Shiro拦截Ajax请求,认证失败返回Json而非重定向

最新推荐文章于 2024-04-28 17:17:13 发布
最新推荐文章于 2024-04-28 17:17:13 发布
阅读量1.3w 收藏 22
点赞数 6
分类专栏: 后端 文章标签: Shiro Ajax 重定向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012138272/article/details/79840275
版权

Shiro 1.4.0

在写后端的时候加入了Shiro做登录认证和会话超时管理,前端页面访问重定向没有问题,但是Ajax访问接口时,如果会话超时,则只会返回一个页面,但是前端页面无法跳转。所以需要返回状态为403的Json数据,然后让前端去跳转。

正文

代码中设置的是所有地址都要经过authc过滤器

 //<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
 filterChainDefinitionMap.put("/**", "authc");

所以需要自定义一下authc过滤器,很多博客都没有写不同名称所对应的过滤器,这让人看得云里雾里,这里列举一下

/**
         * @Shiro内置过滤器
         * anon         org.apache.shiro.web.filter.authc.AnonymousFilter
         * authc        org.apache.shiro.web.filter.authc.FormAuthenticationFilter
         * authcBasic   org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
         * perms        org.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
         * port         org.apache.shiro.web.filter.authz.PortFilter
         * rest         org.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
         * roles        org.apache.shiro.web.filter.authz.RolesAuthorizationFilter
         * ssl          org.apache.shiro.web.filter.authz.SslFilter
         * user         org.apache.shiro.web.filter.authc.UserFilter
         *
 */

所以我们要改造过滤器就自己写一个类继承FormAuthenticationFilter,大致原理就是判断是否为Ajax,如果是Ajax就返回Json,如果不是就直接重定向。(加上import否则有些跟我一样的新手小白会比较迷茫>_<)

import com.alibaba.fastjson.JSONObject;
import com.pojo.ResultData;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class ShiroLoginFilter extends FormAuthenticationFilter {

    /**
     * 在访问controller前判断是否登录,返回json,不进行重定向。
     * @param request
     * @param response
     * @return true-继续往下执行,false-该filter过滤器已经处理,不继续执行其他过滤器
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        if (isAjax(request)) {
            httpServletResponse.setCharacterEncoding("UTF-8");
            httpServletResponse.setContentType("application/json");
            ResultData resultData = new ResultData();
            resultData.setResult(1);
            resultData.setCode(403);
            resultData.setMessage("登录认证失效,请重新登录!");
            httpServletResponse.getWriter().write(JSONObject.toJSON(resultData).toString());
        } else {
            //saveRequestAndRedirectToLogin(request, response);
            /**
             * @Mark 非ajax请求重定向为登录页面
             */
            httpServletResponse.sendRedirect("/login");
        }
        return false;
    }

    private boolean isAjax(ServletRequest request){
        String header = ((HttpServletRequest) request).getHeader("X-Requested-With");
        if("XMLHttpRequest".equalsIgnoreCase(header)){
            return Boolean.TRUE;
        }
        return Boolean.FALSE;
    }

}

这里有一个需要注意的地方,因为过滤器里已经写了重定向的方法了,所以ShiroConfig不需要设置LoginUrl,否则如果没有登录或者会话超时,返回登录页面就提示重定向多次并且无法打开登录页

/**
     * @Mark shiroFilterFactoryBean.setLoginUrl("/login");
     * @authc 重写了FormAuthenticationFilter过滤器,不需要再写setLoginUrl,否则会发生多次重定向
*/
// 登录成功后要跳转的链接
shiroFilterFactoryBean.setSuccessUrl("/index");
Michael_Zhan_Tcys
关注
  • 6
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
Shiro实现登陆及授权,ajax请求无权限的json返回
愤怒的皮蛋瘦肉粥的博客
01-06 5839
Shiro的介绍 ① Apache Shiro: Java安全框架,有身份验证、授权、密码学和会话管理。 ② Shiro是开源项目 ③ 安全框架分类 a) Spring security 重量级安全框架 b) Apache Shiro轻量级安全框架 ④ Java中框架轻重量级的区别 a) 学习成本 b) 实际开发过程中的性能开销大小 ⑤ Shiro对于权限判定是分两步走:身份认证[登录]、授权管...
设置shiro认证和授权失败返回json而不是重定向
Sirm23333
02-08 6351
在使用shiro时,一般对未认证或未授权的请求统一过滤并做出响应,大体有以下配置: <!-- 未认证返回的页面(被authc user logout 等认证拦截拦截后)访问的url --> <property name="loginUrl" value="/user/unAuthenticated.do"/> <!-- 未授权时返回的页面(被roles 等授权拦...
Shiro安全框架——【快速入门、登录拦截、用户认证
最新发布
2401_84281638的博客
04-28 693
Apache Shiro是一个Java的安全(权限)框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。shiro功能:Authentication:身份认证、登录,验证用户是不是拥有相应的身份;
Shiro 认证、授权失败返回JSON数据
m0_67391401的博客
08-30 1059
先说一下思路,需要自定义过滤器,登录认证的需要继承FormAuthenticationFilter,授权的需要继承PermissionsAuthorizationFilter,并重写里面的 onAccessDenied 方法,shiro过滤器不是链式调用,所以判断逻辑要重新写,就是判断权限时需要先写判断登录的逻辑;最后需要在shiro配置类中注入自定义的过滤器;有时不知道怎么改时可以多看看shiro源码。...
异步请求,不要让shiro重定向
iTommyChi的博客
08-07 2457
shiro 重要的几个类: DefaultFilter 枚举类 AuthorizationFilter  FormAuthenticationFilter PermissionsAuthorizationFilter ( 其他关键词: checkPermissions redirectToSavedRequest UnauthorizedException WebUtils A...
shiroajax请求认证失败返回json(正式)
yuhui666666的博客
01-04 1300
本文基于Shiro权限注解方式来控制Controller方法是否能够访问。 例如使用到注解: @RequiresPermissions 来控制是否有对应权限才可以访问 @RequiresUser 来控制是否存在用户登录状态才可以访问 想了解Shiro是如何通过注解来控制权限的,可以查看源码 AopAllianceAnnotationsAuthorizingMethodIntercep...
shiro ajxa请求 登录状态失效302无法重定向登录页
qq_31238839的博客
10-23 662
解决方法 重写FormAuthenticationFilter 类的onAccessDenied方法,并判断如果请求ajax请求,就在header中添加一个需要登录的标识,并且设置response status为401,避免还是200而继续走ajax的成功回调。然后Ajax添加全局事件,当有需要登录的标识时,将页面定位到登录画面。 重写filter方法 public class MyShiroAuthcFilter extends FormAuthenticationFilter { p
SpringBoot基于Shiro处理ajax请求代码实例
08-19
在 preHandle 方法中,我们首先判断请求是否来自 Ajax,如果是,则获取当前登录对象,如果用户未经认证,则返回错误信息,否则放行请求Shiro配置 在 Shiro 配置中,我们需要设置安全管理器、登录页面 URL 和...
自定义shiro实现识别ajax请求的拒绝返回json,还是普通返回页面
04-25
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2406657
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
idea工具,SSM+Shiro+Ajax+jQuery+Thymeleaf
08-15
比较实用的简单项目,适合练习数据库的增删改查,框架与技术:SSM+Shiro+Ajax+jQuery+Thymeleaf
基于Shiro 拦截URL,实现权限控制
08-02
NULL 博文链接:https://vti-iteye.iteye.com/blog/1963397
Shiro 认证失败返回JSON
weixin_38170695的博客
06-17 1005
Shiro框架默认认证失败后会返回到登录页面,在前后端分离项目中,需要返回JSON数据,以便前端或者app端解析处理。 实现方式: 1. 扩展shiro框架的UserFilter类,重写redirectToLogin方法。 public class ShiroUserFilter extends UserFilter { @Override protec...
shiro认证失败返回json
重燃小窗
12-27 780
AccessControlFilter 访问控制过滤器,继承PathMatchingFilter过滤器,重写onPreHandle方法. isAccessAllowed 是否允许访问 onAccessDenied 是否拒绝访问 我们通过重写上边两个方法来控制过滤逻辑,实现当前的需求,用户不登录点赞提示请登录 定义一个LoginAuthFilter继承AccessControlFilter 前端js渲染脚本 // 前端弹窗的js代码 private static final String
shiro自定义未登录返回状态, 认证失败返回json
马句
01-14 2690
Shiro框架默认认证失败后会返回到登录页面,在前后端分离项目中,需要返回JSON数据,以便前端或者app端解析处理。 如果访问的地址没有登陆,会根据配置文件内定义返回登陆页 shiroFilterFactoryBean.setLoginUrl("/login"); 实现方式: 1. 建一个过滤器ShiroLoginFilter,内容如下: import com.alibaba....
spring boot shiro 开启注解支持并禁止重定向跳转,开启json返回
Orange软件的博客
11-22 2205
最近在做前后端分类实践,shiro 必须符合以下要求: 1.登陆权限认证失败禁止重定向跳转。 2.登陆权限认证返回json,因为前后端分离了,必须全部返回json… 码云开源地址:https://gitee.com/orangeenterprise/shiro-login ...
shiro拦截ajax请求返回json,Spring Boot+Shiro拦截登陆返回Json结果(前后端分离)
weixin_39854951的博客
08-05 579
1、自定义访问控制拦截器,继承AccessControlFilter,实现以下三个方法。abstract boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception;boolean onAccessDenied(ServletReques...
shiro 重写AuthorizationFilter 让shiro没有权限的时候不重定向,而是执行一个回显操作(初探)
qq_43077857的博客
07-08 6117
这里在项目需求完成的过程 以前没有权限直接跳转403.html 这样代码非常不灵活 而且前端如果不是html的页面没有权限经常跳不到403的页面 会报一个302的错误 我这里想重写下这个配置后直接跳转到403页面的方式 最好能够返回一段json 这样我前端直接判断json中的数据后前端做跳转到403页面 找了一下shiro中页面重定向的代码是这个AccessControlFilter中的onAc...
dogetauthenticationinfo抛出的错误无法捕获_OOM不可捕获?
weixin_39640414的博客
12-30 291
一、前言相信了解过java异常机制的就知道,异常都是继承自Throwable,主要分为Error和Exception。Error一般代表虚拟机错误,即用户无法处理的异常,而Exception分为受检异常和非受检异常,这里就不详细描述了。Exception的继承关系Error的继承关系二、场景领导喊我写完一个图片处理的工具,领导觉得可能性能堪忧,然后让我进行压测,我在压测过程中发现有些请求报了OOM...
springboot基于Shiro拦截ajax请求
05-09
在Spring Boot中使用Shiro进行拦截Ajax请求,可以使用Shiro提供的Filter来实现。 首先,需要创建一个自定义的ShiroFilter,并在Spring Boot的配置文件中进行配置: ```java @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryBean.setSecurityManager(securityManager); Map<String, Filter> filters = new HashMap<>(); filters.put("ajax", new AjaxFilter()); shiroFilterFactoryBean.setFilters(filters); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/logout", "logout"); filterChainDefinitionMap.put("/**", "ajax,user"); shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilterFactoryBean; } } ``` 在上面的代码中,我们创建了一个自定义的ShiroFilter,并设置了一个名为“ajax”的Filter。同时,我们也添加了一个FilterChain,将所有请求拦截,并使用“ajax”和“user”两个Filter进行处理。 接下来,我们需要创建一个名为“AjaxFilter”的Filter,用于处理Ajax请求。在该Filter中,我们可以判断请求是否为Ajax请求,如果是,则返回一个JSON对象,表示操作被拦截。 ```java public class AjaxFilter extends AccessControlFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { HttpServletRequest httpRequest = WebUtils.toHttp(request); String requestedWith = httpRequest.getHeader("x-requested-with"); return requestedWith != null && requestedWith.equalsIgnoreCase("XMLHttpRequest"); } @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { HttpServletResponse httpResponse = WebUtils.toHttp(response); httpResponse.setCharacterEncoding("UTF-8"); httpResponse.setContentType("application/json;charset=UTF-8"); PrintWriter out = httpResponse.getWriter(); out.println("{\"success\":false,\"message\":\"您没有权限进行该操作!\"}"); out.flush(); out.close(); return false; } } ``` 在上面的代码中,我们重写了“isAccessAllowed”和“onAccessDenied”两个方法。在“isAccessAllowed”方法中,我们判断请求是否为Ajax请求。如果是,则返回true,表示允许访问;否则,返回false,表示禁止访问。 在“onAccessDenied”方法中,我们返回一个JSON对象,表示操作被拦截。在该方法中,我们首先设置HTTP响应的字符编码和内容类型。然后,我们获取PrintWriter对象,并使用该对象输出JSON字符串。最后,我们关闭PrintWriter对象,并返回false,表示禁止访问。 最后,我们需要将“AjaxFilter”添加到Spring Boot的配置文件中: ```properties shiro.filter.ajax=com.example.shiro.AjaxFilter ``` 这样,我们就可以在Spring Boot中使用Shiro拦截Ajax请求了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值