shiro 重写AuthorizationFilter 让shiro没有权限的时候不重定向,而是执行一个回显操作(初探)

最新推荐文章于 2023-08-21 17:22:28 发布
最新推荐文章于 2023-08-21 17:22:28 发布
阅读量6.1k 收藏 8
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43077857/article/details/95066802
版权

这里在项目需求完成的过程
以前没有权限直接跳转403.html
在这里插入图片描述
这样代码非常不灵活
而且前端如果不是html的页面没有权限经常跳不到403的页面
会报一个302的错误

我这里想重写下这个配置后直接跳转到403页面的方式
最好能够返回一段json
这样我前端直接判断json中的数据后前端做跳转到403页面

找了一下shiro中页面重定向的代码是这个AccessControlFilter中的onAccessDenied的方法

在这里插入图片描述
这里我们来重写改造这个方法
先放代码
package com.crsri.config;

import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;
import com.alibaba.fastjson.JSONObject;

public class MyPermsFilter extends AuthorizationFilter{

@Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
	HttpServletRequest req = (HttpServletRequest)request;
    HttpServletResponse resp = (HttpServletResponse) response;
    Subject subject = getSubject(request, response);
    // If the subject isn't identified, redirect to login URL
    if (subject.getPrincipal() == null) {
        saveRequestAndRedirectToLogin(request, response);
    } else {
    	resp.setHeader("Access-Control-Allow-Origin",  req.getHeader("Origin"));
        resp.setHeader("Access-Control-Allow-Credentials", "true");
        resp.setContentType("application/json; charset=utf-8");
        resp.setCharacterEncoding("UTF-8");
        PrintWriter out = resp.getWriter();
        JSONObject map = new JSONObject();
        map.put("code",403);
		map.put("msg", "权限不足");
		map.put("data", null);
        out.println(map);
        out.flush();
        out.close();
        return false;
        // If subject is known but not authorized, redirect to the unauthorized URL if there is one
        // If no unauthorized URL is specified, just return an unauthorized HTTP status code
        /*String unauthorizedUrl = getUnauthorizedUrl();*/
        /*String unauthorizedUrl ="/403.html";*/
        //SHIRO-142 - ensure that redirect _or_ error code occurs - both cannot happen due to response commit:
      /*  if (StringUtils.hasText(unauthorizedUrl)) {*/
        /*    WebUtils.issueRedirect(request, response, unauthorizedUrl);
            System.out.println("我要回显数据");
        } else {
            WebUtils.toHttp(response).sendError(HttpServletResponse.SC_UNAUTHORIZED);
        }*/
    }
    return false;
}

@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)
		throws Exception {
	// TODO Auto-generated method stub
	return false;
}

}

然后逐个讲讲
在这里插入图片描述
在这里插入图片描述

这样就可以了

如果没有权限的html操作就可以返回这
在这里插入图片描述
如果是ajax的请求就可以给个弹窗提示

老程序员刘飞
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
基于SpringBoot与Shiro整合实现的一个简单权限管理系统源码+项目说明.zip
12-18
基于SpringBoot与Shiro整合实现的一个简单权限管理系统源码+项目说明.zip Subject : 用户主体(把操作交给 SecurityManager) SecurityManager : 安全管理器(关联 Realm) Realm :Shiro 连接数据的桥梁 【备注】 ...
设置shiro认证和授权失败返回json而不是重定向
Sirm23333
02-08 6420
在使用shiro时,一般对未认证或未授权的请求统一过滤并做出响应,大体有以下配置: <!-- 未认证时返回的页面(被authc user logout 等认证拦截器拦截后)访问的url --> <property name="loginUrl" value="/user/unAuthenticated.do"/> <!-- 未授权时返回的页面(被roles 等授权拦...
mvc源码解读(11)-mvc四大过滤器之AuthorizationFilter
极客神殿
07-10 2116
在上一篇文章中,在讲完ActionDescriptor这个类之后,我们直接跳过了这一句代码: FilterInfo filterInfo = GetFilters(controllerContext, actionDescriptor); 直接讲了ParameterDescriptor,现在我们回过头来看GetFilters方法返回一个FilterInfo实例,FilterInfo类里面的...
AuthorizationFilter身份验证信息
我们的征途是星辰大海
11-12 4178
最近被跨域问题搞得焦头烂额,在前端ajax往服务器端发送请求的时候,我尝试在请求报文header里面自定义请求头: $.ajax({ type: "GET", url: 'http://localhost:49420/api/v1/User/GetById?id=1', dataType: "json", headers: {...
SSM项目中自定义Shiro权限过滤器实现多个权限的或操作
YuFeng_12138的博客
06-02 922
我在做ssm+shiro的项目过程中的学习经验,记录一下。
认识ASP.NET MVC的5种AuthorizationFilter
ma_nong33的博客
06-14 2069
为了生成该Hidden元素的值,HtmlHelper会根据现有的AntiForgeryData对象(从当前请求获取的或者新创建的)创建一个新的AntiForgeryData对象,两个对象具有相同的CreationDate和Value属性,而当前用户名和指定的Salt参数将会设置给新AntiForgeryData对象的UserName和Salt属性。这个例子充分说明了CSRF是一种比较隐蔽并且具有很大危害型的网络攻击,促成攻击的原因在于服务器在针对某个请求执行某个操作的时候并没有验证请求的真正来源。
shiro学习26-shiro提供的filter-AuthorizationFilter
iteye_14612的博客
02-19 594
这个抽象类也是继承自AccessControlFilter。他是用于处理登陆后的权限检查   他有一个属性unauthorizedUrl,表示如果没有对应的权限的话应该调到哪个页面。,这个可以不用配置,但是如果不配置的话默认为空,就会返回一个浏览器默认的401的页面。 看他的子类: ·HostFilter ·PermissionAuthorizationFilter ·PortFi...
vue与shiro结合实现权限按钮
12-15
在现代Web应用开发中,权限控制是一个至关重要的环节,它涉及到用户访问的权限范围和操作权限,确保系统安全。Vue.js作为一个轻量级的前端框架,搭配Apache Shiro这样的安全管理框架,可以有效地实现前端的细粒度...
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
Shiro一个强大的安全框架,可以帮助我们处理身份验证(登录)、授权(权限管理)以及会话管理等问题。 首先,我们需要在项目的`pom.xml`文件中引入必要的依赖。这里,我们依赖于Spring Boot的AOP模块,以便使用...
springboot整合Shiro框架,实现用户权限管理
最新发布
06-24
一、Shiro简介 1、基础概念 ...Shiro自己不维护用户和权限,通过Subject用户主体和Realm域对象的注入,完成用户的认证和授权。 二、整合SpringBoot2框架 1、核心依赖 <groupid>org.apache.shiro</gr
springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_
10-02
总结来说,"springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_"项目是一个使用Spring Boot作为基础框架,结合Shiro进行权限控制,借助MyBatis Plus简化数据库操作的示例。通过这个项目,开发者可以学习到如何...
权限验证框架之Shiro
小明同学的博客
08-21 728
总结起来,Realm、AuthenticationFilterAuthorizationFilter需要进行定义或配置,并由SecurityManager进行管理,以确保Shiro能够正确地进行身份验证和授权操作。将数据转换为不可读的形式,以保护数据的安全性。会话是指用户在与应用程序交互期间的一段时间。是整个Shiro安全体系的核心。因为它没有依赖于特定的框架。配置相应的加密算法和密钥。代表当前执行操作的用户。是所有安全操作的入口点。基于Cookie的会话。用于管理用户的会话信息。基于URL重写的会话。
Shiro过滤器Filter的实战使用
a1498665771的博客
02-23 1432
Shiro过滤器Filter的实战使用
shiro权限框架
qq_40108680的博客
04-11 233
shiro权限框架 1.shiro依赖包 <!-- shiro的支持包 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-all</artifactId> <version>1.4.0</ve...
Shiro学习笔记(3)——授权(Authorization
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
ShiroFilter拦截
weixin_69797860的博客
04-14 620
ShiroFilter拦截
SpringSecurity系列——授权Http请求day4-2(源于官网5.7.2版本)
qq_51553982的博客
07-22 1423
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档。...
二、shiro授权流程
蓄势待发
04-25 225
一、基本流程概括 继承AuthorizingRealm类重写doGetAuthorizationInfo方法实现认证。 配置ShiroFilterFactoryBean中的setFilterChainDefinitionMap配置认证规则【PermissionsAuthorizationFilter路径配置权限】 二、code 配置自定义Realm public class MyShiroRealm extends AuthorizingRealm { @Autowired ICom
shiro基础(一)shiroFilter
m0_59092234的博客
04-07 364
一、功能简介 shiro是java的一个安全(权限)框架,不仅可以用于javaSE环境,还可以用于javaEE环境。shiro可以完成认证、授权、加密、会话管理、缓存等功能。 Authentication:身份认证/登录。 Authorization:授权,即权限验证。 Session Manager:会话管理 Crpytography:加密 Web Support:Web集成 Remember Me:记住我 二、shiro架构 shiro框架(从外部看) Subject:应用代码直接交互的对象,代
Shiro权限框架整合教程
文中提到了一个基于对象关系的权限模型,包括模块表、菜单表、操作表、角色表、角色-菜单关系表、角色-功能表、用户表和用户-角色关系表。这个模型允许权限控制到页面及功能层面。接下来的部分将展示相关的类代码和...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值