SpringBoot整合Shiro前后端分离在Https环境下登陆失效的问题

最新推荐文章于 2024-08-01 15:05:06 发布
最新推荐文章于 2024-08-01 15:05:06 发布
阅读量1.1k 收藏 2
点赞数 2
分类专栏: shiro框架 springboot shiro 文章标签: servlet java 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq826303461/article/details/126173125
版权
springboot 同时被 3 个专栏收录
6 篇文章 0 订阅
订阅专栏
shiro
3 篇文章 0 订阅
订阅专栏
shiro框架
2 篇文章 0 订阅
订阅专栏

最近在项目上线的时候遇到了个问题,就是SpringBoot整合Shiro前后端分离在Https环境下登陆失效的问题。返回的结果是302。

错误的原因是,在https的环境内,限制http,而在Shiro框架内置的用户登陆校验,在校验失败后会保存当前请求,然后重定向到登陆页面(因为是前后端分离,我这里跳转的登录页直接就是401的JSON,通知前端进行跳转)。Shiro内部重定向的请求是http,所以请求异常。具体源码在下面:

FormAuthenticationFilter:

AccessControlFilter:

具体是不是这个兼容HTTP1.0的默认值的问题,还不好说,因为重写这个方法改为false也没有效果。

 所以,下面提供了两个解决方案:

这里因为是前后端分离,所以原本就有一个解决涉及到预请求OPTIONS没有权限影响到跨域的过滤器。所以就直接在这个过滤器上进行改动了,如果没有的,原本没有过滤器的可以添加一个。

通过重写onAccessDenied方法。

解决方案1:直接抛出异常,让我们全局的异常捕捉,返回登陆提示。

解决方案2:直接返回登陆提示。不进行后续的转发操作。

public class CorsAuthenticationFilter extends FormAuthenticationFilter {

    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        boolean allowed = super.isAccessAllowed(request, response, mappedValue);
        // 提示OPTIONS预检时,后端需要设置的两个常用自定义头
        HttpServletResponse httpServletResponse = (HttpServletResponse)response;
        httpServletResponse.setHeader("Access-Control-Allow-Headers", "Content-Type,X-Requested-With");
        if (!allowed) {
            // 判断请求是否是options请求
            String method = WebUtils.toHttp(request).getMethod();
            if (StringUtils.equalsIgnoreCase("OPTIONS", method)) {
                return true;
            }
        }
        return allowed;
    }

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                return executeLogin(request, response);
            } else {
                return true;
            }
        } else {
            //解决方案1:直接抛出异常,异常会被捕获处理
            //throw new UnauthenticatedException();
            //解决方案2:在这里进行返回,不抛出异常,也不进行跳转
            response.setCharacterEncoding("UTF-8");
            response.setContentType("application/json");
            //获取会话
            Subject subject = getSubject(request, response);
            if (subject.getPrincipal() == null) {
                //写回给客户端
                PrintWriter out = response.getWriter();
                out.write(JSONUtil.objectToJson(RestStatus.createByError(ResultCodeEnum.INVALID_USER)));
                //刷新和关闭输出流
                out.flush();
                out.close();
            }
            return false;
        }
    }
}

然后配置下这个过滤器,这个过滤器,只作用于需要登陆的接口。

    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager")         DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 修改调整的登录页面
        shiroFilterFactoryBean.setLoginUrl("/page/401");
        // 登录成功后要跳转的链接
        shiroFilterFactoryBean.setSuccessUrl("/page/index");
        // 未授权提示页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/page/403");
        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
        filters.put("shiroCorsFilter", new CorsAuthenticationFilter());
        //拦截器
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        //带api路由的所有请求全部要求登陆
        filterChainDefinitionMap.put("/api/**", "shiroCorsFilter");
        //其他的所有请求放行
        filterChainDefinitionMap.put("/**", "anon");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

这样就解决了问题。如果能给诸位带来帮助,麻烦点个赞。

月下星望
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springboot+shiro+vue前后端分离导致用户登录失效问题
weixin_41141000的博客
04-13 1332
springboot+shiro+vue前后端分离导致用户登录失效问题前端后分离、导致用户登录token失效 前端后分离、导致用户登录token失效 @Configuration public class CrossDomain extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry ...
一看就懂!Springboot +Shiro +VUE 前后端分离式权限管理系统
热门推荐
大誌的博客
04-15 6万+
前段日子写过一篇关于SpringBoot+Shiro的简单整合的例子,那个例子并不适用于我们目前的前后端分离开发的趋势。我之前写过一个项目也是用到了Shiro前后端分离,某度了许久也没找到解决方案,什么去掉shiroFilter.setLoginUrl();也阻止不了讨人厌的login.jsp的出现。直到我看到了renren-fast的源码...废话不多说,让我们来看看如何实现吧 前后端分离...
springBoot整合shiro前后端分离模式
qq_1641486826的博客
11-26 812
springBoot框架下我们使用shiro权限登录验证,首先要建好五张表: 1:user表 CREATE TABLE `user` ( `id` int(16) NOT NULL AUTO_INCREMENT COMMENT '用户ID', `basic_info_id` int(11) NOT NULL COMMENT '企业外键', `user_account` varcha...
springboot+shiro前后端分离实现!!
weixin_42375707的博客
12-13 7145
本文章参考两位大佬写的博客完成的 https://blog.csdn.net/weixin_42236404/article/details/89319359 https://blog.csdn.net/qq_42109746/article/details/97102231 1、前言 1.1、唠嗑部分 学习shiro之前,建议先学习springsecurity,将两个框架进行对比的方式学习,会有更加深的印象。我之前写过一篇关于springsecurity的博客,你可以参考参考,个人感觉挺详细.
springboot集成shiro 前后端分离 统一处理shiro异常
weixin_30929011的博客
07-05 850
前后端分离的情况下,shiro一些权限异常处理会返回401之类的结果,这种结果不好统一管理。我们希望的结果是统一管理,所有情况都受我们控制 就算权限验证失败,我们也希望返回200,并且返回我们定义的信息之类的。 默认的拦截器情况 public enum DefaultFilter { anon(AnonymousFilter.class), authc(F...
SpringBoot+Shiro+Jwt+Vue+elementUI实现前后端分离单体系统Demo
蚂蚁舞
04-26 1827
记录一下使用SpringBoot集成Shiro框架和Jwt框架实现前后端分离Web项目的过程,后端使用SpringBoot整合Shiro+Jwt(auth0),前端使用vue+elementUI框架,前后端的交互使用的是jwt的token,shiro的会话关闭,后端只需要使用Shiro框架根据前端传来的jwt的token信息授权访问相应资源。
springboot+shiro前后端分离返回json
chenyidong521的博客
02-24 1289
首先处理由于前后端分离导致的session不通问题 要在前段登录之后存储登录成功的token,之后每次请求在head中传递此token,然后后台添加如下类 /** * 创建人: chenyidong * 创建时间: 2020/1/3 下午12:22 * 说明: fangchan:自定义session生成方式 */ public class MySessionManager extends ...
Springboot +Shiro +VUE 前后端分离式权限管理系统
y19910825的博客
01-18 2234
Springboot +Shiro +VUE 前后端分离式权限管理系统
前后端分离项目springBoot +shiro权限控制+redis
weixin_44060936的博客
08-21 1245
前后端分离项目springBoot +shiro权限控制+redis 本次使用shiro主要实现以下几个功能 ​ 1.用户没有登录无法访问任何为权限控制的接口 ​ 2.用户登录后只能访问该用户所拥有的权限,实现了对后端接口颗粒级的权限控制 ​ 3.两个用户登录同一个账号时,后登录的用户会将先登录的用户挤掉 一.数据库设计 用户表 user 角色表role 用户角色中间表user_r...
SpringBoot + Shiro前后端分离权限
08-25
SpringBootShiro的结合可以很好地处理权限管理,尤其是在前后端分离的场景下。本文将详细介绍如何在SpringBoot项目中利用Shiro实现前后端分离的权限控制。 首先,Shiro是一个轻量级的安全框架,提供了认证、授权...
shiro整合springboot前后端分离
08-25
"shiro整合springboot前后端分离" shiro是一款流行的Java安全框架,提供了强大的身份验证、授权和会话管理功能。springboot是一款流行的Java框架,用于快速构建web应用程序。将shirospringboot集成,可以实现高效...
SpringBoot + Shiro实现前后端全分离接口安全框架
09-02
在实现前后端全分离的场景下,前端和后端通过JSON交换数据,安全策略通常由后端实现。以下是SpringBootShiro结合实现接口安全的关键步骤: 1. **配置Shiro**:在SpringBoot应用中引入Shiro依赖,然后配置Shiro ...
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
Springboot+Vue+shiro实现前后端分离、权限控制】 在现代Web开发中,前后端分离是一种常见的架构模式,它可以提高开发效率并优化用户体验。Springboot与Vue.js的结合,加上Shiro的安全框架,可以构建出高效、安全...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 594
1.导入hutool的maven依赖。2.复制一下代码执行。
深入理解Java注解
最新发布
weixin_55745942的博客
08-01 553
Java注解是用来描述程序元素(如类、方法、变量等)的一种机制。它们可以提供关于程序的补充信息,帮助编译器、框架或其他工具更好地理解和处理代码。注解通常以符号开头,后跟注解名称和可能的参数。要创建自定义注解,需要使用@interface关键字定义一个接口,并在接口中声明注解的属性。这个注解名为,可以被用来标记方法。它有一个名为value的属性,具有默认值"default"。
社区养老服务小程序的设计
Karen198的博客
07-31 510
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
JavaSE面向对象进阶
qq_45348840的博客
07-30 474
需求:在实际开发中,经常会遇到一些数组使用的工具类;请按照如下要求编写一个数组的工具类:ArrayUtil提供一个工具类方法printArr,用于返回整数数组的内容。返回的字符串格式如:[10,20,50,34,100 ](只考虑整数数组,且只考虑一维数组)提供这样一个工具方法getAerage,用于返回平均分。(只考虑浮点型数组,且只考虑一维数组)定义一个测试类TestDemo,调用该工具类的工具方法,并返回结果。// 私有化构造方法// 定义静态方法,方便调用。i++) {
springboot整合shiro前后端分离
03-16
Spring Boot整合Shiro可以实现前后端分离的安全认证和授权功能。前端通过Ajax请求后端接口,后端接口通过Shiro进行安全认证和授权,返回相应的结果给前端。 具体实现步骤如下: 1. 引入Shiro和Spring Boot相关依赖...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值