shiro过滤器与ajax访问

最新推荐文章于 2024-05-15 03:11:00 发布
最新推荐文章于 2024-05-15 03:11:00 发布
阅读量387 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40108680/article/details/105885521
版权
本文介绍了如何在Shiro框架中实现自定义session管理,包括登录成功后生成sessionID并传递给前端。同时,详细讲解了自定义的身份认证过滤器,针对登录验证和options请求的处理。此外,还讨论了权限认证过滤器,处理无权限访问的ajax请求。通过FilterChainDefinitionMapBuilder配置资源权限,并结合Shiro的XML配置和自定义realm,实现了全面的权限控制。
摘要由CSDN通过智能技术生成

文章目录

1.shiro自定义sessionManager

当登录成功时后端生成一个sessionid并返回给前端,前端当前每次请求时携带此次sessionid

/**
 *
 * 传统结构项目中,shiro从cookie中读取sessionId以此来维持会话,
 * 在前后端分离的项目中(也可在移动APP项目使用),我们选择在ajax的请求头中传递sessionId,
 * 因此需要重写shiro获取sessionId的方式。
 * 自定义CrmSessionManager类继承DefaultWebSessionManager类,重写getSessionId方法
 *  前端服务器通过在cookie中携带sessionid告诉后端服务器,本次访问的用户是谁
 */

public class MySessionManager extends DefaultWebSessionManager {
   
    private static final String AUTHORIZATION = "X-TOKEN";

    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";

    public MySessionManager() {
   
        super();
    }

    @Override
    public Serializable getSessionId(ServletRequest request, ServletResponse response) {
   
        //取到sessionid
        String id = WebUtils.toHttp(request).getHeader(AUTHORIZATION);
        HttpServletRequest request1 = (HttpServletRequest) request;

        //如果请求头中有 X-TOKEN 则其值为sessionId
        if (!StringUtils.isEmpty(id)) {
   
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, id);
            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            return id;
        } else {
   
            //否则按默认规则从cookie取sessionId
            return super.getSessionId(request, response);
        }
    }

}

2.自定义身份认证过滤器

对登录用户进行登录认证,对前端的options请求放行,ajax请求session失效时的处理

/**
 * 身份验证过滤器
 */
public class MyAuthenticationFilter extends FormAuthenticationFilter {
   
    @Override
    //前端options请求放行
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
   
        HttpServletRequest request1 = (HttpServletRequest) request;
        //获取请求方式
        String method = request1.getMethod();
        //如果是options请求方式,则放行
        if("OPTIONS".equalsIgnoreCase(method)){
   
            return true;
        }

        return super.isAccessAllowed(request, response, mappedValue);
    }

    @Override
    //身份认证没有通过是的执行方法
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
   
        HttpServletRequest req = (HttpServletRequest)request;
        HttpServletResponse resp = (HttpServletResponse) response;
        if (this.isLoginRequest(request, response)) {
   
            if (this.isLoginSubmission(request, response)) {
   
                return this.executeLogin(request, response);
            } else {
   
                return true;
            }
        } else {
   
            String ajaxHeader = req.getHeader("X-Requested-With");
            if (ajaxHeader != null || req.getHeader("X-TOKEN")
最低0.47元/天 解锁文章
酸辣菜菜鱼
关注
Shiro过滤器导致的前端跨域
沐晨的博客
04-19 1426
问题背景 公司项目是前后端分离的,最近要求在请求时都要在请求头加入自定义的 token,在做接口调试时,前端总是请求不通,然而自己用 POSTMAN 等工具时都可以,这就出现了问题,也就是 复杂请求 的跨域问题。 问题分析 部分文段摘自 跨域资源共享 CORS 详解 复杂请求 浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple req...
ShiroAJAX完美整合
09-21
ShiroAJAX完美整合
shiroajax方式登录
白杨
05-23 1万+
用了shiro一段时间了,但是有点受不了它请求登录如果验证不通过直接跳的是loginUrl…所以我想很多人想用ajax实现shiro的登录直接在回调函数里面通过js显示出错信息吧。今天查了一天的资料,结合了别人写的文章,自己也写了这个博客。好了,直接进入主题吧~首先我们知道shiro主要是通过过滤器来实现权限的验证的,你可以继承各种各样的filter来进行扩展。这里我们实现ajax是通过继承Form
shiroajax请求,AJAXshiro的请求问题
weixin_28934081的博客
08-06 416
原因:当我们使用Shiro发送AJAX请求的时候,会自动跳转页面(而AJAX不能@R_532_404@面,添砖会出很多错误)因为是shiro自己的原因,所以我们需要使用我们自己定义的在shiro中使用这个类PermissionsAuthorizationFilter来过滤请求所以覆写AJAX特点普通请求 AJAX 所以我们可以通过七种不同来判断是否为AJAX请求写一个类继承Permission...
shiroajax冲突,ShiroAJAX完美整合
weixin_28952471的博客
08-05 359
ShiroAJAX完美整合这是我第一次认认真真写博客,以前为了图快,结果写下来基本只有自己可以看懂。不过我感觉有经验就应该要和别人分享下,在分享的同时或许可以为这个问题找到更好的解决方案。   我在上学期5月份学完了Shiro,当初学时,看了半天的英文文档,最后还是不知道它为什么要这么干,只知道很多人说它很方便。在今年9月初时,我在次使用它,这次终于知道它的内部原理,但是感觉它的处理方式和我的上...
SpringBoot基于Shiro处理ajax请求代码实例
08-19
Shiro 中,过滤器扮演着非常重要的角色。过滤器可以用于身份验证、授权、加密和会话管理等方面。在示例代码中,我们使用了 AdviceFilter 来处理 Ajax 请求,并在 preHandle 方法中进行身份验证和授权。 结语 ...
shiro执行多个过滤器_SpringBoot+Shiro学习(七):Filter过滤器管理
weixin_42298778的博客
01-12 1135
先从我们写的一个自定义Filter来看:public class RoleOrFilter extends AuthorizationFilter {@Overrideprotected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Excep...
shiro处理ajax请求未登录,shiro处理ajax请求session失效跳转
weixin_36185512的博客
08-06 832
最近在学习shiro时遇到一个问题,在ajax请求时,若是session失效时,没法正确的跳转登陆页面。在以前的项目中处理的方法是经过自定义一个过滤器来处理,session失效时返回错误码来处理。但由于使用shiro后,会先执行shiro定义的过滤器,才会执行自定义的过滤器,因此以前的方法行不通,参考了不少大大的博客,把个人处理方法贴上。javascript1.自定义拦截器LoginFormFil...
已经解决shiro登录 ajax交互
01-23
shiro ajax 删除 没有权限 不跳转页面 或者没有反应
Shiro拦截AJAX的解决方案
热门推荐
在字节里改BUG
06-02 2万+
Shiro拦截AJAX的解决方案最近在springboot项目上使用了shiro,但是shiro配置好后都是默认页面重定向处理。然而前后端分离后,静态页面都是部署在nginx上,统一都通过ajax进行调用。ajax的话不能进行重定向,需要返回指定格式的JSON。所以shiro需要满足一下几点要求:ajax调用接口没有登录时,返回指定格式JSON ajax调用接口在登录的情况下,没有权限时,返回指定格
aisell(7) shiro处理ajax请求问题(自定义权限过滤器)
myllxy
12-17 469
文章目录引入原因解决成功 引入 原因 shiro只支持普通请求 我们怎么去修改shiro权限拦截 解决 去扩展PermissionsAuthorizationFilter,我们选择继承他因为其中的很多方法我们可以直接使用而不用修改,需要修改的是当执行错误返回数据的那个方法(因为在原方法中它是只支持普通请求而无法对ajax请求作出处理的) 自定义权限过滤器 /** * 自定义权限过滤器 *...
shiro ajax跨域,shiro学习分享(三)——解决跨域问题时遇到的坑
weixin_32256355的博客
08-06 384
shiro学习分享(三)——解决跨域问题时遇到的坑发布时间:2018-04-21 11:07,浏览次数:1977, 标签:shiro跨域问题的解决使用springboot整合了shiro框架,springboot解决跨域的方法也是网上的到处都是的配置CORS解决跨域问题。出现的问题:使用了shiro框架,开启了shiro的登陆验证过滤器时,即filterChainDefinitionMap.put...
shiro ajax请求拦截器,SpringBoot基于Shiro处理ajax请求代码实例
weixin_35129495的博客
08-05 185
写一个Shiro过滤器import cn.erika.demo.common.model.vo.Message;import com.alibaba.fastjson.JSON;import org.apache.shiro.SecurityUtils;import org.apache.shiro.subject.Subject;import org.apache.shiro.web.serv...
shiro 拦截未登录的ajax_shiroajax方式登录的话,如何配置
weixin_40001372的博客
12-19 132
/login/** = anon下马是java代码中要增加:@RequestMapping(value = "/login")@ResponseBodypublic Object ajaxLogin(@RequestParam String username,@RequestParam String password, @RequestParam boolean rememberMe) {Stri...
shiro+ajax无法访问,Spring boot + Shiro 在前后端分离时,ajax跨域问题(OPTIONS问题)...
weixin_39542889的博客
08-05 410
在前后端分离时,遇到前端请求后报跨域后台已经进行过spring boot 的统一跨域处理。按理说不会出现这个问题,因为跨域是指一个用户从网站A访问网站B的资源,导致出现一个跨域请求,一般出现在前后端分离项目的页面访问接口的时候。可即使处理过,依旧存在这个问题。我的情况是,前端页面登录可用,其余接口无法使用,初步怀疑是shiro的问题。在确认前端headers 中包含正确的权限字符串后。我就写了个过...
在前后端分离的SpringBoot项目中集成Shiro权限框架_springboot shiro 权限管理系统
最新发布
2401_85014130的博客
05-15 559
传统结构项目中,shiro从cookie中读取sessionId以此来维持会话,在前后端分离的项目中(也可在移动APP项目使用),我们选择在ajax的请求头中传递sessionId,因此需要重写shiro获取sessionId的方式。传统项目中,登出后应重定向请求,到登录界面或其他指定界面,在前后端分离的项目中,我们应该返回json信息。在上面提到的ShiroConfig中配置了默认登录路由。传统项目中,登出后应重定向请求,到登录界面或其他指定界面,在前后端分离的项目中,我们应该返回json信息。
Apache Shiro入门:过滤器详解与使用
在Web应用中,Shiro过滤器链可以在请求进入控制器之前执行相应的安全检查和操作,确保只有具备相应权限的用户才能访问特定的资源。 Shiro不仅适用于Web环境,还可以在非Web环境中使用其会话管理功能,例如在客户端...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值