Shiro初学踩雷心得

最新推荐文章于 2021-04-08 13:42:49 发布
最新推荐文章于 2021-04-08 13:42:49 发布
阅读量181 收藏 1
点赞数
分类专栏: Shiro 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48039668/article/details/109746763
版权

setSuccessurl基本无效

这个方法是设置认证成功之后的跳转到的页面,但是试了很多方法都不能跳转。
解决办法是可以在方法返回时重定向到要跳转的页面,但是问题又来了。现在大多都喜欢在请求成功之后给前端一个json格式的返回值,里面带上状态码呀,字符串呀什么的,这样就不方便重定向来跳转页面。
可是如果前端页面只用form表单来往后台传值,后台对应的方法在处理完数据之后会自动跳转到该方法的接口页面

form表单请求成功之后跳转到action请求的路径的页面

举个例子:
前端:

<form action="/login" method="get">
    用户名:<input type="text" name="username" id="username">
    <br>
    密码:<input type="text" name="password" id="password">
    <br>
    <input type="submit" value="登陆" >
</form>

后台:

    @GetMapping("/login")
    @ResponseBody
    public Map<String,Object> login(String username,String password){
        System.out.println(username+"++++++++"+password);
        Map<String,Object> map = new HashMap<>();
        // 进行身份验证
        try {
            Subject subject = SecurityUtils.getSubject();
            UsernamePasswordToken token = new UsernamePasswordToken(username,password);
            // 登陆操作
            subject.login(token);
        }catch (IncorrectCredentialsException e){
            map.put("code",500);
            map.put("msg","用户不存在或密码错误");
            return map;
        }catch (LockedAccountException e){
            map.put("code",500);
            map.put("msg","登陆失败,用户已被冻结");
            return map;
        }catch (AuthenticationException e){
            map.put("code",500);
            map.put("msg","该用户不存在");
            return map;
        }catch (Exception e){
            map.put("code",500);
            map.put("msg","未知异常");
            return map;
        }
        map.put("code",200);
        map.put("msg","登陆成功");
        return map;
    }

ShiroConfig中设置successurl

 /**
     * shiro的基本配置
     * @param securityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactory(SecurityManager securityManager){
        // shiro的过滤器
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // securityManager是shiro的控制器,协调其他组件完成认证授权
        // 这里为过滤器添加控制器
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 申明过滤器配置的集合
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

        // 配置shiro默认登录界面地址,前后端分离中登录界面跳转应由前端路由控制,后台仅返回json数据
        shiroFilterFactoryBean.setLoginUrl("/toLogin");
        // 登录成功的页面
        shiroFilterFactoryBean.setSuccessUrl("/index");
        // 登录失败的页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/error");

        // 注意过滤器配置顺序不能颠倒
        // 可直接访问的资源
        // 这里/login是处理登陆的method
        filterChainDefinitionMap.put("/login", "anon");
        // 静态资源(前后端分离的项目不需要配置这个)
        filterChainDefinitionMap.put("/static/**", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        // 未授权禁止访问的资源
        filterChainDefinitionMap.put("/**", "authc");
        // 对过滤器赋值
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

页面输入账号密码后自动跳转为
在这里插入图片描述
这样的一个页面。
从上面ShiroConfig中可以看到,successurl是设置了的,但是跳转的确是 /login的接口的json数据页面。就很离谱。

ajax需要请求两次,认证控制器才能起作用

好!!!
那我给它用ajax来往后台传值,因为前端可以控制页面的跳转(当然是在认证通过之后)
代码如下:
前端:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登陆页面</title>
</head>
<body>
<form action="" method="get">
    用户名:<input type="text" name="username" id="username">
    <br>
    密码:<input type="text" name="password" id="password">
    <br>
    <input type="submit" value="登陆" onclick="login()">
</form>

</body>
<script src="/js/jquery.js"></script>
<script>
    function login()
    {
        var username = document.getElementById("username").value;
        var password = document.getElementById("password").value;
        $.ajax({
            type: 'get',
            url: "login",
            data: {
                "username": username,
                "password": password
            },
            success: function (data) {
                console.log(data)
                if (data.code == 200){
                    alert("登录成功!")
                    window.location.href="index";
                }else {
                    alert("登陆失败!用户名或密码错误")
                }
            }
        });
    }
</script>
</html>

这里把form表单中的 acthon不设置接口名,防止form和ajax都传值。
后台把ShiroConfig中的setSuccessurl给注释掉,其他不变。
js中的**window.location.href=“index”;**就可以控制页面的跳转了。
这样看着没问题
可是邪门的问题又来了(也许是我刚入门技术尚浅找不到问题所在)

这是最开始的登陆页面:
在这里插入图片描述
输入账号密码后点击登陆
前端页面变成这个样子
在这里插入图片描述
然后后台控制台输出为:
在这里插入图片描述
可以看到后台是拿到数据了的,最下面的那个对象地址是在ShiroRealm中认证方法中的输出,不多说看代码:

 /**
     * 身份认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 获取用户输入的账号
        String username = (String) authenticationToken.getPrincipal();
        System.out.println(username);
        // 通过username从数据库中查找 User对象,如果找到则进行验证
        TUser user = userService.selectUserByName(username);
//        System.out.println(user);
        // 判断账号是否存在
        if (user == null){
            throw new AuthenticationException();
        }
        // 判断账号是否被冻结
        if (user.getState() ==null || user.getState().equals("PROHIBIT")){
            throw new LockedAccountException();
        }
        // 进行验证
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                // 用户名
                user,
                // 密码
                user.getPassword(),
                // 盐值
//                ByteSource.Util.bytes(user.getSalt()),
                getName()
        );
        System.out.println(user);
        return authenticationInfo;
    }

可以看到认证管理器是拿到数据了的,但是没起作用。

这里说明一下:为什么说认证管理器没起作用呢,因为我试过在地址栏输localhost:8080/index,自动给我跳到登陆页面,说明没认证。

行!!!我不关服务器再请求一次
在这里插入图片描述
点击登陆之后:
在这里插入图片描述
跳转成功,同时认证也成功。
服务器的控制台打印数据:
在这里插入图片描述
这个问题就特别离谱。

form表单和ajax结合起来用

然后我把form表单和ajax结合起来用,虽然看着特别别扭,既form表单请求了后台,ajax也请求后台,看起来多次一举,但是就离谱的解决了这个问题。
前端代码:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登陆页面</title>
</head>
<body>
<form action="/login" method="get">
    用户名:<input type="text" name="username" id="username">
    <br>
    密码:<input type="text" name="password" id="password">
    <br>
    <input type="submit" value="登陆" onclick="login()">
</form>

</body>
<script src="/js/jquery.js"></script>
<script>
    function login()
    {
        var username = document.getElementById("username").value;
        var password = document.getElementById("password").value;
        $.ajax({
            type: 'get',
            url: "login",
            data: {
                "username": username,
                "password": password
            },
            success: function (data) {
                console.log(data)
                if (data.code == 200){
                    alert("登录成功!")
                    window.location.href="index";
                }else {
                    alert("登陆失败!用户名或密码错误")
                }
            }
        });
    }
</script>
</html>

虽然很不规范,但是问题解决了。

单纯用ajax的话,前端拿不到后台传过来的数据

在后面写注册功能的时候我发现,只用ajax是拿不到后台传过来的json数据的,还是用ajax+form表单,才能解决这个问题!

认证成功,但是授权器没有运行

我用的注解的方式进行授权

这里主要是需要在ShiroConfig中开启Shiro的注解支持

  • 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
  • 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能

代码如下:

    @Bean
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    /**
     * 开启aop注解支持
     * @param securityManager
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
�ArKi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
shiro认证成功依然回到登陆页面的问题(亲测已解决)
m0_56414641的博客
07-19 3817
关于这个问题,网上查了很多方法,都说自己配置的successUrl会被覆盖.经我反复实验证实,并非是这样的,而是要分情况. 我先上结论吧(反复实验证实): 结论: 自己配置的successUrl一直生效,只是,如果successUrl配置的是一个页面地址,会因为没有访问权限而被重定向到前一个页面(一般是登陆页面),被误以为是被覆盖了;如果successUrl配置的是一个方法地址,我们可以通过这个方法重定向到站内任何资源(比如登陆成功之后的首页).(找到方法后,我作为初级程序猿,觉得其实还挺简单的,没找
怎么实现登录之后跳转到登录之前的页面?SpringMVC+Freemarker
weixin_30851867的博客
12-10 283
项目中,想实现一个功能。 直接访问某个需要登录的url,比如/addArticle,可能会跳转到登录页面login.html。 登录成功之后,自动跳转到/addArticle这个登录前的页面,继续登录之前的操作。 思路很简单: 登录拦截器,获得backurl, String backUrl=request.getRequestURI(); //返回到原来的页面,而...
登录成功后,跳转到登录前的页面
weixin_30778805的博客
07-18 1972
由于页面长时间未操作,出现登录超时,用户再次刷新页面,系统会自动跳转到登录页面。当用户重新登录后,怎么才能跳转到原来的页面呢?解决的方法如下: /** * 获取request请求中的参数 * @param sb * @param req * @return */ @SuppressWarnings("all") ...
Spring security/Shiro ---登陆成功后返回登陆前界面<页面重定向>
koooooooo5的博客
04-08 1268
Spring security ---登陆成功后返回登陆前界面<页面重定向> 问题:在登陆/退出成功后,我们往往通过http.formLogin().successForwardUrl()和http.logout().logoutSuccessUrl()设定操作成功后的回跳页面。我们现在希望在任意界面跳转到登陆界面后,一旦登录成功便会返回登陆前的界面。 解决方法:我们自定义一个过滤器,在Spring security将当前页面(假设为P)重定向到登录页面之前,先将当前页面P的url存入对应的Be
Springboot 整合Shiro 轻量级权限框架,从数据库设计开始带你快速上手shiro
默默不代表沉默
04-26 2423
前言 shiro是一个轻量级的权限框架,该篇我将会从0到1快速教大家搭建出一套包含角色,权限登录校验的项目。 就算你没了解过,也能学会。跟着我把代码敲一遍,这个项目就是属于你的。 该篇文章比较啰嗦,篇幅较长,如果不是入门的初学者大可不必从头开始阅读(我一般的教程都会以从零开始的方式,所以都比较啰嗦)。 正文 数据库的准备(Mysql): 在这是实践的案例里面,数据库表三...
初学Shiro框架项目
12-23
搭建了Shiro框架下不同管理员登录显示不同菜单的权限管理,配数据库
shiro框架学习心得
06-27
shiro框架学习心得,简介!
shiro学习心得
05-20
自己在学习shiro一点心得shiro应用
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
shiro 登录成功后 不跳转到 successUrl 的问题解决
houjunkai的博客
12-16 6015
1.重写 FormAuthenticationFilter 父类的  issueSuccessRedirect 方法 import javax.servlet.ServletRequest;                                                       import javax.servlet.ServletResponse;           
shiro登陆后没有返回设置的successUrl
weihuiming
09-18 4966
iframe的页面,shiro登陆后没有返回设置的successUrl
shiro框架的successUrl配置不起作用的解决办法
weixin_38357164的博客
12-30 2131
loginUrl:只要请求资源任何位置的一个未经认证的用户请求,都会被拦截并统一进入loginUrl配置的路径进行认证。 successUrl:是用户认证通过后将要跳转的请求或者资源位置,通常不用配置,认证通过以后会自动跳转进入上一次请求的路径。 比如:第一次请求路径为:localhost:8080/LZB/login.action,这时候因为用户没有认证,所以会拦截到登录页面:localho...
设置shiroFilterFactoryBean.setSuccessUrl()无效
weixin_34122604的博客
08-29 3131
前提登录处理URL:/login拦截器配置:filterChainDefinitionMap.put("/login", "anon");无效原因/login被anon拦截器拦截,根本不会执行登录并跳转到successUrl页解决方法换个拦截器拦截,比如authc,当然也可自定义实现。以authc为例1. 拦截器为authcfilterChainDefinitionMap.p...
shiro不跳转successUrl问题
weixin_34289454的博客
12-15 228
2019独角兽企业重金招聘Python工程师标准>>> ...
spring boot+shiro整合学习过程碰到的问题
qq_29856253的博客
01-21 363
最近在学习spring boot整合shiro实现登录和权限的功能,找到一个程序媛博主写的还不错,贴上链接:https://www.jianshu.com/p/672abf94a857 然后在学习过程中发现了一些问题,自己摸索着解决了,写篇博客记录下,整合主要实现在上面链接。 1.登录成功后跳转页面问题 参考博客实现完所有的配置后,按照我最初的印象,shiro设置了successUrl,例如...
springboot整合Shiro
zhaocuit的博客
06-21 613
Shiro与springboot整合 概述 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、加密和会话管理,使用shiro可以非常方便的完成项目的权限管理模块开发 三个核心组件: Subject:当前操作用户,可以是登录用户,也可以是第三方访问程序 SecurityManager:管理所有用户的安全操作,包括执行身份验证、授权、加密和会话管理 Realms:当对用户执行认证和授权验证时,Shiro会从应用配置的Realm中查找用户及其权限信息,本质上是一个实现了查询用户权限
shiro successUrl 不起作用 解决
u010947651的专栏
03-15 1521
看源码 调用顺序  1: 2: 3: 解决方案============= 自定义FormAuthenticationFilter继承FormAuthenticationFilter 重写onLoginSucess方法
dubbo shiro
最新发布
12-17
Dubbo Shiro是一种基于Dubbo和Shiro框架的权限管理解决方案。它可以帮助开发人员快速实现基于角色的访问控制和权限管理。下面是一个简单的演示: 1.在Dubbo服务提供者中配置Shiro过滤器链 ```java @Bean public ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值