处理。(没看源码我也不知道是不是,) 解决办法 加一个类,去捕获异常。具体如下 import com.llgz.hotelmanageapi.common.CommonResult; import org.apache.shiro.authz.AuthorizationException; import org.apache.sh
Shiro根据用户权限显示不同的菜单.Shiro根据权限显示指定菜单
01-06
3. **使用Shiro的`hasPermission`标签**:在JSP页面中,我们可以利用Shiro提供的JSTL标签库来进行权限检查。例如,我们可以使用`<shiro:hasPermission name="editUser">`标签来包裹需要展示的菜单项代码。如果当前...
vue与shiro结合实现权限按钮
12-15
在现代Web应用开发中,权限控制是一个至关重要的环节,它涉及到用户访问的权限范围和操作权限,确保系统安全。Vue.js作为一个轻量级的前端框架,搭配Apache Shiro这样的安全管理框架,可以有效地实现前端的细粒度...
Session过期后自动跳转到登录页面的实例代码
09-02
虽然可以在`sessionDestroyed()`方法中进行一些后台统计处理,但监听器并不适合直接处理页面跳转,因为它不直接参与到HTTP响应的过程中。 因此,通常我们会采用过滤器(Filter)的方式来处理Session过期后的跳转。...
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
在本文中,我们将深入探讨如何在Spring Boot应用中集成Apache Shiro框架,以实现动态加载权限的功能。Shiro是一个强大的安全框架,可以帮助我们处理身份验证(登录)、授权(权限管理)以及会话管理等问题。 首先,...
org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method: public java.lang.Str
热门推荐
掘金者说
06-25 1万+
org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method: public java.lang.String 项目:SpringBoot+shiro+mybatis-plus来说 org.apache.shiro.authz.AuthorizationException: Not authorized...
shiro授权角色、权限Shiro页面,注解式开发
清欢
11-09 153
<shiro:hasRole name="agent">    <li class="list-group-item"><i class="fa fa-group"></i> <b class="font-noraml">门店核销人员绑定链接:</b> <a target="_blank" th:href="'https
shiro多项目跳转用户身份失效问题排查
凌大大的博客
04-20 559
shiro多项目跳转用户身份失效问题排查 1. 身份失效问题   最近在项目中遇到过一个问题,统一登录系统中有各个子系统的模块,可点击子系统模块进行跳转,如下图所示:   如上图,当用户点击子系统B新窗口打开时,实现跳转成功,当再回到原统一登录系统页面,再点击子系统A或者子系统B,却报出用户失效类似的问题。 2. 问题原因分析   经过浏览器F12排查接口请求头,发现一个问题,由于我们这次部署的...
Springboot整合Shiro后对登录session超时自动跳转登录页、异地登录提醒、权限控制的使用
weixin_44825912的博客
03-30 3807
Springboot整合shiro、thymeleaf后对登录超时、异地提醒、权限控制的使用。
权限管理系统之集成Shiro实现登录、url页面按钮的访问控制
weixin_30314793的博客
03-02 501
用户权限管理一般是对用户页面、按钮的访问权限管理。Shiro框架是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理,对于Shiro的介绍这里就不多说。本篇博客主要是了解Shiro的基础使用方法,在权限管理系统中集成Shiro实现登录、url页面按钮的访问控制。 一、引入依赖 使用SpringBoot集成Shiro时,在pom.xml中可以引入shiro-spring-bo...
shiro登陆失败提示_shiro登录认证常见的异常解析
weixin_39916520的博客
12-22 1319
场景:使用shiro安全框架做用户登录认证是,在认证的过程中可能会抛出一系列的异常,这时候我们该如何准确的捕获所遇到的异常呢?首先我们得先认识什么是ShiroException、AuthenticationException:先看看异常之间的继承关系图: 用户登录/*** 用户登录** @param email 邮箱* @param password 密码* @return*/@Respon...
springboot整合shiro
尹文伟的博客
06-21 150
1. 引入shiro依赖 <!--shiro支持--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.6.0</version> </dependenc
shiro权限管理 放行页面
12-07
根据提供的引用内容,Shiro权限管理器可以根据realm的授权信息判断是否拥有某个权限,如果没有权限跳转到响应页面。如果需要放行某个页面,则可以在Shiro的配置文件中进行相应的配置。具体步骤如下: 1. 在Shiro的配置文件中,找到`<shiro:filter>`标签,添加一个新的`<shiro:filter>`标签,例如: ```xml <shiro:filter> <shiro:filter-name>myFilter</shiro:filter-name> <shiro:filter-class>com.example.MyFilter</shiro:filter-class> </shiro:filter> ``` 2. 在`<shiro:filter>`标签中,设置`<shiro:perms>`标签,指定需要放行的页面权限,例如: ```xml <shiro:filter> <shiro:filter-name>myFilter</shiro:filter-name> <shiro:filter-class>com.example.MyFilter</shiro:filter-class> <shiro:perms> /index.html = myPermission </shiro:perms> </shiro:filter> ``` 上述配置表示,放行`/index.html`页面,并且需要具有`myPermission`权限。 3. 在Shiro的配置文件中,找到`<shiro:filter-mapping>`标签,添加一个新的`<shiro:filter-mapping>`标签,例如: ```xml <shiro:filter-mapping> <shiro:filter-name>myFilter</shiro:filter-name> <shiro:url-pattern>/index.html</shiro:url-pattern> </shiro:filter-mapping> ``` 上述配置表示,将`myFilter`过滤器映射到`/index.html`页面。 通过上述配置,可以实现对某个页面的放行。需要注意的是,如果需要放行的页面需要具有多个权限,则可以使用逗号分隔多个权限,例如: ```xml <shiro:perms> /index.html = myPermission1, myPermission2 </shiro:perms> ```
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值