Shiro拦截AJAX的解决方案

最新推荐文章于 2024-07-19 08:29:58 发布
最新推荐文章于 2024-07-19 08:29:58 发布
阅读量2.6w 收藏 23
点赞数 15
分类专栏: shiro 文章标签: shiro ajax spring-boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014042146/article/details/72834582
版权

Shiro拦截AJAX的解决方案

最近在springboot项目上使用了shiro,但是shiro配置好后都是默认页面重定向处理。然而前后端分离后,静态页面都是部署在nginx上,统一都通过ajax进行调用。ajax的话不能进行重定向,需要返回指定格式的JSON。所以shiro需要满足一下几点要求:

  • ajax调用接口没有登录时,返回指定格式JSON

  • ajax调用接口在登录的情况下,没有权限时,返回指定格式JSON

  • 普通请求调用接口则进行重定向处理

Shiro的Filter拦截器

这时候需要扩展一下Shiro的Filter,主要有AdviceFilter、RolesAuthorizationFilter、PermissionsAuthorizationFilter

  • AdviceFilter有点类似SpringMVC中的HandlerInterceptor拦截器,主要用于在访问Controller之前用于判断用户是否登录
  • RolesAuthorizationFilter主要扩展了在shiro在认证Roles失败时回调的onAccessDenied方法,用于返回JSON或是重定向,也是需要我们实现的。
  • PermissionsAuthorizationFilter主要是认证perms资源,也是一样重写onAccessDenied方法

下图为Shiro的Filter关系图
这里写图片描述

  • 可以看到AccessControllerFilter主要是Shiro控制认证和授权的过滤器

Filter拦截器的实现

扩展AdviceFilter,用于ajax访问接口未登录的处理

class ShiroLoginFilter extends AdviceFilter {

    /**
     * 在访问controller前判断是否登录,返回json,不进行重定向。
     * @param request
     * @param response
     * @return true-继续往下执行,false-该filter过滤器已经处理,不继续执行其他过滤器
     * @throws Exception
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        SysUser sysUser = (SysUser) httpServletRequest.getSession().getAttribute("user");
        if (null == sysUser && !StringUtils.contains(httpServletRequest.getRequestURI(), "/login")) {
            String requestedWith = httpServletRequest.getHeader("X-Requested-With");
            if (StringUtils.isNotEmpty(requestedWith) && StringUtils.equals(requestedWith, "XMLHttpRequest")) {//如果是ajax返回指定数据
                ResponseHeader responseHeader = new ResponseHeader();
                responseHeader.setResponse(ResponseHeader.SC_MOVED_TEMPORARILY, null);
                httpServletResponse.setCharacterEncoding("UTF-8");
                httpServletResponse.setContentType("application/json");
                httpServletResponse.getWriter().write(JSONObject.toJSONString(responseHeader));
                return false;
            } else {//不是ajax进行重定向处理
                httpServletResponse.sendRedirect("/login/local");
                return false;
            }
        }
        return true;
    }

}

扩展RolesAuthorizationFilter,用于ajax访问接口登录但是角色认证不通过的处理
public class ShiroRolesFilter extends RolesAuthorizationFilter {

   class ShiroLoginFilter extends AdviceFilter {

    /**
     * 在访问controller前判断是否登录,返回json,不进行重定向。
     * @param request
     * @param response
     * @return true-继续往下执行,false-该filter过滤器已经处理,不继续执行其他过滤器
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws IOException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
        String requestedWith = httpServletRequest.getHeader("X-Requested-With");
        if (StringUtils.isNotEmpty(requestedWith) &&
                StringUtils.equals(requestedWith, "XMLHttpRequest")) {//如果是ajax返回指定格式数据
            ResponseHeader responseHeader = new ResponseHeader();
            responseHeader.setResponse(ResponseHeader.SC_FORBIDDEN, null);
            httpServletResponse.setCharacterEncoding("UTF-8");
            httpServletResponse.setContentType("application/json");
            httpServletResponse.getWriter().write(JSONObject.toJSONString(responseHeader));
        } else {//如果是普通请求进行重定向
            httpServletResponse.sendRedirect("/403");
        }
        return false;
    }
}

同样扩展PermissionsAuthorizationFilter,用于ajax访问接口登录但是资源操作认证不通过的处理

public class ShiroPermsFilter extends PermissionsAuthorizationFilter {
    /**
     * shiro认证perms资源失败后回调方法
     * @param servletRequest
     * @param servletResponse
     * @return
     * @throws IOException
     */
    @Override
    protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws IOException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
        String requestedWith = httpServletRequest.getHeader("X-Requested-With");
        if (StringUtils.isNotEmpty(requestedWith) &&
                StringUtils.equals(requestedWith, "XMLHttpRequest")) {//如果是ajax返回指定格式数据
            ResponseHeader responseHeader = new ResponseHeader();
            responseHeader.setResponse(ResponseHeader.SC_FORBIDDEN, null);
            httpServletResponse.setCharacterEncoding("UTF-8");
            httpServletResponse.setContentType("application/json");
            httpServletResponse.getWriter().write(JSONObject.toJSONString(responseHeader));
        } else {//如果是普通请求进行重定向
            httpServletResponse.sendRedirect("/403");
        }
        return false;
    }
}

最后在配置中将上面自定义的Filter设置到ShiroFilterFactoryBean。由于我的是springboot都是在java代码配置


    @Bean(name = "shiroLoginFilter")
    public ShiroLoginFilter shiroLoginFilter(){
        ShiroLoginFilter shiroLoginFilter = new ShiroLoginFilter();
        return shiroLoginFilter;
    }

这里写图片描述

Filter配置后,Shiro处理用户请求的流程如下

这里写图片描述

注意点

  • 在实现自定义Filter的时候不要用Spring进行单例模式的bean初始化,不然在认证的时候SecurityUtils.getSubject()会抛出:
    org.apache.shiro.UnavailableSecurityManagerException: No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.ThreadContext or as a vm static singleton. This is an invalid application configuration.
    看着错误信息好像就是不要使用单例模式。具体查看: [ Spring Boot:取消Filter自动注册 ]
打代码的哈士奇
关注
专栏目录
spring---Shiro拦截
weixin_43590392的博客
11-10 1024
拦截器 1.结构架构图 2.Shiro拦截器 2.1.ShiroConfig 代码: package com.auth; import org.apache.shiro.mgt.DefaultSessionStorageEvaluator; import org.apache.shiro.mgt.DefaultSubjectDAO; import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.spring.web.ShiroFi
shiro过滤器与ajax访问
qq_40108680的博客
05-02 387
文章目录1.shiro自定义sessionManager2.自定义身份认证过滤器3.自定义权限认证过滤器4.**FilterChainDifinitionMapBuilder**5.shiro xml配置6.realm 1.shiro自定义sessionManager 当登录成功时后端生成一个sessionid并返回给前端,前端当前每次请求时携带此次sessionid /** * * 传统结构...
Shiro拦截ajax请求
大宇的博客,欢迎访问
03-28 3752
        今天又发现了一个新的问题,Shiro拦截器不能够拦截ajax请求,需要自定义一个拦截器来拦截ajax请求。 package com.ssi.domains.secutity; import org.apache.shiro.SecurityUtils; import org.apache.shiro.subject.Subject; import org.apache.sh...
Shiro 入门教程 - Shiro 拦截器机制
最新发布
smart_an的专栏
07-19 734
Shiro 使用了与 Servlet 一样的 Filter 接口进行扩展;NameableFilterFilter 起个名字,如果没有设置默认就是 FilterName;还记得之前的如 authc 吗?当我们组装拦截器链时会根据这个名字找到相应的拦截器实例;OncePerRequestFilter 用于防止多次执行 Filter 的;也就是说一次请求只会走一次拦截器链;
shiro 拦截未登录的ajax_shiro 拦截器实现session过期拦截ajax请求的处理
weixin_39992660的博客
12-19 200
拦截器代码:package com.xlqh.outlook.shirofilter;import java.io.IOException;import org.apache.shiro.web.filter.PathMatchingFilter;import com.xlqh.outlook.MyShiroConstants.MyShiroConstants;import com.xlqh.ou...
aisell(7) shiro处理ajax请求问题(自定义权限过滤器)
myllxy
12-17 469
文章目录引入原因解决成功 引入 原因 shiro只支持普通请求 我们怎么去修改shiro权限拦截 解决 去扩展PermissionsAuthorizationFilter,我们选择继承他因为其中的很多方法我们可以直接使用而不用修改,需要修改的是当执行错误返回数据的那个方法(因为在原方法中它是只支持普通请求而无法对ajax请求作出处理的) 自定义权限过滤器 /** * 自定义权限过滤器 *...
shiro 拦截未登录的ajax_Shiro是如何拦截未登录请求的(二)
weixin_33548183的博客
01-12 608
前言在上一篇文章{% post_link Shiro是如何拦截未登录请求的(一) %}中提到了,我们在实际的项目中采用了基于token的方式来实现用户的身份鉴权,但是由于开发的时候对shiro的内部机制不太了解导致那一块的代码实现不够完善、整洁并且还对业务造成了影响,经过了对shiro源码的跟踪分析之后,我们已经知道shiro是如何拦截未登录请求的了,那么接下来我们开始来针对问题制定相应的解决方案...
shiro ajax重定向,Shiro登录成功之后跳到指定URL
weixin_28025327的博客
08-06 1309
通常我们使用shiro,登录之后就会跳到我们上一次访问的URL,如果我们是直接访问登录页面的话,shiro就会根据我们配置的successUrl去重定向,如果我们没有配置successUrl的话,那么shiro重定向默认的/,这个逻辑看shiro的源码就可以知道:1.shiro会把请求信息保存到session中:2.然后判断是否已经登录,如果没有登录,就会跳到登录页面,用户输入凭证之后就会交给Fo...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
Shiro提供了一套完整的权限管理解决方案,包括身份认证、授权、会话管理和安全加密。以下是一个简单的Springboot Controller示例,展示了如何处理POST请求: ```java @RequestMapping(value = "/add", method = ...
springboot-mybatisplus集成Shiro
weixin_42549400的博客
09-14 426
​ Apache Shiro 是一款 Java 安全框架,不依赖任何容器,可以运行在 Java SE 和 Java EE 项目中,它的主要作用是用来做身份认证、授权、会话管理和加密等操作。 ​
Springboot整合Shiro+JWT
weixin_43424751的博客
04-18 532
在前后端分离的项目中我们通常会采用jwttoken的方式来作为跨域身份验证解决方案。 引入依赖 <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter</artifactId> <version>3.2.1</version> </dependency> <!
Shiro权限控制-区分Ajax请求
07-19
Shiro对权限的处理,并没有区分是否是Ajax请求,需要我们自己写过滤器来实现。在实现时通过获取请求头X-Request-with是否有值来区分,区分开来以后,对于普通请求直接跳转到没有权限的页面,对于AJax请求返回一个没有权限的JSon数据
ShiroAJAX完美整合
09-21
ShiroAJAX完美整合
shiro ajax请求拦截器,shiro ajax返回登录成功
weixin_36245958的博客
08-05 281
shiro默认在我们登录成功后会重定向到用户首页,有些时候,登录是使用ajax完成,登录成功后,会返回给我们登录成功的页面,尽管在ajax中页面不跳转我们可以手动跳转,但是还是有些不爽希望能返回json登录成功提示.在网上收集了一些资料,有些是重写onAccessDenied实现.有些是其他方式.本篇是重写UserFilter中的redirectToLogin实现的.具体思想是我们在页面进行判断是...
Shiro拦截器,返回JSON数据
qq737050283的专栏
03-08 2131
Shiro拦截器,返回JSON数据 在前后端分离的情况下,后端人员这边是没有页面的。后端只提供接口,返回json,供前段人员调用。 shiro自带登录过滤器,在拦截到用户未登录的情况下,会重定向到loginUrl。 如果观看shiro登录过滤器UserFilter的源码,会发现如果用户登录失败会调用这个saveRequestAndRedirectToLogin(request, resp...
shiro ajax权限拦截器,Shiro Ajax请求权限不满足,拦截解决方案
weixin_39526415的博客
08-05 340
Java模拟Http请求Java模拟Http请求使用的是org.apache.httpcomponents中的httpclient,因为post请求涉及到传输文件,所以需要使用httpmime这个包...centos7 上安装mysql5.7后登录报错ERROR 1045 (28000): Access denied for user 'root'@'localhost'安装完mysql后会有个临...
java 拦截器 json_shiro拦截器,返回json数据
weixin_29416781的博客
02-23 453
shiro拦截拦截成功后跳转到某个页面或者返回相关信息,但是为了平台后端接口能够支持多个客户端软件,需要返回特殊格式(json)的数据,返回状态为200import java.io.IOException; import java.io.PrintWriter; import java.util.HashMap; import java.util.Map; import javax.serv...
使用shiro 拦截ajax请求判断 登录状态是否失效
醋拌柠檬
03-11 403
使用shiro 拦截ajax请求判断 登录状态是否失效 自定义拦截器 继承 UserFilter 重写 onAccessDenied 方法, @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { HttpServletRequest req = (HttpServletRequest) request;
shiro拦截ajax请求返回json,Spring Boot+Shiro拦截登陆返回Json结果(前后端分离)
weixin_39854951的博客
08-05 619
1、自定义访问控制拦截器,继承AccessControlFilter,实现以下三个方法。abstract boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception;boolean onAccessDenied(ServletReques...
springboot基于Shiro拦截ajax请求
05-09
在Spring Boot中使用Shiro进行拦截Ajax请求,可以使用Shiro提供的Filter来实现。 首先,需要创建一个自定义的ShiroFilter,并在Spring Boot的配置文件中进行配置: ```java @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryBean.setSecurityManager(securityManager); Map<String, Filter> filters = new HashMap<>(); filters.put("ajax", new AjaxFilter()); shiroFilterFactoryBean.setFilters(filters); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/logout", "logout"); filterChainDefinitionMap.put("/**", "ajax,user"); shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilterFactoryBean; } } ``` 在上面的代码中,我们创建了一个自定义的ShiroFilter,并设置了一个名为“ajax”的Filter。同时,我们也添加了一个FilterChain,将所有请求都拦截,并使用“ajax”和“user”两个Filter进行处理。 接下来,我们需要创建一个名为“AjaxFilter”的Filter,用于处理Ajax请求。在该Filter中,我们可以判断请求是否为Ajax请求,如果是,则返回一个JSON对象,表示操作被拦截。 ```java public class AjaxFilter extends AccessControlFilter { @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { HttpServletRequest httpRequest = WebUtils.toHttp(request); String requestedWith = httpRequest.getHeader("x-requested-with"); return requestedWith != null && requestedWith.equalsIgnoreCase("XMLHttpRequest"); } @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { HttpServletResponse httpResponse = WebUtils.toHttp(response); httpResponse.setCharacterEncoding("UTF-8"); httpResponse.setContentType("application/json;charset=UTF-8"); PrintWriter out = httpResponse.getWriter(); out.println("{\"success\":false,\"message\":\"您没有权限进行该操作!\"}"); out.flush(); out.close(); return false; } } ``` 在上面的代码中,我们重写了“isAccessAllowed”和“onAccessDenied”两个方法。在“isAccessAllowed”方法中,我们判断请求是否为Ajax请求。如果是,则返回true,表示允许访问;否则,返回false,表示禁止访问。 在“onAccessDenied”方法中,我们返回一个JSON对象,表示操作被拦截。在该方法中,我们首先设置HTTP响应的字符编码和内容类型。然后,我们获取PrintWriter对象,并使用该对象输出JSON字符串。最后,我们关闭PrintWriter对象,并返回false,表示禁止访问。 最后,我们需要将“AjaxFilter”添加到Spring Boot的配置文件中: ```properties shiro.filter.ajax=com.example.shiro.AjaxFilter ``` 这样,我们就可以在Spring Boot中使用Shiro拦截Ajax请求了。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值