spring boot shiro 采坑指南

最新推荐文章于 2024-05-17 07:23:50 发布
最新推荐文章于 2024-05-17 07:23:50 发布
阅读量2.5k 收藏
点赞数 1
分类专栏: Java 文章标签: shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lihe2008125/article/details/80184775
版权

遇到的一个问题:ShiroFilterFactoryBean 配置完成后,该filter不起作用。

原因:在项目中还定义了一个别的DotDOFilter(该Filter的作用是把Url中xxx.do结尾Url修改成xxx),
          在这个DotDOFilter中使用了request.getRequestDispatcher(uri).forward(request, response);

          在这个DotDOFilter之后的ShiroFilter就不起作用了。

注意:Filter可以指定DispatcherType的类型,详见https://blog.csdn.net/xiaokang123456kao/article/details/72885171

处理方式:把ShiroFilter放在Filter前面即可.

@Bean
public FilterRegistrationBean securityFilterChain(AbstractShiroFilter securityFilter) {
    FilterRegistrationBean registration = new FilterRegistrationBean(securityFilter);
    registration.setOrder(Integer.MAX_VALUE-1);//排在DotDOFilter的前面
    registration.setName("shiroFilter");
    //registration.setDispatcherTypes(DispatcherType.REQUEST,DispatcherType.FORWARD);
    registration.setDispatcherTypes(DispatcherType.REQUEST);
    return registration;

}


查看Filter顺序的方法:


参考:

1)filter中的dispatcher标签解析  https://blog.csdn.net/xiaokang123456kao/article/details/72885171

2)Shiro和AJAX完美整合   https://blog.csdn.net/wu560130911/article/details/11819761

3)springboot(十四):springboot整合shiro-登录认证和权限管理  https://blog.csdn.net/ityouknow/article/details/73836159

4)Springboot与shiro整合遇到的坑  https://zhuanlan.zhihu.com/p/29161098

代码:

1)ShiroConfig.java

package com.alf.test.platform.config;

import com.alf.test.platform.shiro.*;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.AbstractShiroFilter;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.apache.shiro.mgt.SecurityManager;
import org.springframework.context.annotation.DependsOn;

import javax.servlet.DispatcherType;
import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
    /**
     * 配置Url过滤器
     * @param securityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
        System.out.println("ShiroConfiguration.shirFilter()");
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();//获取filters
        filters.put("authc", new CustomFormAuthenticationFilter());//注入自定义的FormAuthenticationFilter
        filters.put("logout", new CustomLogoutFilter());//注入自定义的LogoutFilter

        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //拦截器.
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();
        // 配置不会被拦截的链接 顺序判断
        //filterChainDefinitionMap.put("/abctest/test1", "myFilter1");
        filterChainDefinitionMap.put("/static/**", "anon");

        filterChainDefinitionMap.put("/swagger-ui.html", "anon");
        filterChainDefinitionMap.put("/swagger-resources", "anon");
        filterChainDefinitionMap.put("/v2/api-docs", "anon");
        filterChainDefinitionMap.put("/webjars/springfox-swagger-ui/**", "anon");

//        filterChainDefinitionMap.put("/login", "anon");
//        filterChainDefinitionMap.put("/logout", "anon");
        //配置退出 过滤器,其中的具体的退出代码Shiro已经替我们实现了
        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/logout.do", "logout");
        //<!-- 过滤链定义,从上向下顺序执行,一般将/**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;
        //<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
       // filterChainDefinitionMap.put("/**", "myFilter1,authc");
        filterChainDefinitionMap.put("/**", "authc");
        shiroFilterFactoryBean.setLoginUrl("/login");
        // 登录成功后要跳转的链接
        //shiroFilterFactoryBean.setSuccessUrl("/index");

        //未授权界面;
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
//        Map<String, Filter> map = new HashMap<>();
//        map.put("myFilter1", new MyOncePerRequestFilter());
//        shiroFilterFactoryBean.setFilters(map);
        return shiroFilterFactoryBean;
    }

    @Bean
    public FilterRegistrationBean securityFilterChain(AbstractShiroFilter securityFilter) {
        FilterRegistrationBean registration = new FilterRegistrationBean(securityFilter);
        registration.setOrder(Integer.MAX_VALUE-1);//排在ZHandleDotDOFilter的前面
        registration.setName("shiroFilter");
        //registration.setDispatcherTypes(DispatcherType.REQUEST,DispatcherType.FORWARD);
        registration.setDispatcherTypes(DispatcherType.REQUEST);
        return registration;
    }

    /**
     * Shiro生命周期处理器
     * @return
     */
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
        return new LifecycleBeanPostProcessor();
    }
    /**
     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
     * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
     * @return
     */
    @Bean
    @DependsOn({"lifecycleBeanPostProcessor"})
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(){
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager());
        return authorizationAttributeSourceAdvisor;
    }

    /**
     * 注入Realm
     * @return
     */
    @Bean
    public QdasShiroRealm qdasShiroRealm(){
        QdasShiroRealm qdasShiroRealm = new QdasShiroRealm();
        return qdasShiroRealm;
    }


    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
        securityManager.setRealm(qdasShiroRealm());
       securityManager.setSessionManager(configWebSessionManager());
        //securityManager.setCacheManager();
        return securityManager;
    }

    @Bean
    public SessionManager configWebSessionManager(){
        DefaultWebSessionManager manager = new DefaultWebSessionManager();
        //manager.setCacheManager(cacheManager);// 加入缓存管理器
        //manager.setSessionDAO(sessionDao);// 设置SessionDao
        manager.setDeleteInvalidSessions(true);// 删除过期的session
        manager.setGlobalSessionTimeout(1800000);// 设置全局session超时时间
        manager.setSessionValidationSchedulerEnabled(true);// 是否定时检查session
        manager.setSessionIdCookie(simpleCookie());
        return manager;
    }

    /**
     * 注入cookie模板
     * @return
     */
    @Bean
    public SimpleCookie simpleCookie(){
        SimpleCookie simpleCookie = new SimpleCookie("sid-shrio");
        simpleCookie.setMaxAge(-1);
        simpleCookie.setHttpOnly(true);
        return simpleCookie;
    }
}

2)CustomFormAuthenticationFilter.java

package com.alf.test.platform.shiro;

import com.alibaba.fastjson.JSONObject;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.apache.shiro.web.util.WebUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.OutputStream;

/**
 * 自定义FormAuthenticationFilter:
 * 1 修改用户名和密码的获取方式,使用sid
 * 2 定义了登陆的Url
 * 3 修改了登陆成功和失败的处理方式
 */
public class CustomFormAuthenticationFilter extends FormAuthenticationFilter {

    private static final Logger logger = LoggerFactory.getLogger(CustomFormAuthenticationFilter.class);

    public CustomFormAuthenticationFilter(){
        super();
    }

    @Override
    protected String getUsername(ServletRequest request) {
        try {
            JSONObject jsonObject = getJsonObject(request);
            return jsonObject.getString("sid");
        } catch (IOException e) {
            e.printStackTrace();
        }

        return super.getUsername(request);
    }

    public static JSONObject getJsonObject(ServletRequest request) throws IOException{
        String resultStr = "";
        String readLine;
        StringBuffer sb = new StringBuffer();
        BufferedReader responseReader = null;
        OutputStream outputStream = null;
        try {
            responseReader = new BufferedReader(new InputStreamReader(request.getInputStream(), "UTF-8"));
            while ((readLine = responseReader.readLine()) != null) {
                sb.append(readLine).append("\n");
            }
            //responseReader.close();
            resultStr = sb.toString();
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            if (outputStream != null) {
                //outputStream.close();
            }
        }
        return JSONObject.parseObject(resultStr);
    }

    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        // 在这里进行验证码的校验
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpSession session = httpServletRequest.getSession();

        return super.onAccessDenied(request, response);
    }

    /**
     * 目前项目中登陆URL为:/login.do, /login
     * @param request
     * @param response
     * @return
     */
    @Override
    protected boolean isLoginRequest(ServletRequest request, ServletResponse response) {
        String requestURI = getPathWithinApplication(request);
        if ("/login.do".equals(requestURI) || "/login".equals(requestURI)){
            return true;
        }
        return false;
    }

    /**
     * 目前使用XXXsid登陆, 不需要密码
     * @param request
     * @return
     */
    @Override
    protected String getPassword(ServletRequest request) {
        return "";
    }

    /**
     * 登陆成功, 直接执行接下来的流程
     * @param token
     * @param subject
     * @param request
     * @param response
     * @return
     * @throws Exception
     */
    protected boolean onLoginSuccess(AuthenticationToken token, Subject subject,
                                     ServletRequest request, ServletResponse response) throws Exception {
        logger.info("登陆成功!");
        return true;
    }

    /**
     * 重写该方法, 使用Dispatcher, 转发到指定controller
     * @param request
     * @param response
     * @throws IOException
     */
    protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
        try {
            request.getRequestDispatcher("/noLogin").forward(request, response);
        } catch (ServletException e) {
            e.printStackTrace();
        }
    }
}

3)CustomLogoutFilter.java

package com.alf.test.platform.shiro;

import org.apache.shiro.session.SessionException;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authc.LogoutFilter;
import org.apache.shiro.web.util.WebUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.util.Locale;

public class CustomLogoutFilter extends LogoutFilter {
    private static final Logger logger = LoggerFactory.getLogger(CustomLogoutFilter.class);
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {

        Subject subject = getSubject(request, response);

        // Check if POST only logout is enabled
        if (isPostOnlyLogout()) {

            // check if the current request's method is a POST, if not redirect
            if (!WebUtils.toHttp(request).getMethod().toUpperCase(Locale.ENGLISH).equals("POST")) {
                return onLogoutRequestNotAPost(request, response);
            }
        }

        //String redirectUrl = getRedirectUrl(request, response, subject);
        //try/catch added for SHIRO-298:
//        try {
//            subject.logout();
//        } catch (SessionException ise) {
//            logger.debug("Encountered session exception during logout.  This can generally safely be ignored.", ise);
//        }
        //issueRedirect(request, response, redirectUrl);
        return true;
    }

    @Override
    public void afterCompletion(ServletRequest request, ServletResponse response, Exception exception) throws Exception {
        Subject subject = getSubject(request, response);
        try {
            subject.logout();
        } catch (SessionException ise) {
            logger.debug("Encountered session exception during logout.  This can generally safely be ignored.", ise);
        }
    }
}

4)DotDOFilter.java

package com.alf.test.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;
import org.springframework.web.filter.RequestContextFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 处理aaa.do访问aaa的问题
 */
@Configuration
@WebFilter(urlPatterns = "/")
public class DotDOFilter extends RequestContextFilter {
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String uri = request.getRequestURI();
        if (uri.endsWith(".do")) {
            uri = uri.substring(0, uri.length() - 3);
            request.getRequestDispatcher(uri).forward(request, response);
        } else {
            super.doFilterInternal(request, response, filterChain);
        }
    }
}

alf_cee
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记一次springboot集成shiro报错org.apache.shiro.UnavailableSecurityManagerException的
Uncle Geroge的博客
12-21 4863
记一次使用shiro报错org.apache.shiro.UnavailableSecurityManagerException的         近期做了个小项目,在项目后台使用shiro来做身份验证、权限管理等。shiro这个框架写的真不错,接入简单,功能还算完善,扩展支持的也还行。但是在使用的过程中发现了一个问题,在ajax请求需要校验用户...
shiro整合springboot,前后端分离项目踩记录
duagh7的博客
07-15 1048
一、重写过滤器 shiro自己帮我们封装了一系列过滤器,对于常见的一些操作,比如登陆,登出,认证不通过等,shiro会通过我们配置的url,找到相应过滤器,做完操作会跳转到我们配置的跳转url中。但是对于前后端分离项目,前端通过ajax调用接口,获取返回值展示后再跳。比如展示“暂无权限”等提示语,友好一些。所以要对shiro已有的过滤器进行继承重写。 登出过滤器: public class...
SpringBoot整合Shiro(Java安全框架)案例(含源码)
最新发布
2401_84264583的博客
05-17 759
Autowired/**@Description 权限配置类*/@Override//获取登录用户名//查询用户名称//添加角色和权限//添加角色//添加权限/**@Description 认证配置类*/@Override//获取用户信息//这里返回后会报出对应异常} else {//这里验证authenticationToken和simpleAuthenticationInfo的信息。
Spring 整合 Shiro 的过程中出现的问题(一)
FatalFlower的博客
01-29 1379
Spring 整合 Shiro 的过程中出现的问题(一) Spring 版本:由 Spring Boot 整合,版本为 2.6.2 Shiro 版本:1.8.0 问题描述 当通过自定义 ShiroFilterChainDefinition Bean来过滤相关的请求时,定义的配置类内容如下所示: package org.xhliu.demo.config; import org.apache.shiro.spring.config.ShiroAnnotationProcessorConfiguration
shirofilterfactorybean 无法拦截
weixin_35754962的博客
02-13 479
ShiroFilterFactoryBean 无法拦截的原因可能有很多,下面是一些常见的原因: Shiro 配置文件错误:确保您的 Shiro 配置文件是正确的,特别是 URL 拦截规则。 Shiro Bean 未正确配置:确保 ShiroFilterFactoryBean 和其他相关 Bean 都已正确配置。 无授权:确保您试图访问的资源需要授权,并且已正确配置了授权规则。 重复的 UR...
配置ShiroFilterFactoryBean过滤器数量时太多不生效的问题
weixin_42127766的博客
06-15 1237
ShiroFilterFactoryBean、过滤器数量、失效、12
基于springboot的shiro完整项目案例
03-10
在Java后端开发中,Spring Boot与Apache Shiro的结合使用,能够提供一套高效、灵活的身份验证和授权解决方案。本项目案例旨在为开发者提供一个完整的Shiro实现,涵盖了自定义过滤器、Realm以及SecurityManager的配置...
bootshiro-master.zip
03-10
【标题】"bootshiro-master.zip" 是一个包含SpringBoot和Sureness框架的无状态认证权限管理系统源码压缩包。这个系统设计用于处理REST API的权限控制,为开发者提供了一个高效且灵活的安全管理解决方案。 ...
SpringBoot-Shiro-Vue:提供一套基于Spring Boot-Shiro-Vue的权限管理思路。
02-06
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理指南。 前一级都对准控制,做到按钮/接口等级的权限 演示 admin / 123456管理员身份登录,可以添加用户,角色。 角色可以分配权限 控制菜单是否...
springboot整合shiro实现认证和授权项目源代码
07-16
本项目结合Spring BootShiro,旨在提供一个实现用户认证和授权的示例。 1. **Spring Boot**: - Spring Boot基于Spring框架,通过默认配置、starter依赖和自动配置简化了Spring应用的构建。 - 应用启动器...
springboot+springshiro实现简单的登陆注册模块
07-16
Spring Boot中,可以使用Spring Security或Spring Shiro来实现这些功能。Spring Shiro提供了以下关键组件: - **Subject**:代表当前的“安全主体”(即用户)。 - **Realm**:是Shiro与应用程序数据源交互的接口...
spring boot配置shiro自定义shiro filter匹配异常
qq_46416934的博客
04-22 916
原文地址:http://www.hillfly.com/2017/179.html 最近忙着研究在 Springboot 上使用 Shiro 的问题。刚好就遇到个诡异事,百度 Google 也没找到啥有价值的信息,几番周折自己解决了,这里稍微记录下。 自定义 FilterTOC Shiro 支持自定义 Filter 大家都知道,也经常用,这里我也用到了一个自定义 Filter,主要用于验证接口调用的 AccessToken 是否有效。 // AccessTokenFilter.java public cl
Shiro 过滤器 anno 配置未生效,请求仍被拦截
weixin_40559666的博客
06-01 1225
项目Springboot +shiro +Gateway。
SpringBoot配置Shiro时@RequiresRoles不起作用
一生编程,快乐编程
03-22 327
在SpringBoot中配置Shiro,结果@RequiresRoles、@RequiresPermissions等注解都无效 解决方法: 在ShiroConfiguration中注入开启支持aop、代理的bean。具体如下: @Configuration public class ShiroConfiguration { /** * 开启shiro aop注解支持.否则...
shiro1.6升级到1.7后的问题处理
热门推荐
qq_35598240的博客
11-29 1万+
由于shiro1.6出现了安全漏洞,需要进行1.7的升级 问题描述 进行升级后有个url突然访问不了,HTTP返回了400,Invaild Request。 接收的URL为 xxx/detail/{name}。 前端传递的地址为 xxx%2fdetail%2f%e6%88%bf%e4%ba%a7(带有中文,已用URL编码) 思路 看到HTTP响应400,我在想是前端参数出了什么问题吗?还是后台接收参数改动了吗? 看了git记录,这边没人改动,那这就很灵性了,只能通过调试找出哪个地方访问了400了,我
FilterRegistrationBean.addUrlPatterns 过滤器不生效可能原因分析
张小凡
07-01 2524
项目使用 FilterRegistrationBean 创建 Filter Bean 过滤器的时候,发现请求并没有被拦截过滤,完全没有作用,经过分析后发现...
shiro过滤器失效问题研究
timy07的博客
12-17 3420
问题背景 项目使用了shiro 过滤器拦截请求,做一些限流,鉴权,白名单限制的事情,可是最近在上线一个新功能时,新增了一个拦截路径,上线后,发现部分设置了拦截的路径失效,导致项目回滚 问题定位 之前在本地开发环境出现过类似问题,怀疑是正则表达式覆盖或者是拦截器排序规则导致,可是查了一堆网上资料,均没有类似情况,加之是本地环境问题,也就草草了之了。今天在线上环境碰到就不得不去查明原因,彻底解决。 这...
与请求分派协作-20
shengpiangui9845的博客
09-06 330
dispatcher
SPRING 集成 shiro 启动报错org.springframework.beans.factor ....... org.springframework.jdbc.BadSqlGrammar
yanuo_peisi的博客
03-13 400
报错提示: org.springframework.beans.factory.BeanCreationException: Error creating bean with name ‘shiroFilter’ defined in class path resource [applicationContext-shiro.xml]: Cannot resolve reference to be...
"Spring Boot整合Shiro搭建权限管理系统教学指南
Spring Boot整合Shiro搭建权限管理系统是一项非常重要的教学内容,它涉及了在现代Web应用程序开发中必不可少的权限管理功能。本教学提纲以"Spring Boot整合Shiro搭建权限管理系统"为主题,通过详细的步骤和示例,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值