shiro的@RequiresPermissions不生效和无权限跳异常而不是shiro指定的无权页面

最新推荐文章于 2024-02-21 15:43:32 发布
最新推荐文章于 2024-02-21 15:43:32 发布
阅读量5.7k 收藏 4
点赞数 3

shiro和springmvc结合时需要关注的2个问题

一个是shiro的@RequiresPermissions不生效
一个是无权限跳异常而不是shiro的无权指定页面错误页面

 

applicationContext-shiro.xml中的关于过滤链的配置:

 

一、 shiro的@RequiresPermissions不生效

产生原因:由于fillter是在spring容器中,而不是在springmvc容器中,所以不起作用。

解决方法1:

在spring-mvc.xml中最前面(最先加载)添加如下:

<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
        depends-on="lifecycleBeanPostProcessor" />
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager" />
</bean>

lifecycleBeanPostProcessor和securityManager是在shiro配置文件中定义好的。
可以放在applicationContext-shiro.xml,然后又applicationContext.xml通过import方式导入。

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>

<!-- Shiro安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="jdbcRealm"></property>
    <property name="cacheManager" ref="cacheManager"></property>
</bean>

解决方法2:

就是controller层不使用shiro的@RequiresPermissions注解,放到对应的service层去。这个感觉不是很好。应该使用解决方法1。

 

二、 shiro无权限异常出现到页面上了,而不是shiro指定的无权访问的页面

产生的原因:

shiro的源代码ShiroFilterFactoryBean.Java定义的filter必须满足filter instanceof AuthorizationFilter,只有perms,roles,ssl,rest,port才是属于AuthorizationFilter,而anon,authcBasic,auchc,user是AuthenticationFilter,所以unauthorizedUrl设置后页面不跳转 
Shiro注解模式下,登录失败与没有权限都是通过抛出异常。并且默认并没有去处理或者捕获这些异常。在SpringMVC下需要配置捕获相应异常来通知用户信息

通过看配置文件可以看到,filter过滤链的最后是/** = authc 。

一般我们访问的这个路径也在authc这个过滤器处理中,他是AuthenticationFilter(认证过滤链),不是AuthorizationFilter(授权过滤链)。

解决方法1:

既然shiro的配置没有用了,那么就要来找找springmvc中能不能解决这个问题了。
springmvc中有一个org.springframework.web.servlet.handler.SimpleMappingExceptionResolver类就可以解决这个问题,我们在spring-mvc.xml配置文件中配置一个bean,如下:

<bean  
    class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">  
    <property name="exceptionMappings">  
        <props>  
            <prop key="org.apache.shiro.authz.UnauthorizedException">  //表示捕获的异常
                /unauthorized  //捕获该异常时跳转的路径
            </prop>  
            <prop key="org.apache.shiro.authz.UnauthenticatedException">  //表示捕获的异常
                /unauthenticated  //捕获该异常时跳转的路径
            </prop>  
        </props>  
    </property>  
</bean> 

这样就可以把授权时没有权限时报的异常通过springmvc的来处理到相应的页面。

解决方法2:

就是从问题产生的原因来解决,应为我们这个请求的页面是通过 /** = authc 来匹配了,就是通过认证(登录)过滤链来处理,改成perms或者roles 来匹配就好了。

但是由于这样的授权路径比较多,建议使用方法1来解决。

菜鸟王老汉
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringBoot 、Shiro、 自定义注解权限控制源码下载
04-06
SpringBoot 、Shiro、 自定义注解权限控制
Spring Boot集成Shiro实现动态加载权限的完整步骤
08-25
主要给大家介绍了关于Spring Boot集成Shiro实现动态加载权限的完整步骤,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
@RequiresPermissions要求用户拥有某(些)权限
圆圆学习笔记的博客
02-21 899
如果有个多个注解的话,前面的通过了会继续检查后面的,若不通过则直接返回,处理顺序依次为(与实际声明顺序无关) RequiresRoles、RequiresPermissionsRequiresAuthentication、RequiresUser、RequiresGuest。注解用于配置接口要求用户拥有某(些)权限才可访问,它拥有两个参数。Shiro的认证注解处理是有内定的处理顺序的,,那就要求拥有此角色的同时还得拥有相应的权限。示例1: 以下代码表示必须拥有。示例2: 以下代码表示必须拥有。
重写Shiro,拦截RequiresPermissions权限标识获取逻辑,实现Controller多级权限拼接
MinisterOL的博客
04-24 752
逻辑分析:1、aop 切面拦截 controller 对应调用的方法2、获取对应方法的注解信息3、使用对应的解析器解析获取到的注解信息①、获取方法注解信息②、获取类注解信息③、返回注解信息4、从注解获取权限标识符根据以下代码分析,从注解解析器入手,进行拦截处理。
shiroRequiresPermissions注解用法
01-15 2万+
RequiresPermissions的作用 RequiresPermissionsshiro提供的一个注解类。主要是用作权限校验的一种方式。 @Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface RequiresPermissions { ...
Shiro之@RequiresPermissions注解原理详解
热门推荐
敲代码的小小酥的博客
02-28 4万+
前言 shiro为我们提供了几个权限注解,如下图: 这几个注解原理都类似,这里我们讲解@RequiresPermissions的原理。 铺垫 第一 首先要清楚@RequiresPermissions的基本用法。就是在Controller的方法里,加上@RequiresPermissions注解,并写上权限标识。那么,有该权限标识的用户,才能访问到请求。如下图: 第二 先剧透一下,@RequiresPermissions注解的原理是使用了Spring的AOP进行了增强。来判断当前用户是否有该权限标识。我们
@RequiresPermissions注解的使用
qq_35227352的博客
03-12 1万+
@RequiresPermissionsshiro的常用注解,用于获取权限 实例:@RequiresPermissions{“xxx1:xxx2:xxx3”} 执行这个方法会判断用户有没有相应的权限 会在某个地方进行配置,比如controller层其xxx1/xxx2/xxx3的url路径访问相应资源就可以正常访问。 ...
@RequiresPermissions注解的作用,超级简单的权限验证
qq_41625866的博客
03-13 2万+
shiro里面权限验证的一个注解 @RequiresPermissions(value = {"engineeringPause:download", "workContact:download", "supervisionNotice:download", "questionNotification:download"},logical = Logical.OR) value 值可以写一个 ,也可以写多个
shiro @RequiresPermissions 权限控制问题排查
Mccsosix的博客
08-01 1315
最近在使用权限控制遇到了一些坑,分享一下我的排查思路大致问题普遍如下:前端请求接口,页面显示并无权限部分接口可以访问,少部分接口无权限。
Shiro根据用户权限显示不同的菜单.Shiro根据权限显示指定菜单
01-06
Shiro根据用户权限显示不同的菜单.Shiro根据权限显示指定菜单
基于Springboot和Shiro权限管理系统设计源码
04-09
权限管理系统 - 基于Springboot和Shiro开发,包含127个文件,如JAVA、FTL、PNG、XML、JS、GITIGNORE、LICENSE、MD、SQL和YML等。该项目提供了一个基于Springboot和Shiro权限管理系统,通过界面交互和功能模块,为...
基于Java和Shiro权限管理系统设计源码
最新发布
04-18
本项目是基于Java和Shiro权限管理系统设计源码,包含1343个文件,其中主要包含462个js脚本,267个html页面,148个java文件,129个css样式表等。系统后端采用jboot框架,前端使用layui进行界面设计,集成了Shiro来...
基于Extjs4和Shiro的Java权限管理框架设计源码
04-04
本设计源码提供了一个基于Extjs4和Shiro的Java权限管理框架。项目包含2062个文件,主要使用JavaScript、Java和CSS编程语言。文件类型包括1598个GIF图片文件、281个PNG图片文件、50个JavaScript脚本文件、44个Java源...
若依权限校验源码分析
qq_41683000的博客
12-07 3539
若依权限校验源码分析
shiro @RequiresPermissions设计与 实现
u013995395的博客
05-31 3953
本篇主要以@RequiresPermissions 注解为例,讲解shiro中如何设计与实现 首先定义注解 @Target({ElementType.TYPE, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface RequiresPermissions { /** * Th...
shrio中@RequiresPermissions 解释
QieXingQieMingJi的博客
09-26 1080
@RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。 @RequiresUser 验证用户是否被记忆,user有两种含义: 一种是成功登录的(subject.isAuthenticated() 结果为true); 另外一种是被记忆的(subject.isRemembered()结果为true)。...
shiro通过@RequiresPermissions注解开放接口权限,用java语言编写
06-03
是的,Shiro可以通过@RequiresPermissions注解来控制接口的访问权限。在Java语言中,我们可以在Controller中的方法上添加该注解,指定所需的权限,例如: ``` @RequiresPermissions("user:add") @RequestMapping("/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值