shiro 重写AuthorizationFilter 让shiro没有权限的时候不重定向,而是执行一个回显操作(初探)

最新推荐文章于 2022-08-30 08:37:32 发布
最新推荐文章于 2022-08-30 08:37:32 发布
阅读量6.1k 收藏 8
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43077857/article/details/95066802
版权

这里在项目需求完成的过程
以前没有权限直接跳转403.html
在这里插入图片描述
这样代码非常不灵活
而且前端如果不是html的页面没有权限经常跳不到403的页面
会报一个302的错误

我这里想重写下这个配置后直接跳转到403页面的方式
最好能够返回一段json
这样我前端直接判断json中的数据后前端做跳转到403页面

找了一下shiro中页面重定向的代码是这个AccessControlFilter中的onAccessDenied的方法

在这里插入图片描述
这里我们来重写改造这个方法
先放代码
package com.crsri.config;

import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;
import com.alibaba.fastjson.JSONObject;

public class MyPermsFilter extends AuthorizationFilter{

@Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
	HttpServletRequest req = (HttpServletRequest)request;
    HttpServletResponse resp = (HttpServletResponse) response;
    Subject subject = getSubject(request, response);
    // If the subject isn't identified, redirect to login URL
    if (subject.getPrincipal() == null) {
        saveRequestAndRedirectToLogin(request, response);
    } else {
    	resp.setHeader("Access-Control-Allow-Origin",  req.getHeader("Origin"));
        resp.setHeader("Access-Control-Allow-Credentials", "true");
        resp.setContentType("application/json; charset=utf-8");
        resp.setCharacterEncoding("UTF-8");
        PrintWriter out = resp.getWriter();
        JSONObject map = new JSONObject();
        map.put("code",403);
		map.put("msg", "权限不足");
		map.put("data", null);
        out.println(map);
        out.flush();
        out.close();
        return false;
        // If subject is known but not authorized, redirect to the unauthorized URL if there is one
        // If no unauthorized URL is specified, just return an unauthorized HTTP status code
        /*String unauthorizedUrl = getUnauthorizedUrl();*/
        /*String unauthorizedUrl ="/403.html";*/
        //SHIRO-142 - ensure that redirect _or_ error code occurs - both cannot happen due to response commit:
      /*  if (StringUtils.hasText(unauthorizedUrl)) {*/
        /*    WebUtils.issueRedirect(request, response, unauthorizedUrl);
            System.out.println("我要回显数据");
        } else {
            WebUtils.toHttp(response).sendError(HttpServletResponse.SC_UNAUTHORIZED);
        }*/
    }
    return false;
}

@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue)
		throws Exception {
	// TODO Auto-generated method stub
	return false;
}

}

然后逐个讲讲
在这里插入图片描述
在这里插入图片描述

这样就可以了

如果没有权限的html操作就可以返回这
在这里插入图片描述
如果是ajax的请求就可以给个弹窗提示

老程序员刘飞
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
设置shiro认证和授权失败返回json而不是定向
Sirm23333
02-08 6381
在使用shiro时,一般对未认证或未授权的请求统一过滤并做出响应,大体有以下配置: <!-- 未认证时返回的页面(被authc user logout 等认证拦截器拦截后)访问的url --> <property name="loginUrl" value="/user/unAuthenticated.do"/> <!-- 未授权时返回的页面(被roles 等授权拦...
Shiro学习笔记(3)——授权(Authorization)
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
Shiro笔记五:Shiro内置Filter过滤器
m0_54853420的博客
04-22 1004
Shiro笔记五:Shiro内置Filter过滤器 shiro内置的过滤器 核心过滤器类:DefaultFilter,配置哪个路径对应哪个拦截器进行处理。 authc:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 需要认证登录才能访问 user:org.apache.shiro.web.filter.authc.UserFilter 用户拦截器,表示必须存在用户。 anon:org.apache.shiro.web.f
Shiro 认证、授权失败返回JSON数据
m0_67391401的博客
08-30 1065
先说一下思路,需要自定义过滤器,登录认证的需要继承FormAuthenticationFilter,授权的需要继承PermissionsAuthorizationFilter,并重写里面的 onAccessDenied 方法,shiro过滤器不是链式调用,所以判断逻辑要新写,就是判断权限时需要先写判断登录的逻辑;最后需要在shiro配置类中注入自定义的过滤器;有时不知道怎么改时可以多看看shiro源码。...
SpringBoot项目中shiro过滤器的重写以及配置
m0_52789121的博客
04-27 547
跨域访问导致shiro拦截失效的问题 问题 解决方案 1.重写shiro 登录 过滤器 2.重写role权限 过滤器 3.配置过滤器 问题 遇到问题:在前后端分离跨域访问的项目中shiro进行权限拦截失效 (即使有正确权限的访问也会被拦截) 时造成302定向错误等问题 报错:Response for preflight is invalid (redirect) 1.302原因:使用ajax访问后端项目时无法识别定向操作 2.shiro拦截失效原因:跨域访问时有一种
2020-09-01 关于shiro重写自定义FormAuthenticationFilter放置在shiroFilterFactoryBean中依旧未拦截生效的问题
qq_41362717的博客
09-01 1290
1,问题:把继承FormAuthenticationFilter的自定义的Filter交给shiro管理后,拦截依旧失效 //配置过滤器的map Map<String, Filter> filters = new HashMap<>(); //自定义的未登录拦截器filter要交给shiro管理,如果使用@Bean或者@Component交给spring管理,会报org.apache.shiro.UnavailableSecuri
基于SpringBoot与Shiro整合实现的一个简单权限管理系统源码+项目说明.zip
12-18
基于SpringBoot与Shiro整合实现的一个简单权限管理系统源码+项目说明.zip Subject : 用户主体(把操作交给 SecurityManager) SecurityManager : 安全管理器(关联 Realm) Realm :Shiro 连接数据的桥梁 【备注】 ...
vue与shiro结合实现权限按钮
12-15
在现代Web应用开发中,权限控制是一个至关要的环节,它涉及到用户访问的权限范围和操作权限,确保系统安全。Vue.js作为一个轻量级的前端框架,搭配Apache Shiro这样的安全管理框架,可以有效地实现前端的细粒度...
springboot整合Shiro框架,实现用户权限管理
最新发布
06-24
一、Shiro简介 1、基础概念 ...Shiro自己不维护用户和权限,通过Subject用户主体和Realm域对象的注入,完成用户的认证和授权。 二、整合SpringBoot2框架 1、核心依赖 <groupid>org.apache.shiro</gr
springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_
10-02
总结来说,"springboot-shiro-demo_mybatisplus_DEMO_shiro权限管理_"项目是一个使用Spring Boot作为基础框架,结合Shiro进行权限控制,借助MyBatis Plus简化数据库操作的示例。通过这个项目,开发者可以学习到如何...
shiro_rce_tool:shiro rce tool 反序列 命令执行 一键工具 回显
04-29
1、spring/tomcat回显执行命令的时候,x=whoami 就行 2、批量检测是否shiro 3、目标服务器不出网的情况下探测 2020-08-21: 新增了cc8 cc9 cc10利用链 新增了输出payload模式,在执行命令的时候输入output=on即可...
遇到问题----shrio------shiro自定义filters无效
直到世界的尽头
03-08 1万+
shiro  自定义filters无效需要注意filterChainDefinitions中的顺序,roles等应放在authc的前面。
遇到问题----shrio------shiro登录,多个项目session被覆盖问题---两个web项目会导致shiro的session污染
直到世界的尽头
03-08 1万+
情况遇到问题----shrio------shiro登录,多个项目session被覆盖问题---一个项目两个web模块会导致shiro的session污染表现为 我在同一台机子上部署了两个都使用了shiro管理的web项目。它们的访问路径除了端口不一样,ip是一样的。当两个系统同时访问时,在一个系统中操作之后另一个系统就会自动退出登录。但是 如果用域名访问就不会出现这个问题。原因web项目的ses
spring boot shiro 开启注解支持并禁止定向跳转,开启json返回
Orange软件的博客
11-22 2209
最近在做前后端分类实践,shiro 必须符合以下要求: 1.登陆权限认证失败禁止定向跳转。 2.登陆权限认证返回json,因为前后端分离了,必须全部返回json… 码云开源地址:https://gitee.com/orangeenterprise/shiro-login ...
shiro,ajax请求认证失败返回json(正式)
yuhui666666的博客
01-04 1301
本文基于Shiro权限注解方式来控制Controller方法是否能够访问。 例如使用到注解: @RequiresPermissions 来控制是否有对应权限才可以访问 @RequiresUser 来控制是否存在用户登录状态才可以访问 想了解Shiro是如何通过注解来控制权限的,可以查看源码 AopAllianceAnnotationsAuthorizingMethodIntercep...
shiro框架源码解析与改造(八)---PermissionsAuthorizationFilter
ljz2016的博客
08-10 2446
PermissionsAuthorizationFilter权限验证的关键过滤器。 @Override protected boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { return this.i...
Shiro之授权流程篇
qq_43654581的博客
10-29 364
了解Shiro的授权流程,并debug演示
spring 集成shiro 之 自定义过滤器
热门推荐
学习笔记
09-03 6万+
转:http://blog.csdn.net/shuishouhcd/article/details/9077379 最近一段时间,我一直在将shiro集成到我的一个项目中,用作认证和授权处理。             shiro对我来说是个新东西,以下是我学习过的内容:             http://shiro.apache.org/authoriz
写一个shiro权限认证的登录代码java
05-10
好的,以下是一个基本的 shiro 权限认证的登录代码示例: ```java import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.subject.Subject; ... // 获取当前 subject Subject currentUser = SecurityUtils.getSubject(); // 封装登录用户的用户名和密码 UsernamePasswordToken token = new UsernamePasswordToken(username, password); try { // 调用 subject 的 login 方法进行登录认证 currentUser.login(token); // 登录成功,跳转到首页或其他页面 } catch (AuthenticationException e) { // 登录失败,返回错误信息给用户 } ``` 在上面的代码中,`currentUser` 是当前的用户对象,`UsernamePasswordToken` 是 Shiro 提供的一个实现了 `AuthenticationToken` 接口的类,用于封装登录用户的用户名和密码。 当有用户尝试登录时,我们首先通过 `SecurityUtils.getSubject()` 获取到当前的 subject 对象,然后创建一个 `UsernamePasswordToken` 对象,并将用户名和密码作为参数传入。 接下来,我们调用 `currentUser.login(token)` 方法进行登录认证。如果登录成功,该方法会返回 `true`,否则会抛出 `AuthenticationException` 异常,我们可以在 catch 块中处理登录失败的情况。 需要注意的是,这段代码还需要与 shiro 的配置文件一起使用,以配置用户认证和授权的方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值