设置shiro认证和授权失败返回json而不是重定向

最新推荐文章于 2023-10-27 09:56:47 发布
最新推荐文章于 2023-10-27 09:56:47 发布
阅读量6.4k 收藏 32
点赞数 14
分类专栏: Java 文章标签: shiro 前后端分离 拦截器返回json 不重定向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37969433/article/details/104227635
版权

在使用shiro时,一般对未认证或未授权的请求统一过滤并做出响应,大体有以下配置:

<!-- 未认证时返回的页面(被authc user logout 等认证拦截器拦截后)访问的url -->
<property name="loginUrl" value="/user/unAuthenticated.do"/> 
<!-- 未授权时返回的页面(被roles 等授权拦截器拦截后)访问的url -->
<property name="unauthorizedUrl" value="/user/unAuthorized.do"/>

或者在java原始配置中:

shiroFilterFactoryBean.setLoginUrl("/user/unAuthenticated.do");
shiroFilterFactoryBean.setUnauthorizedUrl("/user/unAuthorized.do");

但默认情况下,拦截器拦截后,是重定向到相应的url。这就造成一个问题,在前后端分离的项目中,前端无法对为认证或未授权的页面做出处理。而理想状态下是应该shiro对未认证或未授权的url拦截后,返回json,前端通过json再做出相应的提示或跳转页面。这就需要后端使用shiro时要 自 定 义 过 滤 器 \color{red}{自定义过滤器}

默认情况下,几个常用的拦截器总结如下:

有关认证的拦截器:

拦截器名 默认拦截器类 说明
authc FormAuthenticationFilter 需要认证才可以访问
主要属性:
loginUrl:登录的url,默认login.jsp,如果被这个过滤器拦截后,会重定向这个url
successUrl:登录成功后重定向的url
user UserFilter 需要认证或记住我才可以访问
logout LogoutFilter 退出url
主要属性:
redirectUrl:退出后重定向的url,默认"/“
如设置”/logout=logout"后,当访问/logout会被拦截,执行退出,再重定向到redirectUrl
anon AnonymousFilter 不拦截,总会放行

有关授权的拦截器:

拦截器名 默认拦截器类 说明
roles RolesAuthorizationFilter 验证当前用户是否拥有所有角色
主要属性:
unauthorizedUrl:未授权重定向的url
loginUrl:登录页面的url
如配置"/admin/**=roles[user,admin]"则访问/admin/时,如果该用户没有同事拥有user和admin两种角色,则重定向到unauthorizedUrl
perms PermissionsAuthorizationFilter 验证当前用户是否拥有所有权限,主要属性和roles一致

换句话说,默认情况下,当shiro发生拦截行为时,会调用相应的拦截器重定向到相应的url。因为,如果希望它不发生重定向,而是直接返回json的话,需要我们自定义拦截器并使用自定义的拦截器。

以下对两个常用的拦截做示例(authc和roles)

在此之前,关注这几个拦截类的共同父类AccessControlFilter(eclipse中使用ctrl+T可以查看继承树),其中的onPreHandle方法:

public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
   
        return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
    }

过滤的原则有两个决定,isAccessAllowed即判断请求的url是否合法,onAccessDenied即对不合法的请求的拦截后执行的逻辑。我们想要更改的是令shiro拦截后返回json,所以仅需改onAccessDenied即可。

对未认证页面的过滤

从上面表格中可以看出,authc使用的是FormAuthenticationFilter拦截器,查看onAccessDenied方法的源码如下(eclipse使用快捷键ctrl+shift+H可以搜索类):

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
   
    // 先判断访问的是否是登录页面,如果是则放行    
    if (isLoginRequest(request, response)) {
   
            if (isLoginSubmission(request
最低0.47元/天 解锁文章
Sirm23333
关注
  • 14
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
shiro自定义登录返回状态, 认证失败返回json
马句
01-14 2702
Shiro框架默认认证失败后会返回登录页面,在前后端分离项目中,需要返回JSON数据,以便前端或者app端解析处理。 如果访问的地址没有登陆,会根据配置文件内定义返回登陆页 shiroFilterFactoryBean.setLoginUrl("/login"); 实现方式: 1. 建一个过滤器ShiroLoginFilter,内容如下: import com.alibaba....
登录shiro控制重定向引起的问题
FinelyYang的专栏
12-07 1413
shiro集成jwt后会对前端传过来的token进行校验,如果token过期,按照以前的逻辑是后端进行了重定向,开发环境是没有问题的,但是部署在生产环境使用了nginx路由后,发生了请求不到后端登录接口异常。 由于后端重定向,nginx路由后端的前缀"/datastatistics"没有带上导致了请求不到相应接口的问题,增加重写加上路由后解决了问题。 nginx配置: 仔细思考后觉得,前后端分离后本身由前端来做路由的主导,后端不应该插手怎么跳转的逻辑。虽然这个方案能解决后端跳转后引起的问题,..
自定义过滤器配置 Shiro 认证失败返回 json 数据
e_watermelons的博客
10-27 307
`Shiro`权限框架认证失败默认是重定向页面的,这对于前后端分离的项目及其不友好,可能会造成请求404的问题。现在我们自定义过滤器实现认证失败返回json数据。
shiro学习——整合jwt时全局异常处理器无法处理JWTFilter中抛出的异常
weixin_43344930的博客
08-09 4673
springboot+shiro+jwt全局异常处理器无法处理JWTFilter中抛出的异常一、shiro中会出现的异常1、 AuthencationException2、 AuthorizationException二、为什么无法被全局异常处理器处理三、解决方案1、把统一返回的信息写入response中2、使用重定向到处理该错误的controller中 一、shiro中会出现的异常 1、 AuthencationException AuthenticationException 异常是Shiro登录
Shiro实现登陆及授权,ajax请求无权限的json返回
愤怒的皮蛋瘦肉粥的博客
01-06 5842
Shiro的介绍 ① Apache Shiro: Java安全框架,有身份验证、授权、密码学和会话管理。 ② Shiro是开源项目 ③ 安全框架分类 a) Spring security 重量级安全框架 b) Apache Shiro轻量级安全框架 ④ Java中框架轻重量级的区别 a) 学习成本 b) 实际开发过程中的性能开销大小 ⑤ Shiro对于权限判定是分两步走:身份认证[登录]、授权管...
Spring boot+Shiro身份认证失败返回JSON,不跳转页面
江湖人称小程的博客
09-12 6978
文章目录前言步骤1、重写FormAuthenticationFilter2、注册自定义过滤器 前言 shiro在进行身份认证时,如果失败了,默认会跳转到Web工程根目录下的"/login.jsp"页面,如果在配置类中配置了这句话: shiroFilterFactoryBean.setLoginUrl("/myLogin"); 认证失败后会跳转到setLoginUrl这个方法指定的路径中。 这里说...
自定义shiro实现识别ajax请求的拒绝返回json,还是普通返回页面
04-25
Apache Shiro 是一个强大且易用的 Java 安全框架,提供认证授权、加密和会话管理功能,可以非常方便地与 Spring 框架集成。在 Web 开发中,Shiro 可以帮助我们处理用户的登录、权限控制以及安全相关的逻辑。本篇...
sso与shiro整合所需工具类
11-14
Apache Shiro是一款强大的安全管理框架,用于处理认证授权、会话管理和加密等任务。本教程将探讨如何将SSO与Apache Shiro整合,以实现更为高效的身份验证管理。 首先,我们需要理解Shiro的核心组件: 1. **...
SpringBoot整合Shiro搭建权限管理组织系统.docx
07-12
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。在 Spring Boot 的环境下,Shiro 可以更轻松地集成到应用程序中,简化安全配置和处理...
springboot+shiro+vue实现的简易教务系统.zip
最新发布
12-26
Apache Shiro是一个强大且易用的Java安全框架,处理认证授权、加密和会话管理。在本项目中,Shiro负责用户的身份验证(登录)和授权(权限控制)。Shiro的API简单直观,可以轻松地将安全功能集成到教务系统中,...
基于springmvc的轻量级安全认证框架
08-08
在传统的安全框架中,如Apache Shiro和Spring Security,它们提供了全面的安全解决方案,包括身份验证、授权、会话管理和CSRF防护等。然而,这些框架往往需要大量的XML配置或者复杂的Java配置,对于小型项目来说显得...
shiro中给某个接口添加权限的两种方法,若没有权限则返回特定值
m0_67266585的博客
08-24 1311
接口需要有user:add权限才可访问。
springboot+shiro前后端分离返回json
chenyidong521的博客
02-24 1288
首先处理由于前后端分离导致的session不通问题 要在前段登录之后存储登录成功的token,之后每次请求在head中传递此token,然后后台添加如下类 /** * 创建人: chenyidong * 创建时间: 2020/1/3 下午12:22 * 说明: fangchan:自定义session生成方式 */ public class MySessionManager extends ...
Shiro 认证授权失败返回JSON数据
dreamofheart1的博客
05-05 3291
shiro 自定义过滤器,实现认证授权错误时返回json数据,不进行url从定向;
Shiro使用和源码分析---3
conansonic的博客
11-01 3669
FormAuthenticationFilter使用和源码分析—2 首先自定义一个customAuthenticationFilter继承自FormAuthenticationFilter,如下所示 customAuthenticationFilter public class CustomAuthenticationFilter extends FormAuthenticationFilt
shiro框架下,用户访问接口没有权限,会有什么报错
weixin_42759398的博客
04-09 468
弟子,Shiro是一个安全框架,本身提供了默认的配置来支持安全功能,其中就包括访问控制的配置。在使用Shiro时,您可以通过配置Realm实现权限验证,并使用Shiro提供的注解,如@RequiresPermissions("user:add")来标识访问权限。因此,在使用Shiro时,您只需要在配置文件中指定Realm和相应的权限验证规则,不需要额外配置权限不足的错误信息,Shiro会自动处理。
SpringBoot集成Shiro解决返回login.jsp的问题
qq_43332570的博客
06-28 4820
shiro是基于过滤器机制的,只要重写不同模块下的过滤器就可以达到自己想要的效果。 1、重写方法 public class LoginFilter extends UserFilter { /** * 这个方法用于处理登录时页面重定向的逻辑 * 因此,只要进入了这个方法,就意味着登录失效了 * 我们只需要在这个方法里,给前端返回一个登录失效的状态码即可 * @param request * @param response * @thro
shiro 拦截登录的ajax_shiro自定义登录返回状态
weixin_39621774的博客
12-19 277
在用shiro做登陆的时候,如果访问的地址没有登陆,会自定义返回到Web工程根目录下的"/login.jsp"页面,而这个不是我想要的,所以需要自定义登陆页面。shiroFilterFactoryBean.setLoginUrl("/h/login");通过这样的设置,就能让登录的用户,跳转到自定义的登陆页面了。但是,这里主要讲的是前后端分离情况下,前端通过ajax的形式来访问数据,后端java...
shiro认证失败返回什么
06-08
shiro认证失败时,通常会返回一个AuthenticationException异常,异常可以根据具体的认证情况而有所不同,例如如果用户名不存在,可能会返回"UnknownAccountException"异常;如果密码错误,可能会返回"IncorrectCredentialsException"异常。在自定义shiro认证时,可以根据具体情况选择合适的异常类型并返回相应的异常信息。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值