springMVC+shiro的权限管理和异常统一处理

最新推荐文章于 2024-05-06 08:00:00 发布
最新推荐文章于 2024-05-06 08:00:00 发布
阅读量1.2w 收藏 9
点赞数 4
文章标签: springMVC shiro 权限管理 异常统一处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/splf32/article/details/54922753
版权
springMVC+shiro的权限管理和异常统一处理
SpringMVC+shiro的配置请参照网上其他博文,本文主要介绍如何使用shiro,动态管控用户的url请求。如何自定义filter,让前端页面通过返回的异常状态码进行统一的弹窗提示。
使用shiro后发现,当请求不符合过滤器要求时,会自动跳转到unauthorizedUrl页面,而我想实现的是通过后端返回不同的异常状态码,前端ajax判断后进行弹窗提示,这样用户体验上会更友好一些。具体做法是通过自定义shiro的filter来实现的。
首先在shiro的配置文件中配置自定义的filter: 
	<bean id="loginFilter" class="com.cmcc.hygcc.comm.shiro.LoginFilter"></bean>
	<bean id="myFilter" class="com.cmcc.hygcc.comm.shiro.MyFilter"></bean>
	<!-- Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行 -->
	<!-- Web应用中,Shiro可控制的Web请求必须经过Shiro主过滤器的拦截,Shiro对基于Spring的Web应用提供了完美的支持 -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<!-- Shiro的核心安全接口,这个属性是必须的 -->
		<property name="securityManager" ref="securityManager" />
		<!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 -->
		<property name="loginUrl" value="/" />
		<!-- 登录成功后要跳转的连接(本例中此属性用不到,因为登录成功后的处理逻辑在LoginController里硬编码为main.jsp了) -->
		<property name="successUrl" value="/index.htm" />
		<!-- 用户访问未对其授权的资源时,所显示的连接 -->
		<!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp -->
		<property name="unauthorizedUrl" value="/reLogin" />
		<property name="filters">
			<map>
				<entry key="myFilter" value-ref="myFilter" />
				<!-- 覆盖authc过滤器,使得未登录的ajax请求返回401状态 -->
				<entry key="authc" value-ref="loginFilter" />
			</map>
		</property>
		<!-- Shiro连接约束配置,即过滤链的定义 -->
		<!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.csdn.net/jadyer/article/details/12172839 -->
		<!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 -->
		<!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 -->
		<!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter -->
		<property name="filterChainDefinitions">
			<value>
				/=anon
				/font/**=anon
				/login.jsp=anon
				/jcaptcha*=anon
				/images/**=anon
				/js/**=anon
				/css/**=anon
				/system/getSalt*=anon
				/loginCheck=anon
				/login=anon
				/druid=anon
				/reLogin=anon
				/index.htm=authc
				/logout.htm=authc
				/system/navigation/get=authc
				/dics/list=authc
				/**=myFilter
			</value>
		</property>
	</bean>
其中包含两个filter,loginFilter和MyFilter,loginFilter主要是覆盖了自带的authc过滤器,让未登录的请求统一返回401。MyFilter是用于过滤需要权限校验的请求。 

import java.io.IOException;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.StringUtils;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.beans.factory.annotation.Autowired;

import com.cmcc.hygcc.comm.dao.CommonDao;

/**
 * @Type LoginFilter.java
 * @Desc 用于自定义过滤器,过滤用户请求时是否是登录状态
 * @author Zero
 * @date 2017年2月6日 上午9:06:15
 * @version 
 */
public class LoginFilter extends AuthorizationFilter {
    @Autowired
    public CommonDao dao;

    @Override
    protected boolean isAccessAllowed(ServletRequest req, ServletResponse resp, Object arg2)
            throws Exception {
        Subject subject = getSubject(req, resp);
        if (null != subject.getPrincipals()) {
            return true;
        }
        return false;
    }

    /**
     * 会话超时或权限校验未通过的,统一返回401,由前端页面弹窗提示
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response)
            throws IOException {
        if (isAjax((HttpServletRequest) request)) {
            WebUtils.toHttp(response).sendError(401);
        } else {
            String unauthorizedUrl = getUnauthorizedUrl();
            if (StringUtils.hasText(unauthorizedUrl)) {
                WebUtils.issueRedirect(request, response, unauthorizedUrl);
            } else {
                WebUtils.toHttp(response).sendError(401);
            }
        }

        return false;
    }

    private boolean isAjax(HttpServletRequest request) {
        String header = request.getHeader("x-requested-with");
        if (null != header && "XMLHttpRequest".endsWith(header)) {
            return true;
        }
        return false;
    }
}

import java.io.IOException;
import java.util.Set;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.StringUtils;
import org.apache.shiro.web.filter.authz.AuthorizationFilter;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.beans.factory.annotation.Autowired;

import com.cmcc.hygcc.comm.dao.CommonDao;

/**
 * @Type MyFilter.java
 * @Desc 用于自定义过滤器,过滤用户请求是否被授权
 * @author Zero
 * @date 2017年2月6日 上午9:06:15
 * @version 
 */
public class MyFilter extends AuthorizationFilter {
    @Autowired
    public CommonDao dao;

    @SuppressWarnings("unchecked")
    @Override
    protected boolean isAccessAllowed(ServletRequest req, ServletResponse resp, Object arg2)
            throws Exception {
        HttpServletRequest request = (HttpServletRequest) req;
        //获取请求路径
        String path = request.getServletPath();
        Subject subject = getSubject(req, resp);
        if (null != subject.getPrincipals()) {
            //根据session中存放的用户权限,比对路径,如果拥有该权限则放行
            Set<String> userPrivileges = (Set<String>) request.getSession()
                    .getAttribute("USER_PRIVILEGES");
            if (null != userPrivileges && userPrivileges.contains(path)) {
                return true;
            }
        }
        return false;
    }

    /**
     * 会话超时或权限校验未通过的,统一返回401,由前端页面弹窗提示
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response)
            throws IOException {
        if (isAjax((HttpServletRequest) request)) {
            WebUtils.toHttp(response).sendError(401);
        } else {
            String unauthorizedUrl = getUnauthorizedUrl();
            if (StringUtils.hasText(unauthorizedUrl)) {
                WebUtils.issueRedirect(request, response, unauthorizedUrl);
            } else {
                WebUtils.toHttp(response).sendError(401);
            }
        }

        return false;
    }

    private boolean isAjax(HttpServletRequest request) {
        String header = request.getHeader("x-requested-with");
        if (null != header && "XMLHttpRequest".endsWith(header)) {
            return true;
        }
        return false;
    }
}

主要的判断逻辑如下:当收到ajax请求,且该请求未授权时,返回错误码401。下面贴出前端ajax的处理代码: 
$.ajaxSetup({
	cache:false,
        error : function(XMLHttpRequest, textStatus,errorThrown) { 
            switch (XMLHttpRequest.status){  
	            case(401): 
	            	tempAlert("会话超时或访问未授权,即将跳转到登录页!"); 
	            	setInterval("toLoginPage()",3000);
                break;
                default:  
                    tempAlert("网络连接已断开!"); 
            }
        }
});

由于前端有部分超链接,对超链接也做了ajax的封装,每个超链接通过onclick方法调用ajaxHref函数,代码如下。这样就可以实现不论前端页面是超链接或是ajax请求,在请求未授权时,页面都会统一弹出确认窗口,并自动跳转到登录页。 
function ajaxHref(url){
			$.ajax({
				type : 'GET',
				url : url,
				async : false,
				success:function(){
					window.location.href=url;
				}
			});
		}



splf32
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
springboot+redis+shiro单点登录,统一异常处理统一日志
07-10
springboot+redis+shiro单点登录,统一异常处理统一日志,缓存
SpringMVC+mybatis+shiro+Restful+dubbo+maven分布式框架设计
02-26
SpringMVC和MyBatis负责业务逻辑的处理Shiro保障安全,RESTful接口使得各服务间通信简洁,Dubbo则实现服务的解耦与高可用,而Maven则作为整个项目的构建与依赖管理工具。这样的框架设计能够应对复杂的企业级应用...
Springboot+Shiro统一异常处理包含Ajax
Simlier的博客
06-05 1818
1.采用方式 这里通过 @ControllerAdvice和@ExceptionHandler 的异常处理方式 2.具体步骤 1.创建统一异常处理类(GlobalExpetion) 2.定义判断是否是Aajx请求的方法 public boolean isAjax(HttpServletRequest request) { return (request.getHeader("X...
Shiro——没有角色无法访问、获取角色进行验证、获取权限进行验证以及异常处理
最新发布
程序员阿皓的博客
05-06 524
Shiro——没有角色无法访问、获取角色进行验证、获取权限进行验证以及异常处理
springboot集成shiro 前后端分离 统一处理shiro异常
weixin_30929011的博客
07-05 850
在前后端分离的情况下,shiro一些权限异常处理返回401之类的结果,这种结果不好统一管理。我们希望的结果是统一管理,所有情况都受我们控制 就算权限验证失败,我们也希望返回200,并且返回我们定义的信息之类的。 默认的拦截器情况 public enum DefaultFilter { anon(AnonymousFilter.class), authc(F...
shiro学习——整合jwt时全局异常处理器无法处理JWTFilter中抛出的异常
weixin_43344930的博客
08-09 4693
springboot+shiro+jwt全局异常处理器无法处理JWTFilter中抛出的异常一、shiro中会出现的异常1、 AuthencationException2、 AuthorizationException二、为什么无法被全局异常处理处理三、解决方案1、把统一返回的信息写入response中2、使用重定向到处理该错误的controller中 一、shiro中会出现的异常 1、 AuthencationException AuthenticationException 异常Shiro在登录认
Maven+SpringMvc+Mybatis+shiro+easyUi框架介绍
11-07
总结来说,Maven+SpringMVC+Mybatis+Shiro+EasyUi的组合提供了一个全面的开发框架,涵盖了项目管理、Web应用开发、数据库操作、安全管理和用户界面设计。这样的框架有利于提高开发效率,降低项目复杂度,同时也方便...
Spring+SpringMVC+MyBatis 会议管理系统
03-30
SpringMVC通过DispatcherServlet作为前端控制器,统一处理所有请求,并利用HandlerMapping和HandlerAdapter找到对应的处理器方法。 MyBatis是一个轻量级的持久层框架,它简化了JDBC的繁琐工作,将SQL语句与Java代码...
基于easyui+springmvc实现的文件管理系统
04-13
1. **用户认证与授权**:通过Spring Security或者Apache Shiro等安全框架,实现用户登录验证和权限控制,确保只有授权用户能访问和操作特定的文件。 2. **文件存储**:文件存储通常有两种方式:本地存储和云存储。...
spring+springmvc+mybatis搭建的一个酒店管理系统附带mysql数据库
01-12
9. **异常处理**:系统可能包含全局异常处理机制,统一处理程序运行过程中可能出现的异常,提高系统的健壮性。 10. **单元测试和集成测试**:项目可能使用JUnit、Mockito等工具进行单元测试,验证各个模块的功能...
Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis企业级报表后台管理系统
04-19
用了两个多月的时间完成的:Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis企业级开发系统,Springboot作为容器,使用mybatis作为持久层框架 使用官方推荐的thymeleaf做为模板引擎,shiro作为安全框架,主流技术 几乎零XML,极简配置,两套UI实现(bootstrap+layer ui),可以自由切换 报表后端采用技术: SpringBoot整合SSM,spring security 全注解式的权限管理和JWT方式禁用Session,采用redis存储token及权限信息 报表前端采用Bootstrap框架,结合Jquery Ajax,整合前端Layer.js(提供弹窗)+Bootstrap-table(数据列表展示)+ Bootstrap-Export(各种报表导出SQL,Excel,pdf等)框架,整合Echars,各类图表的展示(折线图,饼图,直方图等),使用了layui的弹出层、菜单、文件上传、富文本编辑、日历、选项卡、数据表格等 用户管理,菜单管理,角色管理,代码生成
Shiro异常处理总结
weixin_46246967的博客
06-25 72
Shiro异常处理总结
SpringMVC统一返回值和全局异常处理的实现
w20001118的博客
07-09 1750
实体统一返回结果步骤如下:(1)创建ResponseBodyAdvice的实现类,重写supperts()和beforBodyWrite()(2)为该实现类加上@RestControllerAdvice注解,通过属性指定需要被@RestControllerAdvice管理的controller(3)使用supperts()协助我们更加灵活的过滤需要进行统一返回处理的controller(4)在beforBodyWrite()中进行统一返回处理实现统一异常处理步骤如下:(1)创建全局异常处理类。
springboot + shiro 权限注解、统一异常处理、请求乱码解决
qq_42345394的博客
06-27 3378
springboot + shiro 权限注解、统一异常处理、请求乱码解决前篇后台权限管理系统相关:  spring boot + mybatis + layui + shiro后台权限管理系统springboot + shiro之登录人数限制、登录判断重定向、session时间设置springboot + shiro 动态更新用户信息基于前篇,新增功能:新增shiro权限注解gaimor.cn请...
权限由shiro控制后 如何在 web.xml中拦截404 500等等异常
wqy123123wqy的博客
07-25 2349
1.web.xml中有shiro框架 filter> <!-- 这里的 filter-name 要和 spring 的 applicationContext-shiro.xml 里的 org.apache.shiro.spring.web.ShiroFilterFactoryBean的 bean name 相同 --> filter-name>shiroSecurit
Shiro中注解无效500错误
c13581357368的专栏
04-06 1174
shiro在于Springmvc和Spring集成中可以使用编程式、jsp标签和注解来实现权限认证,注解在官方文档中致写了配置,但没有写在哪儿配置 要想使用shiro注解实现权限控制,我们需要在Springmvc中加入如下配置 &lt;!-- shiro中注解起作用必须配置在springmvc配置文件中,配置在其他地方无效 --&gt; &lt;bean class="org.spri...
springboot + shiro 权限注解、统一异常处理、请求乱码解决acgred.cn
qq_42345394的博客
06-27 1688
异常效果普通异常:console错误信息:www.acgred.cn[2018-05-25 09:30:04.669][http-nio-8077-exec-8][ERROR][org.apache.juli.logging.DirectJDKLog][181]:Servlet.service() for servlet [dispatcherServlet] in context with pa...
shiro过滤器详解分析
weixin_34177064的博客
03-11 1218
(原) shiro最核心的2个操作,一个是登录的实现,一就是过滤器了。登录有时间再补录说明,这里分析下shiro过滤器怎样玩的。 1、目标 这里会按如下顺序逐一看其实原理,并尽量找出其出处。 先看一下shiro过滤器有哪些及它们的别名分别对应哪些类:点这里 这里只分析平时用的最多的一个:authc过滤器,对应的处理器的类是FormAuthenticationFilter。 2...
SpringMVC+Shiro实战:权限控制详解
"SpringMVCShiro结合进行权限管理的实践" 在Web开发中,权限管理是一项关键功能,用于控制不同用户对系统资源的访问权限。SpringMVC作为流行的MVC框架,配合Apache Shiro安全框架,可以实现灵活且强大的权限控制...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值