最近在做项目的时候领导要求把单体服务变更为前后分离项目。一想这好多了哦,以后前端代码HTML,JS 终于不用写了,只需要写好接口对接完事了。啧啧。开心的一匹。结果遇到了Shiro这个安全框架如何改造登录功能,总不能给前端返回login.jsp吧。。。
废话不多说开干,撸代码
一、登录失效
Shiro是一个安全框架,内置了大量的过滤器,小巧轻量级框架。Shiro在登录失效的时候默认跳转的是login.jsp或者login.html。单体项目好说,但是前后分离你总不能给前端小妹妹返回这东东吧,小心妹妹一个媚眼过去
二、改造前后分离
大致思路:拦截Shiro登录失效,然后给前端小妹妹返回状态码401或者返回json都行,只要前端能拿到判断就行。
2.1 自定义拦截器
自定义拦截器继承FormAuthenticationFilter重写onAccessDenied方法
public class ShiroFormAuthenticationFilter extends FormAuthenticationFilter {
@Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
HttpServletResponse resp = (HttpServletResponse) response;
resp.setContentType("application/json; charset=utf-8");
resp.setStatus(HttpStatus.SC_UNAUTHORIZED);
return false;
}
}
2.2 修改Shiro配置文件
filters.put(“authc”, new ShiroFormAuthenticationFilter());
//所有请求都需要验证
filterChainDefinitionMap.put(“/**”, “authc, user, kickout, onlineSession, syncOnlineSession”);
好了。这就完成了Shiro改造成前后分离登录失效问题。这回前端小妹妹开开心心一个媚眼抛了过来。。。。