shiro踏坑(一)——loginUrl不拦截问题

最新推荐文章于 2024-05-16 10:28:26 发布
置顶 最新推荐文章于 2024-05-16 10:28:26 发布
阅读量1.4w 收藏 4
点赞数 1
分类专栏: shiro踏坑系列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41622183/article/details/79376667
版权

    想想大家应该也遇到过整合了ssm+shiro后,直接进入需要经过认证授权的页面,但是loginUrl居然不拦截,直接放行进来,虽然拿不到数据。但是这也是不能忍的。

    下面是我的shiro整合spring的配置文件:

<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:mvc="http://www.springframework.org/schema/mvc"
	xmlns:context="http://www.springframework.org/schema/context"
	xmlns:aop="http://www.springframework.org/schema/aop" xmlns:tx="http://www.springframework.org/schema/tx"
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
				http://www.springframework.org/schema/beans/spring-beans-3.2.xsd 
				http://www.springframework.org/schema/mvc 
				http://www.springframework.org/schema/mvc/spring-mvc-3.2.xsd 
				http://www.springframework.org/schema/context 
				http://www.springframework.org/schema/context/spring-context-3.2.xsd 
				http://www.springframework.org/schema/aop 
			http://www.springframework.org/schema/aop/spring-aop-3.2.xsd 
			http://www.springframework.org/schema/tx 
			http://www.springframework.org/schema/tx/spring-tx.xsd ">

	<!-- web.xml中shiro的filter对应的bean -->
	<!-- Shiro 的Web过滤器 -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<!-- loginUrl认证提交地址,如果没有认证将会请求此地址进行认证,请求此地址将由formAuthenticationFilter进行表单认证 -->
		<property name="loginUrl" value="/login.action" />
		<!-- 认证成功统一跳转到first.action,建议不配置,shiro认证成功自动到上一个请求路径 -->
		<property name="successUrl" value="/index.action" />
		<!-- 通过unauthorizedUrl指定没有权限操作时跳转页面 -->
		<property name="unauthorizedUrl" value="/refuse.jsp" />

		<!-- 过虑器链定义,从上向下顺序执行,一般将/**放在最下边 -->
		<property name="filterChainDefinitions">
			<value>
				<!-- 对静态资源设置匿名访问 -->
				/static/login/** = anon
				/static/css/** = anon
				/static/font/** = anon
				/static/js/myjs/** = authc
				/static/js/** = anon
				/static/** = anon
				/userLogin.action=anon
				/index.action = authc
				/login.action=anon
				/**=authc
			</value>
		</property>
	</bean>

	<!-- securityManager安全管理器 -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="realm" ref="loginRealm" />

		<!-- 注入session管理器 -->
		<property name="sessionManager" ref="sessionManager" />
		<property name="cacheManager" ref="cacheManager"></property>
	</bean>

	<!-- realm -->
	<bean id="loginRealm" class="com.wen.shiro.LoginRealm">
	</bean>


	<!-- 缓存管理器 -->
	<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
		<property name="cacheManagerConfigFile" value="classpath:shiro-ehcache.xml" />
	</bean>

	<!-- 会话管理器 -->
    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <property name="globalSessionTimeout" value="600000"/>
        <property name="deleteInvalidSessions" value="true"/>
        <property name="sessionValidationSchedulerEnabled" value="true"/>
       
         <property name="sessionIdCookieEnabled" value="true"/>
        <property name="sessionIdCookie" ref="sessionIdCookie"/>
    </bean>

   <!-- 会话Cookie模板 -->
    <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <constructor-arg value="sid"/>
        <property name="httpOnly" value="true"/>
        <property name="maxAge" value="-1"/>
    </bean>


</beans>

    这些准备好后,启动项目,结果loginUrl是不执行的,气不气人。

    为什么呢?网上说是由于链接的名字没有变。小编改过后,还是一样不执行。

    解决办法:

    在spring-mvc.xml文件中加入这个,开启spring的显示代理(即cglib),并将shiro的安全管理器交给spring管理。OK,就解决了。

	<aop:config proxy-target-class="true"></aop:config>
	<bean
		class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean>

LuckyToMeet-Dian叶
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前后端分离-----登录--shiro
莫绝岚的小屋
08-11 1268
origins = {"192.168.0.111:8080","192.168.0.120:8081"},allowedHeaders="运行哪些请求头跨域",methods={"GET","POST"})通过Vue前端向后端发送请求会出现两个请求: OPTIONS 请求和真实的请求方式。每次请求都得要人为添加参数token. 我们可以使用axios的请求拦截器。---查看后台有没有解决跨域。当使用异步请求从一个网址访问另一个网址时可能会出现跨域问题。在App.vue页面进行路由渲染--------...
ShirologinUrl与unauthorizedUrl
热门推荐
小东东
08-24 2万+
项目中有用到Shiro框架,但是只使用了身份认证,即登录功能,未用到授权 权限验证功能,在使用的时候对loginUrl和unauthorizedUrl没有区分太清,一直以为unauthorizedUrl是被拦截后要跳转到的页面,今天特意查了一下,才清楚loginUrl是登录页面,unauthorizedUrl是没有资源权限时跳转到的页面。即: loginUrl:没有登录的用户请求...
Shiro实现会话过期动态跳转(动态跳转到loginUrl)
过于丰富,无法简介
03-22 1857
需求 项目基于session实现的会话机制,在会话过期后根据当前登录的角色实现不同界面的跳转,管理员角色登录过期后跳转到/manage/login界面,其他角色登录过期后跳转到/login界面 项目结构 springboot + shiro + session + thymeleaf 依赖 <!--Shiro--> <dependency> <groupId>org.apache.shiro</groupId> .
Springboot+Shiro实现登录
最新发布
gnsbxjj的博客
05-16 445
Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。shiro由三部分组成:1、Subject:当前操作的用户就是当前登录的用户;2、SecurityMapper:该组件用来管理所有操作用户的安全操作3、Realm:该组件需要自己来定义,shiro当前登录的账号、密码是否正确,并且其拥有那些权限。
基于Shiro 拦截URL,实现权限控制
08-02
NULL 博文链接:https://vti-iteye.iteye.com/blog/1963397
Spring Boot 使用shiro 总是拦截不成功
2301_77484585的博客
03-05 558
Shiro已经提供了适配Servlet 5.0 的依赖包,使用<classifier>标签即可选取适配版本,不过部分Shiro包中仍嵌套依赖了一些没有适配jakarta的依赖包,所以我们需要使用<exclude>将其排除,再引入同版本的jakarta适配包。原文链接:https://blog.csdn.net/weixin_43492211/article/details/131217344。
一个简单的springboot整合shiro demo,实现了登录页面拦截,账户密码提交正确放行
06-27
本项目"shirodemo"就是一个很好的示例,展示了如何在SpringBoot环境中配置和使用Shiro来实现基本的登录验证和权限拦截。 首先,SpringBoot提供了便捷的起步依赖(starters)来简化项目的初始化工作。在Shiro的整合...
shiro登录拦截校验demo
07-19
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,简化了在Java应用中处理安全问题的过程。"shiro登录拦截校验demo"是...
shiro——认证
08-05
Apache Shiro 是一个强大且易用的Java安全框架,提供了身份验证、授权、加密和会话管理功能,可以简化开发人员的安全实现。在本主题中,我们将深入探讨Shiro的认证过程,即验证用户身份的过程。 认证是任何安全系统...
shiro1.13.0解决IniSecurityManagerFactory过期问题
12-29
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权、加密和会话管理功能,简化了开发人员处理安全的代码。在 Shiro 1.13.0 版本中,可能对一些旧的类或接口进行了废弃,包括 `...
springboot + shiro 多realm多loginUrl设置(动态改变loginUrl
weixin_45044261的博客
05-17 2415
【springboot + shiro】多realm的多loginUrl设置(动态改变loginUrl) 在shiro多realm的情况下,让用户访问需要认证的页面时,不同的角色肯定需要不同的loginUrl 然而shiroShiroFilterFactoryBean只能写入一个loginUrl,此时需要用到ShiroFilterFactoryBean的setFilters方法,解决办法如下: shiro底层是通过redirectToLogin方法使未认证的用户跳转到登陆页的,那么只需要重写这个方法
shiro动态URL权限控制
01-16
1 / 10 shiro动态URL权限控制 用过Spring Security的朋友应该比较熟悉对URL进行全局的权限控制,即访问URL时进行权限匹配;如果没有权限直接跳到相应的错误页面。Shiro也支持类似的机制,不过需要稍微改造下来满足实际需求。不过在Shiro中,更多的是通过AOP进行分散的权限控制,即方法级别的;而通过URL进行权限控制是一种集中的权限控制。本章将介绍如何在Shiro中完成动态URL权限控制。
shiroFilter权限验证
09-24
web.xml配置 因为我们是与spring进行集成的,而spring的基本就是web项目的xml文件。所以我们在web.xml中配置shiros的过滤拦截。正常情况下,我们需要将shiro的filter配置在所有的filter前面,当然和encodingFilter这个filter是不区分前后的。因为两者互相不影响的。spring-shiro.xml 这里我们将来看看spring-shiro.xml的配置,这里我采取倒叙的方式讲解,我觉的倒叙更加的有助于我们理解代码。首先我们还记得在web.xml中配置的那个filter吧,名字shiroFilter,对spring-shiro.xml配置文件就是通过这个filter展开的。首先我们在web.xml配置的过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将ShiroFilterFactoryBean定义为shiroFilter <!-- Shiro的核心安全接口,这个属性是必须的 --> <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.html"页面 --> <!-- 登录成功后要跳转的连接 --> <!-- 用户访问未对其授权的资源时,所显示的连接 --> <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp --> <!-- Shiro连接约束配置,即过滤链的定义 --> <!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.csdn.net/jadyer/article/details/12172839 --> <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 --> <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 --> <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter --> /statics/**=anon /login.html=anon /sys/schedule.html=perms[sys:schedule:save] /sys/login=anon /captcha.jpg=anon /**=authc
shiro框架的详细配置及使用
pengjwhx的博客
04-18 3181
shiro框架的详细配置及使用
shiro框架如何设置不过滤指定url
u012131610的博客
09-04 1万+
不过滤指定url意思就是遇到指定的url直接放行,不跳转到登录页面,比如通过调某一个方法检测服务是否正常就需用用到该配置。 配置方式也比较简单,shiro.xml中添加相应的配置即可 比如遇到path为“/e74050c07f7d315d3ffc73df398ff9c5”的请求直接放行,可以如下配置: <!-- Shiro Filter --> <bean id="sh...
shiro设置loginUrl无法访问的问题
weixin_34357928的博客
07-11 1178
    在spring与shiro的集成过程中遇到了这样一个问题,在shiro的Web过滤器中添加了loginUrl地址,启动项目后shiro并未拦截loginurl地址。     百度了一下,大多数是说未开启spring的动态代理,即添加下面的代码到mvc配置文件中,但是并未起作用。 <aop:config proxy-target-class="true"><...
权限管理系统之集成Shiro实现登录、url和页面按钮的访问控制
MarkerHub的博客
09-01 788
小Hub领读:SpringBoot整合Shiro,如何做按钮级别的控制,看完就懂了!作者:小崔笔记本https://www.cnblogs.com/5ishare/p/10461073....
shiro基本配置
ksj_j的博客
01-21 1331
shiro:web配置 contextConfigLocation classpath:spring-shiro.xml 加载shiro配置文件 <!-- 这里的filter-name 要和spring 的applicationContext-shiro.xml 里的 org.apache.shiro.spring.web.ShiroFilterFa
springboot整合shiro配置不拦截特定页面_Spring Boot 整合 Shiro ,两种方式全总结!...
weixin_31207903的博客
01-25 3778
点击“牧码小子”关注,和众多大牛一起成长!关注后,后台回复 java ,领取松哥为你精心准备的技术干货!在 Spring Boot 中做权限管理,一般来说,主流的方案是 Spring Security ,但是,仅仅从技术角度来说,也可以使用 Shiro。今天松哥就来和大家聊聊 Spring Boot 整合 Shiro 的话题!一般来说,Spring Security 和 Shiro 的比...
springboot整合shiro拦截某个请求
09-06
在Spring Boot中,可以通过整合Shiro来实现对请求的拦截和权限控制。如果不希望Shiro拦截某个请求,可以通过配置Shiro的过滤器链来实现。 首先,在Spring Boot的配置类中,需要注入一个FilterRegistrationBean对象来配置Shiro的过滤器链。然后,通过调用FilterRegistrationBean的addInitParameter方法,设置Shiro过滤器的init参数。 在设置Shiro过滤器的init参数时,可以通过使用Shiro内置的过滤器来达到不拦截某个请求的目的。其中,"anon"代表不需要认证即可访问,"authc"代表需要认证才能访问。 示例代码如下: @Configuration public class ShiroConfig { @Bean public FilterRegistrationBean<DelegatingFilterProxy> shiroFilterRegistration() { FilterRegistrationBean<DelegatingFilterProxy> registration = new FilterRegistrationBean<>(); registration.setFilter(new DelegatingFilterProxy("shiroFilter")); Map<String, String> initParameters = new LinkedHashMap<>(); // 不拦截某个请求 initParameters.put("anon", "/path/to/skip"); // 其他需要认证的请求 initParameters.put("authc", "/path/to/authenticate"); registration.setInitParameters(initParameters); registration.setOrder(1); registration.addUrlPatterns("/*"); return registration; } // 其他Shiro配置省略... } 在上述代码中,通过设置initParameters来指定需要不拦截的请求与需要认证的请求。其中,"/path/to/skip"代表不需要进行认证和授权的请求路径。 通过以上配置,可以实现Spring Boot与Shiro的整合,并使得Shiro拦截某个特定的请求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值