使用Shiro等安全框架不拦截验证Get方式下的token/Get方式下会拦截验证token问题

已于 2022-04-27 16:28:35 修改
阅读量1.4k 收藏 1
点赞数 1
分类专栏: java 文章标签: java spring 后端
于 2022-04-27 11:32:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tong_8888/article/details/124445789
版权
本文档记录了在使用Shiro安全框架时遇到的一个问题,即GET请求的图片下载接口被拦截,导致无法正常下载。通过分析错误示例,发现Shiro配置的拦截路径不正确。解决方案包括在配置中添加`/**`通配符,或者修改Controller层代码,使用@RequestParam注解来获取参数。经测试,这两种方法都能使下载接口成功绕过拦截。
摘要由CSDN通过智能技术生成

前言:这个问题其实挺基础的,但自己还是费了一点时间,特此记录下,在使用Shiro后post拦截和放行都没有问题,唯独在以get方法下载图片等在不需要token验证的方式下一直被拦截

文章目录

错误示例



Controller代码
说明:这里是用get拼接路径的方式指定参数,也就是使用@PathVariable注解

@ApiOperation(value = "下载图片接口",notes = "下载图片接口")
    @RequestMapping(value="/valuePerPhoto2/{fileName}",method = RequestMethod.GET)
    public void valuePerPhoto2(HttpServletResponse response,@PathVariable(value = "fileName") String fileName){
        log.info("fileName:"+fileName);
    }

Shiro安全框架中对拦截路径的配置部分代码
说明:而在配置拦截路径时只到接口方法名,有经验的人应该看出来这里是有问题的

filterChainMap.put("/download/valuePerPhoto2","anon");       /* 下载接口 */

测试结果
在这里插入图片描述
断点
说明:在自定义过滤器类中可以明显看到这个接口有被拦截的,token为null是因为我没有传token
在这里插入图片描述

正确示例(一)

修改Shiro配置路径,追加/ **

filterChainMap.put("/download/valuePerPhoto2/**","anon");       /* 下载接口 */

测试结果

在这里插入图片描述
在这里插入图片描述


因为下载图片等特定接口要获取到文件后缀名,使用上面@PathVariable注解不好处理,可以切换成@RequestParam注解来获取入参参数

正确示例(二)

修改Controller层代码

@ApiOperation(value = "下载图片接口",notes = "下载图片接口")
    @RequestMapping(value="/valuePerPhoto2",method = RequestMethod.GET)
    public void valuePerPhoto2(HttpServletResponse response,@RequestParam(value = "fileName") String fileName){
        log.info("fileName:"+fileName);
    }

修改Shiro拦截路径配置,去掉/ **

filterChainMap.put("/download/valuePerPhoto2","anon");       /* 下载接口 */

测试结果
说明:注意这里是传请求参数,get方式下路径后面是?fileName=2222222
在这里插入图片描述
在这里插入图片描述

古纳川海
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro拦截器的两种配置,以及shiro拦截器不拦截问题
weixin_43990136的博客
03-07 2万+
先讲一下shiro拦截器不拦截问题 原因:shiro拦截器是基于session(会话)拦截的,如果成功登陆服务器,且不关闭浏览器的窗口,就会一直默认为登陆状态。 所以给人一种没拦截的假象 shiro拦截配置,一种是通过xml文件配置,一种是通过实现类来配置 实现类的配置麻烦一点: 可以参考https://blog.csdn.net/ybt_c_index/article/details/787...
shiro配置不被拦截路径,不生效踩得坑记录
qq_48721706的博客
03-16 4950
请求的requestURI的路径是 /gaw-job/test/test3 所以我很自然的就配置shiroConfig的不拦截路径为 然后一直不生效,后来断点到shiro路径匹配的时候 shiro匹配的路径request.getServletPath() 而我们上方的request.getRequestURI()(就是/gaw-job/test/test3)等于 request.getContextPath() + request.getServletPath() request.getContextPa
springboot整合shiro配置拦截特定页面_SpringBoot 高级Shiro整合
weixin_35672512的博客
01-25 2130
一: Shrio的核心API1、Subject:用户主体(把操作交给SecurityManger) 2、SecurityManger:安全管理器(关联Realm) 3、Realm:Shiro连接数据的桥梁二:整合Shrio整合1、创建一个SpringBoot工程的导入对应的包 2、找Pom文件中导入Shiro的关联包3、编写yml文件1、编写一个Shrio配置类ShrioRealmShrioCon...
springboot整合shiro配置拦截特定页面_Spring Boot 整合 Shiro ,两种方式全总结!...
weixin_31207903的博客
01-25 3787
点击“牧码小子”关注,和众多大牛一起成长!关注后,后台回复 java ,领取松哥为你精心准备的技术干货!在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。今天松哥就来和大家聊聊 Spring Boot 整合 Shiro 的话题!一般来说,Spring Security 和 Shiro 的比...
SpringBoot】Spring Boot 整合 Shiro
to_real的博客
09-18 387
Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。 今天松哥就来和大家聊聊 Spring Boot 整合 Shiro 的话题! 一般来说,Spring Security 和 Shiro 的比较如下: Spring Security 是一个重量级的安全管理框架Shiro 则是一个轻量级的安全管理框架 Spring Security 概念复杂,配置繁琐;Shiro 概念简单、配置简单 Spring S
shirofilterfactorybean 无法拦截
weixin_35754962的博客
02-13 489
ShiroFilterFactoryBean 无法拦截的原因可能有很多,下面是一些常见的原因: Shiro 配置文件错误:确保您的 Shiro 配置文件是正确的,特别是 URL 拦截规则。 Shiro Bean 未正确配置:确保 ShiroFilterFactoryBean 和其他相关 Bean 都已正确配置。 无授权:确保您试图访问的资源需要授权,并且已正确配置了授权规则。 重复的 UR...
shiro拦截项目内部方法调用
快乐的小三菊的博客
05-24 512
背景: 最近在看 shiro,在搭建工程的时候突然发现一个问题,由于我的过滤器配置的是map.put("/**", "authc"); 即对所有用户进行认证,当用户进行登录操作时,需要给用户的登录请求添加过滤,js 的请求才可以到达后台,如下所示, map.put("/login", "anon"); map.put("/**", "authc"); 在登录成功之后,我的 js 里面的 ajax 再次请求后台的方法时,shiro 并没有拦截我的请求,而是将请求通过了,我...
springboot-shiro.zip
07-20
SpringBoot以其简洁、高效的特点成为Java开发者首选的微服务框架,而Apache Shiro则是一个强大且易用的安全管理框架,能够很好地处理用户的身份验证、授权和会话管理。本文将详细介绍如何在SpringBoot项目中集成...
Shiro中进行角色与权限认证流程示例代码.zip
05-11
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证、授权、加密和会话管理功能,可以非常方便地为应用程序提供安全保障。本示例代码着重讲解了在 Shiro 中如何进行角色与权限的认证流程。 在 Shiro 中...
shiro登陆身份认证和权限管理 密码加密
01-23
RESTful API 通常使用 HTTP 方法(GET, POST, PUT, DELETE 等)与客户端交互,而 Shiro 可以通过过滤器链(Filter Chain)拦截这些请求,进行身份验证和权限检查。 5. **Shiro 实战**:描述中的 "自己写的 demo" ...
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
SSM整合shiro实现角色权限
03-31
SSM整合Shiro实现角色权限是一项常见的Web应用安全实践,主要目的是为了实现用户登录认证、权限控制以及会话管理等功能。SSM框架是由SpringSpring MVC和MyBatis三个组件组成的,而Apache Shiro则是一个强大且易用...
2018年SpringBoot与Shiro整合-权限管理实战视频
11-06
框架使用了特定的方式(基于Java配置、项目对象模型、初始化器、嵌入式Web服务器、简化Maven配置方式)来简化Spring应用的整个搭建和开发过程。Spring Boot的目的是用来简化新Spring应用的初始搭建以及开发...
shiro.xml配置拦截路径不生效
Allie-Ma的博客
06-06 2564
/admin/** = authc /admin/home= perms["sys_priCms:view"] /admin/userinfo = perms["sys_user:view"]spring-shiro.xml中添加了如上拦截路径,但是无权限的用户还是能访问home页面和userinfo页面,shiro没有拦截。原因/admin/** = authc 这个配置之后的所有配置都没有意...
ssm+Shiro 搭建完后不进行拦截
pioneer的博客
04-16 957
我在做项目之前搭建的一个测试shiro框架测试完全没问题然后向项目中加但是加上后不起任作用我很是恼火,本人也是一个小白然后按着思路捋了捋,拦截不到无非就那几个问题一个是监听事件(filter)是不是没起作用,然后可能就是mvc的监听没屏蔽或者在shiro的上面这是属于web.xml中的问题还有就是你Spring-shiro.xml中的配置和web中不匹配,或者是没写myRealm等 我的错误输...
shiro拦截资源问题求解
qq_18605969的博客
02-01 1515
设置了登录拦截,但是点击登录的时候还是会跳到controller里面去
springboot2.x shiro 自定义Filter 无法访问配置拦截请求
qq_25584037的博客
06-28 4909
配置自定义的filter @Bean // DefaultWebSecurityManager securityManager public ShiroFilterFactoryBean shiroFilter( DefaultWebSecurityManager securityManager){ ShiroFilterFactoryBean shiroFilterFact...
navicat连接mysql报错
Mark
11-15 557
1、提示无法连接主机 1.1、方法一:设置授权 创建一个用户并且授权所有的主机给他 # %:表示从任何主机连接到mysql服务器,下一步刷新权限 mysql> GRANT ALL PRIVILEGES ON *.* TO 'user'@'%' IDENTIFIED BY 'password' WITH GRANT OPTION; mysql> FLUSH PRIVILEGES; all privileges:表示将所有权限授予给用户。也可指定具体的权限,如:SELECT、CREATE、
阿里云服务器 篇七:服务器热备份/定时备份
最新发布
生活在别处
08-24 39
Python 客户端用于百度云(个人云存储)百度云/百度网盘 Python 客户端。它主要用于在 Linux 环境下通过命令行操作百度云盘的 2TB 存储空间。是一个Github开源项目,这是一个百度云/百度网盘Python客户端。: 列出百度 PCS 中的 ‘remotepath’ 目录。: 从本地目录同步到远程目录。: 在百度云中创建一个目录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值