【springboot】处理shiro多realm的自定义异常捕获问题

最新推荐文章于 2023-06-07 19:52:00 发布
最新推荐文章于 2023-06-07 19:52:00 发布
阅读量2.9k 收藏 9
点赞数 4
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dan339811953/article/details/104798079
版权

前言

1、基于springboot前后端分离项目,基于shiro做权限校验

2、多个realm:1)userRealm:校验登陆验证码; 2) OauthRealm:校验登陆后请求token

3、springboot版本 2.1.1 shiro版本 1.3.2 

4、急着处理问题的可以直接看最下面解决的 O(∩_∩)O~

问题描述

Realm自定义自定义的异常无法正常捕获,均捕获为“AuthenticationException”(原来只有一个realm是正常的

具体代码如下截图

登陆时候按多种情况抛出异常(下面为userRealm方法)

controller层方法捕获异常返回登陆用户信息(下图)

 

问题分析

1、查看类集成关系,自定义的异常均属于"AuthenticationException"的子类(好像跟问题没关系。。)

2、通过单步调试找到 "ModularRealmAuthenticator"类源码,单个和多个realm方法执行不同(具体代码自行查看)

多个realm遍历执行,并且执行结果及异常放到(aggregate)中再处理返回的

其实关键点就是这个try catch 异常不是直接返回,而是最后在afterAllAttempts中判断的aggregate的内容又new了一个AuthenticationException

解决方案

既然问题的try catch 那么索引就把try catch去掉了不就行啦,异常就直接往上抛了啊。


import java.util.Collection;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.pam.AuthenticationStrategy;
import org.apache.shiro.authc.pam.ModularRealmAuthenticator;
import org.apache.shiro.realm.Realm;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

/***
 * 自定义重写ModularRealmAuthenticator类,用与处理多realm的自定义异常捕获问题
 * @date 2020-3-11
 * @author chenzh
 */
public class CustomModularRealmAuthenticator extends ModularRealmAuthenticator {

    private static final Logger log = LoggerFactory.getLogger(ModularRealmAuthenticator.class);

    /**
     * 重写多realm校验方法,避免无法捕获到realm中的自定义异常
     * 取消执行代码 realm.getAuthenticationInfo(token); 的tey catch
     * 多个realm时候,如果其中一个realm抛出异常则直接抛出异常,类似single方法,
     * @param realms
     * @param token
     * @return
     */
    @Override
    protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) {
        AuthenticationStrategy strategy = getAuthenticationStrategy();
        AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);
        if (log.isTraceEnabled()) {
            log.trace("Iterating through {} realms for PAM authentication", realms.size());
        }
        for (Realm realm : realms) {
            aggregate = strategy.beforeAttempt(realm, token, aggregate);
            if (realm.supports(token)) {
                log.trace("Attempting to authenticate token [{}] using realm [{}]", token, realm);
                AuthenticationInfo info = null;
                Throwable t = null;
                /*
                * ---
                * 此行代码执行取消try catch,若异常直接抛出,其他同原方法
                * ---
                * */
                info = realm.getAuthenticationInfo(token);
                aggregate = strategy.afterAttempt(realm, token, info, aggregate, t);
            } else {
                log.debug("Realm [{}] does not support token {}.  Skipping realm.", realm, token);
            }
        }
        aggregate = strategy.afterAllAttempts(token, aggregate);
        return aggregate;
    }
}

自定义的方法,要让shiro知道并拿来用。

/**
*shiro 相关配置
**/
@Configuration
public class ShiroConfig {

    @Autowired
    private ShiroConfigProperties shiroConfigProperties;

    /**
    * 自定义的 ModularRealmAuthenticator 
    **/
    @Bean
    public ModularRealmAuthenticator authenticator(){
        ModularRealmAuthenticator authenticator = new CustomModularRealmAuthenticator();
        return authenticator;
    }
    @Bean
    public Oauth2Realm oauth2Realm(){
        Oauth2Realm oauth2Realm = new Oauth2Realm();
        oauth2Realm.setAuthenticationCachingEnabled(Boolean.FALSE);
        oauth2Realm.setAuthorizationCachingEnabled(Boolean.FALSE);
        oauth2Realm.setCachingEnabled(Boolean.FALSE);
        return oauth2Realm;
    }

    @Bean
    public UserRealm userRealm(){
        UserRealm userRealm = new UserRealm();
        userRealm.setAuthenticationCachingEnabled(Boolean.FALSE);
        userRealm.setAuthorizationCachingEnabled(Boolean.FALSE);
        return userRealm;
    }
    /*****此处省略10000+行代码  O(∩_∩)O ****/

    @Bean
    public DefaultWebSecurityManager securityManager(DefaultSessionManager sessionManager, DefaultWebSubjectFactory subjectFactory,
                                                     Oauth2Realm oauth2Realm, UserRealm userRealm,ModularRealmAuthenticator authenticator){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        securityManager.setSessionManager(sessionManager);
        securityManager.setSubjectFactory(subjectFactory);
        //设置自定义的 ModularRealmAuthenticator 
        securityManager.setAuthenticator(authenticator);
        /*
         * 禁用使用Sessions 作为存储策略的实现,但它没有完全地禁用Sessions
         * 所以需要配合context.setSessionCreationEnabled(false);
         */
        //Add.2.3
        ((DefaultSessionStorageEvaluator)((DefaultSubjectDAO)securityManager.getSubjectDAO()).getSessionStorageEvaluator()).setSessionStorageEnabled(false);

        List<Realm> realms = new ArrayList<Realm>();
        realms.add(userRealm);
        realms.add(oauth2Realm);
        securityManager.setRealms(realms);
        return securityManager;
    }

    /*****此处省略10000+行代码  O(∩_∩)O ****/

}

 

danchen_90
关注
SpringBoot集成shiro+redis+jwt多realm实现登录(支持密码、免密校验、多用户表校验)
liangshitian的博客
09-11 3882
本篇文章主要介绍 Shirorealm,根据不同的登录型指定不同的 realm。由于项目上需要支持原有的sys_user系统用户做登录验证,又要加上现在需要做微信端sys_wx_user的用户验证。实现的思路就是需要前端在请求头里加一个loginType字段来区分当前登录使用那个realm去做认证。而且这个多realm还可以做密码和免密校验。 1、目前需要两个Realm,第一个是默认的系统认证(DefaultUserRealm.java) 这里和正常的shiro认证逻辑一致,主要是验证sys_us.
springboot全局异常处理捕获不到自定义Filter中的异常
qq_41609488的博客
07-29 2998
由于项目是前后端分离,且使用的shiro+jwt的框架,需要自定义一个jwtFilter来拦截请求并进行token的验证,这里会出现各种token的异常,所以需要捕获一下,但是全局异常处理@ControllerAdvice不能捕捉自定义拦截器的异常,所以这里使用继承BasicErrorController处理异常 要写一个构造器 public ErrorController() { super(new DefaultErrorAttributes(), new ErrorProperties()
Shiro Realm自定义异常如何捕获并返回给前端
Aoyama_QingShan的博客
05-13 1217
SpringBoot+shiro+jwt权限认证,捕获Realm中的异常并放回给前端
Shiro自定义异常无法被捕获总是抛出AuthenticationException解决方案
gzyes
06-07 620
问题描述 配置Realm之后,发现在Realm抛出异常无法被捕获抛出AuthenticationException异常。例如请求接收的token无效等,这致使log文件里出现大量这样的异常堆栈信息。我司系统会对通过应用log文件检测异常数量,达到阈值进行告警。 经内部研判,这种Shiro认证失败的异常,程序可以自行消化,无须抛出。 场景再现 下面是error log 2023-0...
shirorealm异常解决
m0_58560859的博客
02-19 1530
shirorealm报错解决方法。
Shiro异常捕捉
fenfenguai的专栏
01-13 1711
在使用shiro的项目中,验证身份时抛出异常无法捕捉让人很苦恼 解决办法如下 集成 AtLeastOneSuccessfulStrategy import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc
springboot+shiro处理shiro中的异常
大海无量的博客
04-12 6542
1.自定义realm抛出异常信息 /** * @description:自定义Realm * @author: Administrator * @date: 2019-03-27 13:30 */ @Component public class MyRealm extends AuthorizingRealm { public static Log log = LogFacto...
springboot_shiro.zip
11-06
3. **异常处理**:对Shiro抛出的安全异常进行捕获并定制友好的错误页面,提升用户体验。 4. **角色和权限设计**:设计合理的角色和权限模型,如RBAC(Role-Based Access Control),方便权限分配和管理。 5. **...
SpringBoot + Shiro实现前后端全分离接口安全框架
09-02
7. **异常处理**:Shiro的拦截器会抛出异常,例如`UnauthorizedException`或`AuthenticationException`,应用需要捕获这些异常并返回合适的HTTP状态码和错误信息。 8. **测试与调试**:在开发过程中,使用单元测试...
【RBAC】基于springboot+shiro实现RBAC权限后台管理系统.zip
最新发布
09-08
|—— |—— handler —— 异常捕获统一处理 |—— |—— result —— json返回结果 |—— |—— util —— 工具 |—— model |—— |—— base —— pojo的父 |—— |—— dao —— 持久层 |—— |—— domain ...
Spring文档学习--异常处理(Handling exceptions)以Shiro为例
程高伟
03-14 8162
介绍了SpringMVC提供的异常处理机制,包括实现HandlerExceptionResolver来定义自己的异常处理,SimpleMappingExceptionResolver和@ExceptionHandler的使用
新!Shiro自定义异常无法被捕获总是抛出AuthenticationException解决方案
qq_34168515的博客
01-09 5688
文章目录一、出现原因二、当我们创建全局拦截失败三、最终方案 一、出现原因 在 AuthorizingRealm doGetAuthenticationInfo 中抛出异常 案例: @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken){ String token = (String) authenticationToken.g
Shirorealm认证登陆 密码不正确时抛出错误异常,无法捕获问题
Mr_Wanter
11-01 3922
1、使用自定义MultiRealmAuthenticator <bean id="authenticator" class="com.xxx.commons.shiro.MultiRealmAuthenticator"> 2、MultiRealmAuthenticator import org.apache.shiro.authc.AuthenticationExcep...
shiro 自定义realm 抛出自定义异常
DeepSea_JIE的博客
06-16 934
自定义realm抛出自定义异常时,会被Authenticationexception打包, 出现zheyi Authentication failed for token submission
JAVA----Shiro 自定义realm下登陆只抛出AuthenticationException
Damys
03-18 447
Shiro 自定义realm下登陆只抛出AuthenticationException 问题 在登录时,抛出自定义异常, 如,throw new RoleSelectException() 想要捕获时,发现出错,只能获取 AuthenticationException 下的异常 处理方法 可以让 RoleSelectException继承 AuthenticationException(), 再进行判断,做相关业务处理 try { subject.login(token);
自定义异常处理(样例)
The blog of CSDN in 杨天福
12-19 6409
样例1 定义异常: package com.tianfu.yichang; /** * * @author tianfu * */ public class BanlanceNotEnoughException extends Exception{ public BanlanceNotEnoughException(){ super ("异常信息:取款失败",ne
springboot+shiro统一异常处理
热门推荐
Simlier的博客
04-27 1万+
1.shiro的常见异常 1.1 AuthencationException: AuthenticationException 异常Shiro在登录认证过程中,认证失败需要抛出异常。 AuthenticationException包含以下子: CredentitalsException 凭证异常 IncorrectCredentialsException 不正确的凭证 ...
shiro1.8内置jwt过滤器捕获token过期异常解决方案
fwdwqdwq的博客
08-24 1480
原来的情况是经过该方法之后会进行token的过期验证,但我们上面的分析也可以发现其异常会被层层抛出最后被捕获,因此我们可以提前在该方法中进行token的过期验证,从而可以在此处理异常。前提:在整合shiro和jwt中的过程中,测试token过期时发现,token过期的异常全局异常捕获不到的,返回的只有401状态码,不满足前后端分离的需求。就是shiro内置jwt过滤器中的OnAccessDenied中调用的登录方法里面会验证token过期,过期异常直接被捕获。对于异常处理,发现以下方法是失败的。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值