shiro自定义未登录和session超时返回信息

最新推荐文章于 2023-10-27 09:56:47 发布
最新推荐文章于 2023-10-27 09:56:47 发布
阅读量993 收藏 3
点赞数 3
文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21223653/article/details/113109965
版权

之前项目用前后端分离,结合shiro进行了认证和授权以及数据权限;
后来发现session超时,前端未能接收到相应超时信息;
经查看发现,之前类继承的是AccessControlFilter ,然后改为继承FormAuthenticationFilter:
直接上代码:

import com.tzwy.mcsp.response.BaseResponse;
import com.tzwy.mcsp.response.StatusCode;
import net.sf.json.JSONObject;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.session.ExpiredSessionException;
import org.apache.shiro.session.InvalidSessionException;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.*;
import org.apache.shiro.session.mgt.eis.SessionDAO;
import org.apache.shiro.web.filter.AccessControlFilter;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.Serializable;
import java.util.Collection;

/**
 * Filter that allows access to resources if the accessor is a known user, which is defined as
 * having a known principal.  This means that any user who is authenticated or remembered via a
 * 'remember me' feature will be allowed access from this filter.
 * <p/>
 * If the accessor is not a known user, then they will be redirected to the {@link #setLoginUrl(String) loginUrl}</p>
 *
 * @since 0.9
 */
public class GunsUserFilter extends FormAuthenticationFilter {

    /**
     * 如果isAccessAllowed返回false 则执行onAccessDenied
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if (request instanceof HttpServletRequest) {
            if (((HttpServletRequest) request).getMethod().toUpperCase().equals("OPTIONS")) {
                return true;
            }
        }
        return super.isAccessAllowed(request, response, mappedValue);
    }
    /**
     * 在访问controller前判断是否登录,返回json,不进行重定向。
     *
     * @param request
     * @param response
     * @return true-继续往下执行,false-该filter过滤器已经处理,不继续执行其他过滤器
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        //这里是个坑,如果不设置的接受的访问源,那么前端都会报跨域错误,因为这里还没到corsConfig里面
        httpServletResponse.setHeader("Access-Control-Allow-Origin", ((HttpServletRequest) request).getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json");
        BaseResponse res=new BaseResponse(StatusCode.Success);
        res.setMsg("登录超时");
        res.setCode(302);
        httpServletResponse.getWriter().write(JSONObject.fromObject(res).toString());
        return false;
    }

}

然后将这个类加入到shiro的过滤器中:

  //过滤链配置
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilter=new ShiroFilterFactoryBean();
        shiroFilter.setSecurityManager(securityManager);

        //设定用户没有登录认证时的跳转链接、没有授权时的跳转链接
        //shiroFilter.setLoginUrl("/login.html");
        shiroFilter.setUnauthorizedUrl("/");

        //过滤器链配置
        Map<String, String> filterMap = new LinkedHashMap();
        filterMap.put("/swagger/**", "anon");
        filterMap.put("/swagger-ui.html", "anon");
        filterMap.put("/webjars/**", "anon");
        filterMap.put("/swagger-resources/**", "anon");

        filterMap.put("/statics/**", "anon");
        filterMap.put("/login.html", "anon");
        filterMap.put("/report.html", "anon");
        filterMap.put("/sys/login", "anon");
        filterMap.put("/sys/loginOld", "anon");
        filterMap.put("/sys/download/fileDownLoad", "anon");
//        filterMap.put("/sys/test/testMsg", "anon");
        filterMap.put("/favicon.ico", "anon");
        filterMap.put("/captcha.jpg", "anon");
        filterMap.put("/**","authc");
//        shiroFilter.setFilterChainDefinitionMap(filterMap);
        //自定义
        filterMap.put("/**","sessionCheck");
        shiroFilter.setFilterChainDefinitionMap(filterMap);
        Map<String, Filter> filterWonMap = new LinkedHashMap<>();
        filterWonMap.put("sessionCheck",new GunsUserFilter());
        shiroFilter.setFilters(filterWonMap);

        return shiroFilter;
    }

测试:
在这里插入图片描述
如此解决;

我吃西红柿11
关注
webix+springmvc session超时跳转登录页面
11-30
- 在`onAfterAjax`回调中,检查响应的状态码和响应体,如果符合会话过期的条件(如状态码为401或403,或者服务器返回特定的错误信息),则使用`window.location.href`来改变当前页面的URL,将其指向登录页面。...
shiro-redis异常解决
qq_31986651的博客
11-29 944
1.异常信息 org.apache.shiro.session.ExpiredSessionException: Session with id [4608cc87-4f8f-4617-8e9c-6a31f5e68efb] has expired. Last access time: 19-11-29 上午9:32. Current time: 19-11-29 上午9:32. Sessi...
@Async方法调用期间 HttpSession constructor argument cannot be null 或者是 Session already invalidated
旋转丶木马的博客
05-06 969
项目场景: 公司系统一个大方法内使用了 @Async注解进行异步调用,发布生产后第三天出现问题。 问题描述 系统将一个数据处理的方法进行了异步调用,测试环境测试均为正常,在发布正常的第二天出现了系统异常,观察一天后发现此异常在方法调用时必然出现。 出现问题的代码如下: String userName= UserUtil.getCurrentUser().getUsername(); 两天抛出的异常如下: org.apache.shiro.session.InvalidSessionException
org.apache.shiro.session.ExpiredSessionException: Session with id异常排查
TomCosin的博客
03-15 2606
org.apache.shiro.session.ExpiredSessionException: Session with id异常排查 系统运行过程中报出异常 Caused by: org.apache.shiro.session.ExpiredSessionException: Session with id [aa21ba8b-7f3a-4236-a2f8-3b440524f55e] has expired. Last access time: 3/14/22 2:55 PM. Current t
前台和后台是两个不同的项目可以吗_前后端分离项目shiro登录和权限不足...
weixin_39623271的博客
12-04 453
在前后端分离的项目中、前端代码和后端代码几乎不在同一个目录下,甚至不是在一台服务器上;我这个项目部署在linux、同一台服务器,不同目录下;所有的页面跳转由前台路由,后台只是提供返回的数据;干货↓ /admin/unauth.do=anon /admin/unauthorized.do=anon /admin/logout.do=anon /admin/validate.do=...
自定义过滤器配置 Shiro 认证失败返回 json 数据
最新发布
e_watermelons的博客
10-27 318
`Shiro`权限框架认证失败默认是重定向页面的,这对于前后端分离的项目及其不友好,可能会造成请求404的问题。现在我们自定义过滤器实现认证失败返回json数据。
shiro+redis session共享实现
02-15
- Session过期:设置合理的session超时时间,避免内存泄漏。同时,Redis可以设置过期策略,自动清理过期的session。 - 负载均衡:在多服务器环境中,确保负载均衡器能够正确处理session粘滞性,使用户请求始终路由...
Shiro安全登录认证、权限授权封装模块代码
01-23
你可以配置 Shiro 来存储和管理 session 数据,包括 session 的生命周期和超时处理。 7. **缓存(Caching)** 为了提高性能,Shiro 允许将认证和授权信息缓存起来。可以配置 EhCache 或 Redis 作为缓存后端,减少...
Shiro 身份验证、授权、密码和会话管理
05-07
Shiro 提供了缓存机制,可以缓存用户认证和授权信息,提高性能。它支持 EhCache、Hazelcast 等常见的缓存框架,可以根据需要配置。 7. **测试支持**: Shiro 为单元测试和集成测试提供了便捷的 API,可以在测试...
shiro登录拦截校验demo
07-19
"shiro登录拦截校验demo"是一个实际应用Shiro框架进行登录验证和权限拦截的示例项目。 在该demo中,我们可以学习到以下几个核心知识点: 1. **Shiro的基本概念**: - **身份验证(Authentication)**:确认用户...
shiro自定义登录返回状态, 认证失败返回json
马句
01-14 2717
Shiro框架默认认证失败后会返回登录页面,在前后端分离项目中,需要返回JSON数据,以便前端或者app端解析处理。 如果访问的地址没有登陆,会根据配置文件内定义返回登陆页 shiroFilterFactoryBean.setLoginUrl("/login"); 实现方式: 1. 建一个过滤器ShiroLoginFilter,内容如下: import com.alibaba....
Shiro:登录时请求跳转问题
a1336292215的博客
09-05 2894
问题:前后端分离项目,在用Shiro做权限控制时,登录状态发送的请求都会重定向,导致前端无法捕捉重定向后的消息。如何不重定向在原来的请求返回信息提示登录,前端根据信息调到登录页? 首先,看一下Shiro是在哪里做的重定向。下面是Shiro的部分源码 package org.apache.shiro.web.filter.authc; public class FormA...
Shiro
qq_51691366的博客
07-03 177
springboot集成shiro
Springboot+shrio+webscoket实现session失效时后台推送通知前台(简单的整合)
这个柠檬有丶酸的博客
08-02 1254
在我们正常项目中session是有存在时间的,这就使的我们在session失效时去通知客户重新去登录! Shrio框架配置了失效跳转路径但是存在问题就是不能推送通知客户端(可能是我没配对),但是他是可以配合SessionListener和webscoket实现推送通知! 第一步Maven <!--WebSocket的支持--> <dependency> <groupId>org.springframework.boot</g
登录shiro控制重定向引起的问题
FinelyYang的专栏
12-07 1431
shiro集成jwt后会对前端传过来的token进行校验,如果token过期,按照以前的逻辑是后端进行了重定向,开发环境是没有问题的,但是部署在生产环境使用了nginx路由后,发生了请求不到后端登录接口异常。 由于后端重定向,nginx路由后端的前缀"/datastatistics"没有带上导致了请求不到相应接口的问题,增加重写加上路由后解决了问题。 nginx配置: 仔细思考后觉得,前后端分离后本身由前端来做路由的主导,后端不应该插手怎么跳转的逻辑。虽然这个方案能解决后端跳转后引起的问题,..
总结 前后端分离 springboot+shiro登录验证的几种方式
werewolf2的博客
01-11 1282
总结 前后端分离 springboot+shiro登录验证的几种方式登录验证硬编码方式(不推荐)在自定义过滤器中返回给前端错误码设置shiro的loginURL使用注解方式(推荐)权限控制使用注解方式 登录验证 在前后端的登录验证中,如果当前用户登录返回给前端一个状态码。返回给前端状态码有以下几种方式(暂时只知道这些) 硬编码方式(不推荐) 在获取当前登录者id时判断是否已经登录,如果没有登录就抛出自定义异常,通过全局异常捕获返回给前端固定的状态码 public Long getLoginID() {
Shiro 登录登录失效,定义返回JSON格式数据
GraceUp
10-22 2208
Shiro框架默认认证失败后会返回登录页面,在前后端分离项目中,需要返回JSON数据,以便前端或者app端解析处理。 实现方式: 扩展shiro框架的UserFilter类,重写redirectToLogin方法。 import java.io.IOException; import java.util.HashMap; import java.util.Map; import javax...
设置shiro认证和授权失败返回json而不是重定向
Sirm23333
02-08 6548
在使用shiro时,一般对认证或授权的请求统一过滤并做出响应,大体有以下配置: <!-- 认证时返回的页面(被authc user logout 等认证拦截器拦截后)访问的url --> <property name="loginUrl" value="/user/unAuthenticated.do"/> <!-- 授权时返回的页面(被roles 等授权拦...
前后端分离项目,登录过期时返回状态码(后台:springboot+shiro
weixin_42748017的博客
03-09 3403
shiroFilterFactoryBean.setLoginUrl("/login")会直接跳转到登陆页面,有时候可能让人摸不着头脑--为什么突然要我登陆了,猫饼。。 综上所述,俺决定改为在前端根据状态码(401表示登录)提示登录(或者失败的原因)以后再行跳转。实现的方法网上忒多,俺就不记录了,记录一下思路。 因为后端用的是shiro权限框架,所以想到自定义一个Filter,当用户没...
SpringBoot集成Shiro实战教程:权限认证与登录管理
Realm 是Shiro与应用程序数据源交互的桥梁,用于获取用户信息和权限信息。 - 编写过滤器链配置,定义哪些URL需要经过Shiro的过滤,例如登录拦截、权限拦截等。在SpringBoot中,通常通过编写Java配置类来设置过滤...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值