Shiro拦截ajax请求

最新推荐文章于 2024-07-26 12:28:02 发布
最新推荐文章于 2024-07-26 12:28:02 发布
阅读量325 收藏
点赞数
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67403188/article/details/124344226
版权

今天又发现了一个新的问题,Shiro的拦截器不能够拦截ajax请求,需要自定义一个拦截器来拦截ajax请求。

package com.ssi.domains.secutity;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.servlet.AdviceFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * Created by jay.zhou on 2018/3/27.
 * 用于拦截ajax请求
 * 默认的Shiro配置文件中拦截规则对发送的ajax请求无效
 * 因此必须自己做一个Shiro的过滤器
 * 这样的话,ajax请求也会被Shiro拦截到
 * 本类可以预见到未来将会被复用多次
 * see:http://jinnianshilongnian.iteye.com/blog/2025656
 */
public final class AjaxFilter extends AdviceFilter {
    private static final Logger LOGGER = LoggerFactory.getLogger(AjaxFilter.class);
    /**
     * 前处理,这里用于判断这此请求是不是ajax请求
     *
     */
    @Override
    protected boolean preHandle(ServletRequest req, ServletResponse resp) 
throws Exception {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)resp;
        //获取请求头中的信息,ajax请求最大的特点就是请求头中多了 X-Requested-With 参数
        String requestType = request.getHeader("X-Requested-With");
        if("XMLHttpRequest".equals(requestType)){
            LOGGER.info("本次请求是AJAX请求!");
            //现在的用途就是判断当前用户是否被认证
            //先获取到由Web容器管理的subject对象
            Subject subject = SecurityUtils.getSubject();
            //判断是否已经认证
            boolean isAuthc = subject.isAuthenticated();
            if(!isAuthc){
                LOGGER.info("当前账户使用Shiro认证失败!");
                //如果当前账户没有被认证,本次请求被驳回,ajax进入error的function中进行重定向到登录界面。
                return false;
            }
            return true;
        }else{
            //如果请求类型不是ajax,那么此时requestType为null
            LOGGER.info("非AJAX请求!");
        }
        //默认返回的是true,将本次请求继续执行下去
        return super.preHandle(request, response);
    }

    /**
     * 后处理,类似于AOP中的后置返回增强
     * 在拦截器链执行完成后执行
     * 一般用于记录时间。
     */
    @Override
    protected void postHandle(ServletRequest request, ServletResponse response) 
throws Exception {
        super.postHandle(request, response);
    }

    /**
     * 最终处理,一定会执行的,一般用于释放资源。
     * 先留着
     */
    @Override
    public void afterCompletion(ServletRequest request, ServletResponse response, Exception exception) 
throws Exception {
        super.afterCompletion(request, response, exception);
    }
}

然后在配置文件中配置上我们的拦截器即可。

[filters]
#默认的Shiro配置,对发送的ajax请求无效,因此需要自己做一个拦截器
myAjaxFilter=com.ssi.domains.secutity.AjaxFilter

[urls]
#评论模块的操作需要登录
/actions/comment/**=myAjaxFilter,perms[comment]

希望能帮助你正在解决Shiro拦截不了ajax请求提供一个思路。

在网上好多同事在拦截器中返回了Json数据,原因是ajax请求里面的request和response对象是不支持转发或者重定向的。

我这里没有直接返回Json数据,直接拦截住这个请求,没有返回success属性,那么ajax请求将会进入error的function中,执行重定向到登录页面的操作。

如何判断一个请求是ajax请求。编写像下面的代码,从请求头中获取此参数信息。如果这个requestType的值是:XMLHttpRequest ,那么这个请求是ajax请求。

String requestType = request.getHeader("X-Requset-With");

上图为证明,本图右下角。

按浏览器F12,选中network,进入审查元素中,我们可以发现发送的accountLogin请求,是ajax请求。

在Request Headers 请求头中的相关信息中, X-Request-With 的值是 XMLHttpRequest。

m0_67403188
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro安全框架——【快速入门、登录拦截、用户认证、请求授权】
2401_83817843的博客
04-18 618
做任何事情都要用心,要非常关注细节。看起来不起眼的、繁琐的工作做透了会有意想不到的价值。当然要想成为一个技术大牛也需要一定的思想格局,思想决定未来你要往哪个方向去走, 建议多看一些人生规划方面的书籍,多学习名人的思想格局,未来你的路会走的更远。更多的技术点思维导图我已经做了一个整理,涵盖了当下互联网最流行99%的技术点,在这里我将这份导图分享出来,以及为金九银十准备的一整套面试体系,上到集合,下到分布式微服务《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》
ShiroAJAX完美整合
09-21
4. **Shiro 拦截器**:编写 Shiro 拦截器,处理 AJAX 请求,根据请求头信息进行身份验证和授权判断。 5. **错误处理**:当 AJAX 请求Shiro 拦截器拒绝时,返回相应的错误信息,前端可以根据这些信息展示错误提示...
JAVA微服务项目中使用shiro全局拦截_shiro在微服务架构中如何使用
2401_84968582的博客
05-14 359
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
shiro拦截ajax请求返回json,Spring Boot+Shiro拦截登陆返回Json结果(前后端分离)
weixin_39854951的博客
08-05 585
1、自定义访问控制拦截器,继承AccessControlFilter,实现以下三个方法。abstract boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception;boolean onAccessDenied(ServletReques...
shiro ajax请求拦截器,shiro 拦截器实现session过期拦截ajax请求的处理
weixin_32666933的博客
08-05 385
拦截器代码:package com.xlqh.outlook.shirofilter;import java.io.IOException;import org.apache.shiro.web.filter.PathMatchingFilter;import com.xlqh.outlook.MyShiroConstants.MyShiroConstants;import com.xlqh.ou...
使用shiro 拦截ajax请求判断 登录状态是否失效
醋拌柠檬
03-11 379
使用shiro 拦截ajax请求判断 登录状态是否失效 自定义拦截器 继承 UserFilter 重写 onAccessDenied 方法, @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { HttpServletRequest req = (HttpServletRequest) request;
shiro拦截ajax请求时认证失败自定义返回数据
07-16 643
自定义shiro实现识别ajax请求的拒绝返回json,还是普通返回页面 在写后端的时候加入了Shiro做登录认证和会话超时管理,前端页面访问重定向没有问题,但是Ajax访问接口时,如果会话超时,则只会返回一个页面,但是前端页面无法跳转。所以需要返回状态为403的Json数据,然后让前端去跳转 ShiroConfig <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问--> filterChainDefinitionMap.
Spring Boot 整合Shiro拦截Ajax请求
C.
03-20 6574
上一篇文章:Spring Boot 整合Shiro实现登陆认证和权限控制,我们对shiro进行了整合。这一次我们具体来讲一下shiro中的拦截器Shiro在处理非法请求比如没有通过登录认证的请求,他会直接帮你跳转到登录页面,或者访问没有权限的页面他会给你返回403页面。然而在我的项目中,会使用ajax请求,然而却在认证失败或者没有权限的时候不能返回对应的信息。 接下来我们要为我们的项目中...
shiro ajax请求拦截器,SpringBoot基于Shiro处理ajax请求代码实例
weixin_35129495的博客
08-05 159
写一个Shiro的过滤器import cn.erika.demo.common.model.vo.Message;import com.alibaba.fastjson.JSON;import org.apache.shiro.SecurityUtils;import org.apache.shiro.subject.Subject;import org.apache.shiro.web.serv...
shiro ajax请求拦截器,shiro ajax返回登录成功
weixin_36245958的博客
08-05 254
shiro默认在我们登录成功后会重定向到用户首页,有些时候,登录是使用ajax完成,登录成功后,会返回给我们登录成功的页面,尽管在ajax中页面不跳转我们可以手动跳转,但是还是有些不爽希望能返回json登录成功提示.在网上收集了一些资料,有些是重写onAccessDenied实现.有些是其他方式.本篇是重写UserFilter中的redirectToLogin实现的.具体思想是我们在页面进行判断是...
Shiro拦截Ajax请求,认证失败重定向 dao到登录页面 (亲测有效)
m0_67403272的博客
04-22 831
由于 shiro 能 自动判断登录并返回登录登录页面,自动跳转到登录页面,返回login 页面 ,但是遇到ajax请求的 方法, 程序不会自动跳转到登录页面,所以需要 添加重定向方法 自动跳转到重定向 登录页面 1.自定义拦截器LoginFormFilter拦截器,继承FormAuthenticationFilter类,在需要登录而未登录的请求都会执行onAccessDenied请求。 import java.io.IOException; import javax.servlet.ServletRequ
自定义shiro实现识别ajax请求的拒绝返回json,还是普通返回页面
04-25
Shiro 提供了 Filter(过滤器)机制,通过配置可以在 Web 应用的入口处拦截请求,进行权限验证。默认情况下,当用户无权访问某个资源时,Shiro 会重定向到一个预设的错误页面。但如果我们希望对 AJAX 请求做出特殊...
shiro+SSM实现安全登录的项目
06-19
2. Shiro的认证过滤器拦截请求,通过Realm验证用户信息。 3. 验证成功后,Shiro创建Subject并设置Session信息,将用户对象保存在Session中。 4. 用户获得认证后,后续请求会根据Shiro的权限过滤器进行权限检查。 **...
springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_
10-02
前端页面通常会使用Ajax后端进行交互,发送登录请求,获取用户信息,以及更新角色和权限设置。 总结来说,"springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_"项目是一个使用Spring Boot作为基础框架,结合...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
通信方式通常采用API接口,后端通过HTTP RESTful API提供数据,前端通过Ajax请求获取并渲染。在Springboot中,Controller层只需返回JSON数据,不再涉及视图模板。 ### 二、后端——Springboot Springboot简化了Java...
golang 接口
m0_70982551的博客
07-24 952
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
最新发布
a1058926697的博客
07-26 515
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 646
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
springboot基于Shiro拦截ajax请求
05-09
在Spring Boot中使用Shiro进行拦截Ajax请求,可以使用Shiro提供的Filter来实现。 首先,需要创建一个自定义的ShiroFilter,并在Spring Boot的配置文件中进行配置: ```java @Configuration public class Shiro...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值