shiro 自定义拦截器继承AccessControllerFilter后无法获取用户登录信息

最新推荐文章于 2024-04-23 18:52:22 发布
最新推荐文章于 2024-04-23 18:52:22 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: shiro springboot java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35396304/article/details/115444475
版权
java 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
shiro
2 篇文章 0 订阅
订阅专栏
springboot
2 篇文章 0 订阅
订阅专栏

shiro自定义拦截器继承AccessControllerFilter,在ShiroConfig中加入到拦截器链中。

package com.lwp.website.shiro;

import com.alibaba.fastjson.JSON;
import com.lwp.website.entity.Vo.UserVo;
import com.lwp.website.res.ResourceManage;
import com.lwp.website.utils.RedisUtil;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.DefaultSessionKey;
import org.apache.shiro.session.mgt.SessionManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.AccessControlFilter;
import org.apache.shiro.web.filter.authc.UserFilter;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.beans.factory.annotation.Autowired;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.Serializable;
import java.util.LinkedList;

/**
 * Created with IntelliJ IDEA.
 *
 * @Auther: liweipeng
 * @Date: 2021/02/01/10:59
 * @Description:
 */
public class KickoutSessionControlFilter extends AccessControlFilter{

    //踢出后的地址
    private String kickoutUrl;
    //踢出之前登陆的/之后登陆的用户 默认踢出之前登陆的用户
    private boolean kickoutAfter = false;
    //同一个账号最大会话数 默认 1
    private int maxSession = 1;

    public static final String DEFAULT_KICKOUT_CACHE_KEY_PREFIX = "shiro:cache:kickout:";

    private String keyPrefix = DEFAULT_KICKOUT_CACHE_KEY_PREFIX;

    public void setKickoutUrl(String kickoutUrl){
        this.kickoutUrl = kickoutUrl;
    }

    public void setKickoutAfter(boolean kickoutAfter){
        this.kickoutAfter = kickoutAfter;
    }

    public void setMaxSession(int maxSession){
        this.maxSession = maxSession;
    }

    public void setKeyPrefix(String keyPrefix){
        this.keyPrefix = keyPrefix;
    }
    public String getKeyPrefix(){
        return this.keyPrefix;
    }

    private String getRedisKickoutKey(String username){
        return this.keyPrefix+username;
    }

    /**
     * 是否允许访问 返回true表示允许访问
     * @param servletRequest
     * @param servletResponse
     * @param o
     * @return
     * @throws Exception
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o){
        return false;
    }

    /**
     * 表示访问拒绝时 是否自己处理 如果返回true表示自己不处理且继续拦截器链执行,返回false表示自己已经处理(比如重定向到另一个页面)
     * @param servletRequest
     * @param servletResponse
     * @return
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
        Subject subject = this.getSubject(servletRequest, servletResponse);
        Boolean b = subject.isAuthenticated();
        if(!b){
            //没有登录,直接进行之后的流程 不进行拦截
            return true;
        }
        //如果有登录,判断是否访问静态资源 如果允许访问静态资源则返回true
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        String path = httpServletRequest.getServletPath();
        if(isStaticFile(path)){
            return true;
        }
        RedisUtil redisUtil = (RedisUtil) ResourceManage.getBean("redisUtil");
        SessionManager sessionManager = (SessionManager) ResourceManage.getBean("sessionManager");
        Session session = subject.getSession();
        //这里获取的User是实体 因为我在 自定义ShiroRealm中的doGetAuthenticationInfo方法中
        //new SimpleAuthenticationInfo(user, password, getName()); 传的是 User实体 所以这里拿到的也是实体,如果传的是userName 这里拿到的就是userName
        String username = ((UserVo)subject.getPrincipal()).getUsername();
        Serializable sessionId = session.getId();
        //初始化用户的队列到缓存
        LinkedList<Serializable> deque = null;
        String name = getRedisKickoutKey(username);
        Object object = redisUtil.get(name);
        if(object == null){
            deque = new LinkedList<Serializable>();
        }else {
            deque = JSON.parseObject(JSON.toJSONString(object),LinkedList.class);
        }

        //如果队列中没有此sessionid,且用户没有被提出 放入队列
        if(!deque.contains(sessionId) && session.getAttribute("kickout") == null){
            deque.push(sessionId);
        }

        //如果队列里的session id数量超出最大会话数,开始踢人
        while (deque.size() > maxSession){
            Serializable kickoutSessionId = null;
            if(kickoutAfter){
                kickoutSessionId = deque.removeFirst();
            }else {
                kickoutSessionId = deque.removeLast();
            }
            try{
                Session kickoutSession = sessionManager.getSession(new DefaultSessionKey(kickoutSessionId));
                if(null != kickoutSession){
                    kickoutSession.setAttribute("kickout",true);
                }
            }catch (Exception e){
                e.printStackTrace();
            }
        }
        redisUtil.set(getRedisKickoutKey(username),deque);
        if(session.getAttribute("kickout") != null){
            try {
                subject.logout();
            }catch (Exception e){
                e.printStackTrace();
            }
            WebUtils.issueRedirect(servletRequest,servletResponse,kickoutUrl);
            return false;
        }

        return true;
    }

    private boolean isStaticFile(String path){
        return false;
    }

}

 ShiroConfig中添加到链。

/**
     * 并发登录控制
     * @return
     */
    @Bean
    public KickoutSessionControlFilter kickoutSessionControlFilter(){
        KickoutSessionControlFilter kickoutSessionControlFilter = new KickoutSessionControlFilter();
        //用于根据会话ID,获取会话进行踢出操作的;
        //是否踢出后来登录的,默认是false;即后者登录的用户踢出前者登录的用户;
        kickoutSessionControlFilter.setKickoutAfter(false);
        //同一个用户最大的会话数,默认1;比如2的意思是同一个用户允许最多同时两个人登录;
        kickoutSessionControlFilter.setMaxSession(1);
        //被踢出后重定向到的地址
        kickoutSessionControlFilter.setKickoutUrl("/a/login");
        return kickoutSessionControlFilter;
    }
    @Bean(name = "shiroFilterFactoryBean")
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier(value = "securityManager") SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
        //访问的是后端url的地址,这里要写base 服务的公用登录接口。 使用toLogin进行拦截,跳转到/a/login //不使用toLogin,整体调转在html页面进行
        shiroFilterFactoryBean.setLoginUrl("/a/login");
        // 登录成功后要跳转的链接;现在应该没用
        //shiroFilterFactoryBean.setSuccessUrl("/index");
        // 未授权界面;可以写个公用的403页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/403");
        //自定义拦截器限制并发人数 //限制同一帐号同时在线的个数
        LinkedHashMap<String, Filter> filtersMap = new LinkedHashMap<>();
        filtersMap.put("custom", customUserFilter());
        filtersMap.put("kickout",kickoutSessionControlFilter());
        //filtersMap.put("toLogin",loginFilter());

        shiroFilterFactoryBean.setFilters(filtersMap);

        //拦截器
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        //配置不会被拦截的链接 顺序判断
        filterChainDefinitionMap.put("/static/**","anon");
        filterChainDefinitionMap.put("/login","anon");
        //对 /a/login 不进行拦截
        filterChainDefinitionMap.put("/a/login","anon");
        //对toLogin进行拦截
        //filterChainDefinitionMap.put("/toLogin","toLogin");
        //logout是shiro提供的过滤器
        filterChainDefinitionMap.put("/logout", "logout");
        filterChainDefinitionMap.put("/index","authc");
        //filterChainDefinitionMap.put("/a/**","kickout,authc");
        filterChainDefinitionMap.put("/a/**","custom,kickout");
        filterChainDefinitionMap.put("/**","anon");
        //filterChainDefinitionMap.put("/","kickout,authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        LOGGER.info("Shiro拦截器工厂类注入成功");
        return shiroFilterFactoryBean;

    }

在自定义KickoutSessionControlFilter 中使用

Subject subject = this.getSubject(servletRequest, servletResponse);

或者

SecurityUtils.getSubject();获取到的subject都是空的。

同时经过查找ServletRequest里面的 cookie等值也是为空的。

后检查发现在实例化自定义拦截器的时候,在方法上面又加了一个@Bean导致

定义拦截器的时候不需要加@Bean;

醋拌柠檬-酸
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springmvc+shiro自定义过滤器的实现代码
08-26
主要介绍了springmvc+shiro自定义过滤器的实现方法,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
spring boot配置shiro自定义shiro filter匹配异常
carllucasyu的博客
03-06 1万+
原文地址:http://www.hillfly.com/2017/179.html最近忙着研究在 Springboot 上使用 Shiro 的问题。刚好就遇到个诡异事,百度 Google 也没找到啥有价值的信息,几番周折自己解决了,这里稍微记录下。自定义 FilterTOCShiro 支持自定义 Filter 大家都知道,也经常用,这里我也用到了一个自定义 Filter,主要用于验证接口调用的 A...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
主要介绍了Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法 ,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
shiro之记住登录信息
08-29
Shiro提供了记住我(RememberMe)的功能,当关闭浏览器时下次再次打开还能记住你的信息,下面小编给大家分享shiro之记住登录信息的相关知识,感兴趣的朋友一起看看吧
Shiro的内置过滤器没有生效
buling_bulink的博客
05-19 1254
Shiro的内置过滤器没有生效 在学习shiro时,对某些访问路径设置过滤器,如filterMap.put("/user/add","authc");但是设置好后没有生效,没有拦截成功,后来发现是类ShiroFilterFactoryBean上方没有写注解@Bean交给spring管理,加上该注解,拦截成功。 ...
快速上手Shiro拦截器、认证、授权功能
piaolaoshi的博客
03-20 8196
快速实现shiro拦截器授权认证等功能
shiro AccessControlFilter运行步骤
weixin_45925436的博客
11-25 843
shiroAccessControlFilter介绍
Shiro解决无法注入Service问题(包括Spring MVC和Spring Boot)
已被格式化的叔叔
01-08 2017
问题原因: ShiroRelam属于filter即过滤器,它在Spring未完成注入bean之前就已经拦截了,因此无法注入。 对于SpringBoot,没有将ShiroRealm注入Bean。        分析:spring加载时候,注入的bean 的顺序是 先是Lisener 然后是 Filter 最后是 Servlet 因此如果在过滤器或者监听器里面注入service等会是空,因为在过...
shiroAccessControlFilter
Tuling2020的博客
09-27 818
6、AccessControlFilter AccessControlFilter提供了访问控制的基础功能;比如是否允许访问/当访问拒绝时如何处理等: Java代码 abstractbooleanisAccessAllowed(ServletRequestrequest,ServletResponseresponse,ObjectmappedVal...
springboot使用shiro配置多个过滤器和session同步案例
qq_41358574的博客
10-24 4390
案例代码来自ruoyi管理系统的shiro部分 知识点介绍 AccessControlFilter AccessControlFilter提供了访问控制的基础功能;比如是否允许访问/当访问拒绝时如何处理等: isAccessAllowed:表示是否允许访问;mappedValue就是[urls]配置中拦截器参数部分,如果允许访问返回true,否则false; onAccessDenied:表示当访问拒绝时是否已经处理了;如果返回true表示需要继续处理;如果返回false表示该拦截器实例已经处理了,将直接返
Springboot+Shiro记录用户登录信息获取当前登录用户信息的实现代码
08-19
主要介绍了Springboot+Shiro记录用户登录信息,并获取当前登录用户信息,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
shiro获取登录状态和用户信息
08-04
shiro根据session获取登录状态和用户信息
Shiro系列教程 AccessControlFilter源码分析
大新博客
04-26 2万+
AccessControlFiltershiro-web模块当中比较重要的类,所有的拦截器继承此类,分析此类源码对应使用其它的filter有很大的帮助。 下图是shiro-web 提供的filter,每种filter都对应了不同的权限拦截规则,本文主要分析AccessControlFilter。   AccessControlFilter继承关系   ServletConte...
shiro认证时拦截器的isAccessAllowed和onAccessDenied执行流程
zwj1030711290的CSDN
09-28 1619
执行登陆的时候会调用org.apache.shiro.web.filter.AccessControlFilter类里面的onPreHandle方法。 在使用Shiro框架的时候所有的请求经过过滤器都会来到此onPreHandle方法 isAccessAllowed:判断是否登录 在登录的情况下会走此方法,此方法返回true直接访问控制器 onAccessDenied:是否是拒绝登录 没有登录的情况下会走此方法 如果isAccessAllowed方法返回True,
FilterChainDefinitionMap_参数说明
热门推荐
maqingbin8888的专栏
10-02 4万+
其实就是构造一个Map&lt;String,String&gt; 通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[perm...
shiro整合springboot
qq_36022463的博客
08-27 600
引用: https://blog.csdn.net/sword_anyone/article/details/117852515。引用: http://www.wjhsh.net/expiator-p-8621847.html。getPrincipal() 获取标识信息:用户名,邮箱,hasPermisson() 是否具有某个权限。在springboot中配置shiro,,结果。hasRole() 是否具有某个角色。SecurityManager属性。配置多realm下的认证策略,,,...
Springboot2(23)轻松整合shiro(带验证码)
cowbin2012的专栏
12-26 2万+
源码地址 springboot2教程系列 Shiro配置 1.Spring集成Shiro一般通过xml配置,SpringBoot集成Shiro一般通过java代码配合@Configuration和@Bean配置。 2.Shiro的核心通过过滤器Filter实现。Shiro中的Filter是通过URL规则来进行过滤和权限校验,所以我们需要定义一系列关于URL的规则和访问权限。 3.SpringB...
无法通过sesssion获取登录用户信息时怎么办
qq_56815228的博客
05-31 308
当某些类如法通过session来获取登录用户信息的时候,可以考虑使用TreadLocal的线程局部变量来共享
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 734
都是符合我们的预期的。
shiro登录拦截器
08-23
Shiro登录拦截器Shiro框架中的一个组件,用于实现用户登录的拦截和控制。...总结一下,Shiro登录拦截器是用于实现用户登录拦截和控制的组件,需要在Shiro配置文件中配置,并通过自定义拦截器类实现具体的登录逻辑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值