shiro整合springboot,前后端分离项目踩坑记录

最新推荐文章于 2024-04-18 22:41:59 发布
最新推荐文章于 2024-04-18 22:41:59 发布
阅读量1k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duagh7/article/details/95727352
版权

一、重写过滤器

shiro自己帮我们封装了一系列过滤器,对于常见的一些操作,比如登陆,登出,认证不通过等,shiro会通过我们配置的url,找到相应过滤器,做完操作会跳转到我们配置的跳转url中。但是对于前后端分离项目,前端通过ajax调用接口,获取返回值展示后再跳。比如展示“暂无权限”等提示语,友好一些。所以要对shiro已有的过滤器进行继承重写。

登出过滤器:

public class UserLogoutFilter extends LogoutFilter {

    private Logger logger = LoggerFactory.getLogger(UserLogoutFilter.class);

    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        //在这里执行退出系统前需要清空的数据
        Subject subject = getSubject(request, response);
        try {
            subject.logout();
        } catch (SessionException ise) {
            logger.error("logout session Exception", ise);
        }
        //给前端返回结果
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", "Origin,X-Requested-With,Content-Type,Accept,Authorization,X-TOKEN,XMLHttpRequest");
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "*");
        HttpUtil.writeResult(httpServletResponse, RevertResult.ok());
        //返回false表示不执行后续的过滤器
        return false;
    }
}

认证过滤器:

public class UserAccessFilter extends FormAuthenticationFilter {

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        if (this.isLoginRequest(request, response)) {
            return true;
        } else {
            HttpServletResponse httpServletResponse = (HttpServletResponse) response;
            httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");
            httpServletResponse.setHeader("Access-Control-Allow-Headers", "Origin,X-Requested-With,Content-Type,Accept,Authorization,X-TOKEN,XMLHttpRequest");
            httpServletResponse.setHeader("Access-Control-Allow-Methods", "*");
            HttpUtil.writeResult(response, RevertResult.failResult(ErrorCodes.USER_NO_LOGIN));
            //返回false表示不执行后续的过滤器
            return false;
        }
    }

}

shiro配置文件:


    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        //获取filters
        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
        filters.put("userAccessFilter", new UserAccessFilter());
        filters.put("logout", new UserLogoutFilter());

        // 设置 securityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 登录的 url
        shiroFilterFactoryBean.setLoginUrl(loginUrl);

        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 设置免认证 url
        String[] anonUrls = StringUtils.splitByWholeSeparatorPreserveAllTokens(anonUrl, ",");
        for (String url : anonUrls) {
            filterChainDefinitionMap.put(url, "anon");
        }
        filterChainDefinitionMap.put(logoutUrl, "logout");

        filterChainDefinitionMap.put("/**", "userAccessFilter");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;
    }

httpUtil:

public class HttpUtil {

    /**
     * response输出方法
     *
     * @param response
     * @param revertResult
     */
    public static void writeResult(ServletResponse response, RevertResult revertResult) {
        //重置response
        //设置编码格式
        PrintWriter writer = null;
        try {
            response.setCharacterEncoding("UTF-8");
            response.setContentType("text/html; charset=utf-8");

            writer = response.getWriter();
            writer.write(JSON.toJSONString(revertResult));
            writer.flush();
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            if (null != writer) {
                writer.close();
            }
        }
    }
}

二、跨域问题

由于是前后端分离项目,前后端部署在不同服务器上,不同主域情况下,以上通过response写出的返回值会被拦截。需要在basefilter进行配置。ps:spring拦截器是在shiro过滤器后执行的,所以不能通过拦截器配置。

@Component
@WebFilter(urlPatterns = "/*", filterName = "baseFilter")
public class BaseFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("Filter初始化中");
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        String headerOrigin = httpServletRequest.getHeader("origin");
        if (headerOrigin != null) {
            httpServletResponse.setHeader("Access-Control-Allow-Origin", headerOrigin);
        }
        httpServletResponse.setHeader("Access-Control-Expose-Headers", "page, per_page,status,total_count");
        httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE,PUT");

        if (httpServletRequest.getMethod().equals("OPTIONS")) {
            httpServletResponse.setStatus(200);
            return;
        }

        //调用该方法后,表示过滤器经过原来的url请求处理方法
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {
        System.out.println("Filter销毁中");
    }
}

Access-Control-Allow-Origin这一项,不可为"*",而是取前端传的主域。

三、全局异常拦截

由于shiro在鉴权不通过时,会直接抛出exception,我们需要封装一层友好的提示返回前端。

@Slf4j
@RestControllerAdvice
@Order(value = Ordered.HIGHEST_PRECEDENCE)
public class GlobalExceptionHandler {

    @ExceptionHandler(value = UnauthorizedException.class)
    public RevertResult handleUnauthorizedException(UnauthorizedException e) {
        log.error("UnauthorizedException", e);
        return RevertResult.failResult(ErrorCodes.NO_ACCESS);
    }

    /**
     * 登录认证异常
     */
    @ExceptionHandler({UnauthenticatedException.class, AuthenticationException.class})
    public RevertResult authenticationException(Exception e) {
        log.error("UnauthenticatedException", e);
        return RevertResult.failResult(ErrorCodes.USER_NO_LOGIN);
    }
}

四、缓存中间件

shiro默认使用sessionId+本地缓存来做登录状态,但分布式部署时sessionId需要存储在统一中间件中,所以配置redis集成shiro

五、permissionstrings不可为null

在doAuthorization时,存入permissionStrings时要过滤掉数据库里permission为空的菜单。

六、超级坑爹缓存名称不一致

存authenticationCache时,传入的对象是userId。存arthorizationCache时,传入的对象是user对象

duagh7
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot + Vue + Shiro 实现前后端分离,写得太好了!
2401_84091580的博客
05-06 676
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
一次springboot集成shiro报错org.apache.shiro.UnavailableSecurityManagerException的
Uncle Geroge的博客
12-21 4854
一次使用shiro报错org.apache.shiro.UnavailableSecurityManagerException的         近期做了个小项目,在项目后台使用shiro来做身份验证、权限管理等。shiro这个框架写的真不错,接入简单,功能还算完善,扩展支持的也还行。但是在使用的过程中发现了一个问题,在ajax请求需要校验用户...
Spring boot 整合 shiro 遇到的问题
最新发布
weixin_43132073的博客
04-18 256
原因是因为版本冲突了,所以将spring boot 的版本 调到 3.2.4;
spring boot shiro指南
Alf的专栏
05-03 2565
遇到的一个问题:ShiroFilterFactoryBean 配置完成后,该filter不起作用。原因:在项目中还定义了一个别的DotDOFilter(该Filter的作用是把Url中xxx.do结尾Url修改成xxx),          在这个DotDOFilter中使用了request.getRequestDispatcher(uri).forward(request, response);...
cas shiro 前后端分离 登录_前后端分离项目shiro的未登录和权限不足
weixin_28750369的博客
12-29 288
/admin/unauth.do=anon/admin/unauthorized.do=anon/admin/logout.do=anon/admin/validate.do=anon/admin/getRandomCode.do=anon/admin/resetPassword.do=anon/layui#zs#*=anon/res#zs#*=anon#zs#*=authc其中loginUrl是...
SpringBoot+Shiro学习(七):Filter过滤器管理
weixin_34258782的博客
12-16 1264
先从我们写的一个自定义Filter来看: public class RoleOrFilter extends AuthorizationFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) t...
shiro整合springboot前后端分离
08-25
"shiro整合springboot前后端分离" shiro是一款流行的Java安全框架,提供了强大的身份验证、授权和会话管理功能。springboot是一款流行的Java框架,用于快速构建web应用程序。将shirospringboot集成,可以实现高效...
SpringBoot + Shiro实现前后端全分离接口安全框架
09-02
SpringBootShiro的结合为开发者提供了一个高效、便捷的实现前后端全分离接口安全的框架。本文将深入探讨如何利用这两个强大的工具构建安全的Web服务。 首先,SpringBoot是Spring框架的一个轻量级版本,它简化了...
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
SpringBoot + Shiro前后端分离权限
08-25
本文将详细介绍如何在SpringBoot项目中利用Shiro实现前后端分离的权限控制。 首先,Shiro是一个轻量级的安全框架,提供了认证、授权、会话管理和安全过滤器等功能。在前后端分离的环境中,Shiro主要负责后端的身份...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
Springboot+Vue+shiro实现前后端分离、权限控制】 在现代Web开发中,前后端分离是一种常见的架构模式,它可以提高开发效率并优化用户体验。Springboot与Vue.js的结合,加上Shiro的安全框架,可以构建出高效、安全...
转:Spring Boot 获取 HttpServletRequest 的方法
热门推荐
PacosonSWJTU的博客
11-23 1万+
转自: Spring Boot 获取 HttpServletRequest 的方法 - 简书本文介绍 Spring Boot 2 获取 HttpServletRequest 的方法。 目录 概述 方法Controller 方法参数属性自动注入手动方法调用借助 @Mo...https://www.jianshu.com/p/b7a7d66c4ef2 本文介绍 Spring Boot 2 获取 HttpServletRequest 的方法。 目录 概述 方法 Controller 方法参数 属性
解决ShiroHttpServletRequest文件上传的问题
wokuailewozihao的专栏
12-11 4144
之前一直使用的spring,现在使用的springboot,出现了一个奇怪的问题,先看问题出处: //这里获取到的request是ShiroHttpServletRequest HttpServletRequest request = ServletUtils.getRequest(); //需要把ShiroHttpServletRequest转成MultipartHttpServletReq...
apache shiro 如何升级_Springboot +Shiro +VUE 前后端分离之权限管理系统
weixin_39771351的博客
11-26 1386
点击上方Java开发联盟,选择“星标公众号”优质文章,第一时间送达简介:前后端分离:要实现前后端分离,需要考虑以下2个问题:1. 项目不再基于session了,如何知道访问者是谁?2. 如何确认访问者的权限?前后端分离,一般都是通过token实现,本项目也是一样;用户登录时,生成token及 token过期时间,token与用户是一一对应关系,调用接口的...
shiro 前后端分离的思路和部分实践
qq_38254467的博客
09-06 5179
前后端分离的优点:1:最大的好处就是前端JS可以做很大部分的数据处理工作,对服务器的压力减小到最小2:后台错误不会直接反映到前台,错误接秒较为友好3:由于后台是很难去探知前台页面的分布情况,而这又是JS的强项,而JS又是无法独立和服务器进行通讯的。所以单单用后台去控制整体页面,又或者只靠JS完成效果,都会难度加大,前后台各尽其职可以最大程度的减少开发难度。 思考:前后端分离我们会遇到哪些问题? ...
shiro框架下的logout说明
abou15871390117的博客
11-15 1万+
在使用shiro管理框架下,在登录拦截时我们可以注销掉如下代码: /* //用户退出 @RequestMapping("/logout") public String logout(HttpSession session)throws Exception{ //session失效 session.invalidate(); //重定向到商品查询页面 return "redirec
java前后端分离项目中使用shiro权限框架遇到的那些
大志的博客
11-20 1714
前言 最近在做一个前后端分离项目。前端使用vue,后端使用的是spring boot,因为需要做权限管理。就选择集成shiro框架。以前都是在传统项目中使用shiro。第一次前后端分离项目中使用shiro。给我带来了很大的困扰。遇到了很多麻烦。所以在此记录。方便以后查阅。也希望能让同样面临同样问题的人能节约点时间。 点总结 1.前后端分离项目没有部署在同一台服务器上,要面临跨域问题。 2.使用token 作为shiro认证标识 3.前后端分离项目中,未登录时用返回json代替重定向。 详解 1. 解
spring boot + shiro 前后端分离做权限控制 bean.setLoginUrl("/auth/unauthentication.do") redirect 跳转登录失效 跨域
liuzhen_333的专栏
07-18 7772
直接配置跳转 起先是在ShiroConfiguration里直接这么写的: bean.setLoginUrl(&quot;/auth/unauthentication.do&quot;); 前端请求时候报错: Failed to load http://192.168.1.38:3333/menu/updatePermission.do: Redirect from 'http://192.168.1...
springboot整合shiro项目启动报错
Jayden的博客
05-09 1069
我的错误是: 在UserRealm中因为注释的时候没有把@Autowired一同注释掉
springboot整合shiro前后端分离
03-16
Spring Boot整合Shiro可以实现前后端分离的安全认证和授权功能。前端通过Ajax请求后端接口,后端接口通过Shiro进行安全认证和授权,返回相应的结果给前端。 具体实现步骤如下: 1. 引入Shiro和Spring Boot相关依赖...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值