(springboot)shiro安全框架自定义过滤器出现的几个疑难杂症解决方案

最新推荐文章于 2024-02-24 12:00:00 发布
最新推荐文章于 2024-02-24 12:00:00 发布
阅读量1.2w 收藏 18
点赞数 9
分类专栏: shiro 文章标签: shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41737716/article/details/83187919
版权

问题一:多次重复重定向问题(匹配多个过滤器链重复调用其对应过滤器)

问题二:shiro认证时Realm会执行两次

在使用springboot框架整合shiro安全认证框架时踩了很多坑,每次出问题网上都找不到其中的解决方案,这里贴两个我遇到的坑,以及其解决方案给大家,希望大家可以少走弯路。

问题一场景:

		// 自定义拦截器
		Map<String, Filter> customisedFilter = new HashMap<>();
		customisedFilter.put("url", new CustomRolesAuthorizationFilter());

		// 配置映射关系
		filterChainDefinitionMap.put("/login", "anon");
		filterChainDefinitionMap.put("/index", "anon");
		filterChainDefinitionMap.put("/unauthorized", "anon");
		filterChainDefinitionMap.put("/doLogout", "logout");
		filterChainDefinitionMap.put("/**", "url");
		shiroFilterFactoryBean.setFilters(customisedFilter);
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

当我访问/login时,会进入anon过滤器 。但是问题出在,他还会额外继续执行url(自定义过滤器),在自定义过滤器中的逻辑是用户没有登录就重定向到/login这个url去,然后又进入anon过滤器,又执行url过滤器,又进行重定向,循环往复造成多次重定向。

问题一解决过程:

翻阅了一些shiro的资料,了解了一下其中过滤器的机制,shiro会对Servlet容器里的FilterChain进行代理,Shiro会通过一个代理类ProxiedFilterChain对Servlet对其进行代理,其中会先进行Shiro中用户自己配置的拦截器配置映射的关系,即先走映射关系中匹配到的url对应的过滤器,然后会去执行Servlet中的FilterChain进行Filter链的执行。

如果有看过底层源码,就会看到一个originalChain这个名词,它就是Servlet保存的FilterChain。也就是说,每次请求都将会先走Shiro的过滤器链,然后再走Servlet的过滤器链。

这里我是SpringBoot框架,可以看到控制台在项目启动时自动配置characterEncodingFilter、requestContextFilter等等一些默认过滤器,把它加入一个叫FilterRegistrationBean中,作为一个过滤器链。可以看到红框中,这两个是我自己自定义的过滤器,我将其配置到Shiro中作为Shiro过滤器链使用,但没想到SpringBoot自动把这两个过滤器配置到了FilterRegistrationBean中,并且路径为/*,这也就能理解为什么上面会匹配到anon过滤器之后还会往下执行到我们的自定义过滤器了。

这是我两个自定义过滤器的配置Bean,其中过滤器实现了PathMatchingFilter接口,我不知道是不是因为这个,还是什么奇怪的原因才会把它加载到FilterRegistrationBean中,如果有知道为什么的可以在底下评论告知我一下,至今还是对此摸不着头脑。

问题一解决方案:

最后我把这两个Bean注释掉了,在配置Shiro中我直接new出来,不作为Bean交给IOC管理了,这样就解决了问题,Shiro就不会调用额外的自定义过滤器了。

问题二解决过程:

当时因为我需要动态配置映射关系,会从数据库中读取需要映射的url与需要拦截的角色与权限,过滤器链有可能同一个URL匹配多个过滤器(例如permission过滤器和roles过滤器,角色与权限双验证效果),所以我就自定义了PathMatchingFilterChainResolver,并重写了getChain方法,这个方法是用来匹配返回即将调用的过滤器的,在里面我的逻辑是匹配所有匹配到的URL,把所有对应能匹配到的过滤器全部执行,但错误在,我在最底下写了一个匹配规则 /** 匹配authc,逻辑是除了需要权限验证、或是设置了anon、logout过滤器以外的url都要进行登录才可以访问,这就造成了在进行登录的时候,访问一次登录方法,又会去匹配那个/** 继续走一次身份验证,而走身份验证 subject.login 的底层是会走Realm,这就造成了走两次Realm。

问题二解决方案:

造成这种问题很大可能是PathMatchingFilterChainResolver中的getChain逻辑没有写好,ufl映射关系配置不科学造成。

下面贴一个我的getChian方法。

    public FilterChain getChain(ServletRequest request, ServletResponse response, FilterChain originalChain) {
        FilterChainManager filterChainManager = getFilterChainManager();
        if (!filterChainManager.hasChains()) {
            return null;
        }

        String requestURI = getPathWithinApplication(request);
        
        //要执行的过滤器集合
        List<String> chainNames = new ArrayList<String>();

        //获取全部的拦截url
        Set<String> chain = filterChainManager.getChainNames();

        for (String pathPattern : chain){
            // 匹配所有匹配到的url,装入chainNames作为即将要执行的过滤器集合
            if (pathMatches(pathPattern, requestURI)) {
                chainNames.add(pathPattern);
            }
        }
        //拦截器链的最后一个Url,因为它匹配全部的url,这里不与其他拦截器冲突,剔除/**url的匹配
        Object lastUrl = "/**";
        chainNames.remove(lastUrl);
        //没有匹配到url
        if(chainNames.size() == 0) {
            //为了不与其他拦截器冲突,在全部url都不匹配的情况下才匹配/**
            chainNames.add("/**");
        }
        return customDefaultFilterChainManager.proxy(originalChain, chainNames);
    }

基本思路就是匹配除了/**的所有过滤器路径,如果能匹配到,则执行匹配到的过滤器集合,如果一个都没匹配到,才走最后的身份验证。

要了解底层Shiro是怎么进行身份验证,这样出了问题就能通过Debug进行排错,如果项目中需要深度整合Shiro,改写很多Shiro的验证逻辑,需要了解Shiro底层原理,如FilterChainResolver(处理匹配规则)、FilterChainManager(处理匹配到的过滤器链)、PathMatchingFilter(自定义过滤器)、AuthorizingRealm(获取认证相关数据源的地方)、CredentialsMatcher(自定义登录认证逻辑)等等的原理,才能灵活运用Shiro框架。有空写一篇动态URL配置,动态双拦截角色权限的Shiro配置,和与SSO单点登录的WebService服务接口整合实现自定义的登录与权限的逻辑。

Static_lin
关注
  • 9
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
springmvc+shiro自定义过滤器的实现代码
08-26
主要介绍了springmvc+shiro自定义过滤器的实现方法,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
shiro配置路径为anno,但请求还是拦截下来了
3k油:知道的越多,不知道的越多
10-25 3680
踩坑点: 没留意到ShiroFilterFactoryBean中配置的过滤认证规则是有序的,这个有序是指Map容器中的存储顺序。 shiro进行过滤认证时是根据配置的容器存储顺序进行处理的。因此容器应该使用LinkedHashMap。 一、问题描述 在shiroShiroFilterFactoryBean中配置了(“/web/index",“anon”),但请求还是被拦截下来进行认证了。 二、分析流程 容器使用的是HashMap存储,对比存储不同个数的元素发现了问题所在。 图一:存储12个元素,”/
Java实战:Spring Boot中自定义过滤器Filter
最新发布
oandy0的博客
02-24 1018
本文将详细介绍如何在Spring Boot应用程序中实现自定义过滤器。我们将探讨Spring Boot集成过滤器的基本概念,以及如何使用Spring Boot实现自定义过滤器
Shiro总是将我重定向login.jsp
qq_44761854的博客
11-27 1780
今天在用springboot结合shiro写项目的过程发现发送登录请求想跳转到HTML的时候,总是跳往login.jsp 后来在配置文件中找到了答案,shiro默认在没有认证的情况下会自动跳往login.jsp 修改项目配置文件
java anon,shiro anon 不生效
weixin_42348021的博客
03-19 1492
在使用springboot整合shiro的过程中,希望静态资源资源不受shiro过滤器‘authc’拦截,于是定义了“anon”,测试发现根本不生效,静态资源路径下的资源(如/js/**)依旧会被拦截并重定向到/login,以下是我的shiro javaconfigShiroConfig.java@Configurationpublic class ShiroConfig {@Value("${s...
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
主要介绍了SpringBoot Shiro配置自定义密码加密器代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
shiro配置好后,页面登录成功会自动重定向/favicon.ico
道阻且长,行则将至
11-30 9351
问题描述: 今天给浏览器页面加上logo文件 /favicon.ico,类似上图。 文件放在 static/common/images 路径下,页面 head 里加上 浏览器可以成功显示 favicon.ico,但是在第一次登陆成功后会自动重定向到 /favicon.ico 文件的路径。 网上的解决办法: 基本大多数浏览器都会请求 favicon.ico 这个图标
Java Shiro 设置 anon 无效
m0_67393342的博客
04-03 385
我在这里定义 /user/login 路径设置anon 但还是会经过过滤器 解决方案如下: 过滤规则map要为LinkedHashMap
Shiro拦截Ajax请求,认证失败重定向 dao到登录页面 (亲测有效)
chenzhenguo
06-06 3502
由于 shiro 能 自动判断登录并返回登录登录页面,自动跳转到登录页面,返回login 页面 ,但是遇到ajax请求的 方法, 程序不会自动跳转到登录页面,所以需要 添加重定向方法 自动跳转到重定向 登录页面 1.自定义拦截器LoginFormFilter拦截器,继承FormAuthenticationFilter类,在需要登录而未登录的请求都会执行onAccessDenied请求。 ...
SpringBoot 整合Shiro 遇到多次重复调用登录方法的问题
sandwichhmzh的博客
04-23 6652
 SptringBoot在整合Shiro在设定登录url(shiroFilterFactoryBean.setLoginUrl("/login"))时发现,一直在登录里面循环调用/login。 @RequestMapping(value = "/login") public String login(HttpServletRequest request, ModelMap map) { Stri...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
主要介绍了Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法 ,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot集成 Shiro安全框架【完整源码+数据库】
02-16
SpringBoot集成 Shiro安全框架,适合小白刚刚接触Shiro,或者需要对Shiro进一步加深理解的同学
springbootshiro安全框架的整合
08-05
Springboot+shiro springbootshiro安全框架的整合,适合初学者。
shiroanon配置不生效
mry6的博客
05-29 1623
shiroanon配置不生效shiroanon配置 shiroanon配置 配置shiro的时候,如下代码要注意: 1、下述代码中必须是LinkedHashMap 而不能是HashMap。 2、anon定义必须在authc之前 否则anon定义不生效 /** * 用来整合shiro框架相关的配置类 */ @Configuration public class ShiroConfig { //1.创建shiroFilter,负责拦截所有请求 @Bean public Shi
一个用户在同一个浏览器多次登录shiro互踢的问题
許先生的博客
11-02 4850
关键代码如下: //判断是否同一个用户再同一个浏览器中登录,是就不踢除 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException { //获取基于用户名和密码的令牌 //实际上这个...
相同的代码部署在两个或多个不同的Linux服务器上,有些功能会莫名报错
kyrielx的博客
03-22 451
Java编译的项目包(war / jar)在多套Linux服务器上部署运行,调用某个功能接口,在服务器A上正常,在服务器B上失败。再换一个服务器C部署,调用该功能接口,可能成功,也可能失败。
自定义realm出现doGetAuthorizationInfo多次重复调用
3k油:知道的越多,不知道的越多
10-09 1504
前言:此次排查的过程,主要是利用debug模式下,深入源码打断点才发现问题所在。 一、问题描述: 练习shiro认证授权,发现授权方法中相关的sql语句多次重复执行了。于是,各种排查,为什么会有多次重复执行相同的sql查询,这岂不是很影响性能。于是有了下面的排查过程。 二、发现问题,截图如下: 三、排查过程 (过程1):肯定是先从shiro的配置文件逐个排查过了,没有任何发现,还是解决不了问题。 (过程2):既然是多次sql语句执行,那考虑到是某个方法重复调用了。于是定位到了下边的这个方法。 a)d.
shiro 重写AuthorizationFilter 让shiro没有权限的时候不重定向,而是执行一个回显操作(初探)
qq_43077857的博客
07-08 6094
这里在项目需求完成的过程 以前没有权限直接跳转403.html 这样代码非常不灵活 而且前端如果不是html的页面没有权限经常跳不到403的页面 会报一个302的错误 我这里想重写下这个配置后直接跳转到403页面的方式 最好能够返回一段json 这样我前端直接判断json中的数据后前端做跳转到403页面 找了一下shiro中页面重定向的代码是这个AccessControlFilter中的onAc...
在 Spring Boot 中使用shiro配置自定义过滤器
09-06
### 回答1: 在 Spring Boot 中使用 shiro 配置自定义过滤器需要以下几个步骤: 1. 引入 shiro-spring-boot-starter 依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> ``` 2. 创建自定义过滤器: ``` public class CustomFilter extends AccessControlFilter { @Override protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception { // 在这里实现自定义的过滤逻辑,返回 true 表示通过过滤器,返回 false 表示未通过过滤器 return true; } @Override protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception { // 如果 isAccessAllowed 返回 false,则会进入到这里,可以在这里处理未通过过滤器的情况 return false; } } ``` 3. 配置 shiro 的 FilterChainDefinition: ``` @Bean public ShiroFilterChainDefinition shiroFilterChainDefinition() { DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition(); // 添加自定义过滤器,其中 key 是过滤器名称,value 是该过滤器对应的路径 chainDefinition.addPathDefinition("/custom/**", "custom"); return chainDefinition; } ``` 4. 配置自定义过滤器: ``` @Bean("custom") public CustomFilter customFilter() { return new CustomFilter(); } ``` 5. 配置 shiro 的注解支持: ``` @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) { AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor(); advisor.setSecurityManager(securityManager); return advisor; } ``` 完成以上步骤后,就可以在 Spring Boot 中使用 shiro 配置自定义过滤器了。 ### 回答2: 在 Spring Boot 中使用 Shiro 配置自定义过滤器分为三个步骤。 第一步,创建自定义过滤器类。可以通过实现 Shiro 的 Filter 接口来创建自定义过滤器。在自定义过滤器中需要实现过滤规则,并对请求进行相应的处理。 第二步,配置 Shiro 过滤器链。在 Spring Boot 的配置类中,通过创建 ShiroFilterFactoryBean 对象来配置 Shiro过滤器链。可以使用 Shiro 的 FilterChainDefinitionMap 对象来配置过滤器链,然后将该对象设置ShiroFilterFactoryBean。 第三步,启用 Shiro 过滤器。在 Spring Boot 的配置类中,通过创建 DefaultFilterChainManager 对象,并将该对象设置ShiroFilterFactoryBean,启用自定义过滤器。 有了以上三步,就可以在 Spring Boot 中使用 Shiro 配置自定义过滤器了。可以通过在自定义过滤器中实现过滤规则来对请求进行拦截或处理,然后在 Shiro 过滤器链中配置该过滤器,最后启用该过滤器。这样就可以实现对请求的自定义过滤器处理。 值得注意的是,在使用 Shiro 进行自定义过滤器配置时,需要保证 Shiro 的配置文件中已经进行了相应的配置,包括认证和授权等相关配置。只有在正确配置的前提下,才能正确使用 Shiro 进行自定义过滤器的配置。 ### 回答3: 在Spring Boot中使用Shiro配置自定义过滤器通常需要以下几个步骤: 1. 引入Shiro和Spring Boot依赖。在pom.xml文件中添加Shiro和Spring Boot Starter依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> ``` 2. 创建自定义过滤器类。可以通过实现`javax.servlet.Filter`接口或者继承`org.apache.shiro.web.servlet.OncePerRequestFilter`类来创建自定义过滤器。例如,创建一个名为`CustomFilter`的自定义过滤器类: ``` public class CustomFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { // 过滤器逻辑处理 // ... filterChain.doFilter(request, response); } } ``` 3. 在Shiro配置类中注册自定义过滤器。创建一个Shiro配置类,并使用`@Configuration`注解标记为配置类。通过`@Bean`注解将自定义过滤器注册到Shiro过滤器链中。例如,在配置类`ShiroConfig`中注册`CustomFilter`: ``` @Configuration public class ShiroConfig { @Bean public FilterRegistrationBean<CustomFilter> customFilterRegistrationBean() { FilterRegistrationBean<CustomFilter> registrationBean = new FilterRegistrationBean<>(); registrationBean.setFilter(new CustomFilter()); registrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE); // 过滤器执行顺序 registrationBean.addUrlPatterns("/*"); // 过滤器路径 return registrationBean; } } ``` 4. 配置Shiro的过滤规则。在Shiro配置文件中,可以设置自定义过滤器的拦截规则。例如,在`shiro.ini`配置文件中,设置自定义过滤器的拦截规则: ``` [urls] /** = customFilter // 对所有请求都使用自定义过滤器 ``` 通过以上步骤,在Spring Boot中使用Shiro配置自定义过滤器就可以实现对特定请求的拦截和处理。在`CustomFilter`类的`doFilterInternal`方法中编写自定义过滤器逻辑,例如鉴权、权限验证等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值