springboot2.x整合shiro使用自定义过滤器解决session过期跳转login问题

最新推荐文章于 2023-09-21 16:35:46 发布
最新推荐文章于 2023-09-21 16:35:46 发布
阅读量1.3k 收藏 7
点赞数 1
文章标签: shiro spring boot session 过滤器 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42203158/article/details/107461515
版权

1、问题出现原因:
问题一:后台springboot+shiro,前端使用iframe版layui。由于是iframe版是前端页面跳转不经过后台,session过期不会引起重定向到login。部分跳转页面session过期后可以重定向。
问题二:大量button事件触发走的ajax,返回的是login页面html形式的json串,解析有错误,显示parseerror。那么多ajax一个一个写错误重定向太麻烦不现实。

2、解决方法:使用shiro自定义过滤器+前端设置全局的ajax过滤。

3、首先,shiro基本的配置不说了,网上找很简单的。
我的自定义过滤器

public class LoginFilter  extends FormAuthenticationFilter {
    private static final String[] filter = {"/login", "/index","/tologin", "/icon", "/image", "/layuimini-2", "/logout"};

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest hsRequest = (HttpServletRequest) request;
        HttpServletResponse hsResponse = (HttpServletResponse) response;
        String url = hsRequest.getRequestURI();

        // 不需要过滤的请求地址以及文件
        for (String str : filter) {
            if (url.contains(str) || url.equalsIgnoreCase("/")){
                return true;
            }
        }
		//这里是获取用户登录信息
        Subject subject = getSubject(request, response);
        // 如果没有获取到用户信息,将退出到登陆界面
        if (null == subject.getPrincipal()) {
            // 从请求头部获取请求方式,ajax是X-Requested-With
            String requestedWith = hsRequest.getHeader("X-Requested-With");
            // 如果是Ajax返回指定数据
            if (StringUtils.isNotEmpty(requestedWith) && StringUtils.equals(requestedWith, "XMLHttpRequest")) {
                // 将要重定向WEB地址(项目地址),可以拼链接,我这里是直接固定/tologin
//                String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + hsRequest.getContextPath() + "/";
				//可以通过code403判断是否重定向,也可以自定义一个属性指定是session超时的重定向
                hsResponse.setHeader("sessionstatus", "TIMEOUT");					// 返回特定数据(头部信息)
                hsResponse.setHeader("content_path", "/tologin");			// 返回特定数据(首页登陆地址)
                hsResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);				// 403 禁止:状态代码(403),指示服务器了解请求,但拒绝履行。
                return false;
            } else {	// 不是Ajax进行重定向处理
                log.info( url + "重定向到了登录界面");
                hsResponse.sendRedirect("/tologin");		// 重定向到登陆界面
                return false;
            }
        }
        return true;
    }
}

要注意的几点是:

shiro官方给的默认过滤器

Filter NameClass
anonorg.apache.shiro.web.filter.authc.AnonymousFilter
authcorg.apache.shiro.web.filter.authc.FormAuthenticationFilter
authcBasicorg.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter
authcBearerorg.apache.shiro.web.filter.authc.BearerHttpAuthenticationFilter
logoutorg.apache.shiro.web.filter.authc.LogoutFilter
noSessionCreationorg.apache.shiro.web.filter.session.NoSessionCreationFilter
permsorg.apache.shiro.web.filter.authz.PermissionsAuthorizationFilter
portorg.apache.shiro.web.filter.authz.PortFilter
restorg.apache.shiro.web.filter.authz.HttpMethodPermissionFilter
rolesorg.apache.shiro.web.filter.authz.RolesAuthorizationFilter
sslorg.apache.shiro.web.filter.authz.SslFilter
userorg.apache.shiro.web.filter.authc.UserFilter

如果是跟用户权限有关的用user,ssl有关的用ssl的过滤器即可。这里我用的是FormAuthenticationFilter,因为我的/**权限过滤用的是authc。

然后在securityManager里加上自定义的过滤器。

 @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // 设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
        shiroFilterFactoryBean.setLoginUrl("/tologin");
        //  登录成功后要跳转的链接
        shiroFilterFactoryBean.setSuccessUrl("/index");
        // 未授权时跳转的提示界面
        shiroFilterFactoryBean.setUnauthorizedUrl("/404");


        // 本篇重点看这里
        //由于下面的filterMap.put("/**","authc")所以前面用的authc的过滤器
    	//这里切记用new LoginFilter()交给子过滤器执行,不要用bean,那会给spring管理然后走两遍filter,导致很多问题。
        Map<String, Filter> myfilter = new LinkedHashMap<>(20);
        myfilter.put("LoginFilter",new LoginFilter());
        shiroFilterFactoryBean.setFilters(myfilter);
		//本篇重点看这里
		
		
        Map<String, String> filterMap = new LinkedHashMap<String, String>();
        filterMap.put("/icon/**","anon");
        filterMap.put("/image/**","anon");
        filterMap.put("/js/**","anon");
        filterMap.put("/layuimini-2/**","anon");
        filterMap.put("/login","anon");
        filterMap.put("/tologin","anon");
        filterMap.put("/logout","logout");
        filterMap.put("/**","authc");//过滤链定义,从上向下顺序执行,一般将/**放在最为下边
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterMap);
        return shiroFilterFactoryBean;
    }

最后是前端ajax的过滤
写成一个common.js,然后每个页面引用即可。你框架不同的jquery就多写一个。
比如标准jquery和layui的jquery,我这里写了两个。

if(typeof jQuery != 'undefined') {
    //重写ajax
    $.ajaxSetup( {
        //设置ajax请求结束后的执行动作
        complete :
            function(XMLHttpRequest, textStatus) {
                // 通过XMLHttpRequest取得响应头,sessionstatus
                var sessionstatus = XMLHttpRequest.getResponseHeader("sessionstatus");
                if (sessionstatus == "TIMEOUT") {
                    var win = window;
                    while (win != win.top) {
                        win = win.top;
                    }
                    win.location.href = XMLHttpRequest.getResponseHeader("content_path");
                }
            }
    });
}

// 如果使用了layui框架,也必须要重写layui的ajax(用什么框架自行查找对应解决方案)
if(typeof layui != 'undefined') {
    layui.use(['form','laydate'],function(){
        var form = layui.form,
            laydate = layui.laydate,//日期
            $ = layui.jquery;
        $(".layui-date").each(function(){
            var id = $(this).attr("id");
            laydate.render({
                elem:'#'+id,
                format:'yyyy/MM/dd',
                max:0
            });
        });
        //重写ajax(layui)
        $.ajaxSetup({
            //设置ajax请求结束后的执行动作
            complete :
                function(XMLHttpRequest, textStatus) {
                    // 通过XMLHttpRequest取得响应头,sessionstatus
                    var sessionstatus = XMLHttpRequest.getResponseHeader("sessionstatus");
                    if (sessionstatus == "TIMEOUT") {
                        var win = window;
                        while (win != win.top) {
                            win = win.top;
                        }
                        win.location.href = XMLHttpRequest.getResponseHeader("content_path");
                    }
                }
        });
    });
}

最后的效果就是session到期了,页面跳转会自动重定向到login,然后如果是ajax的json格式请求也会后端拦截重定向,前端全局的ajax重定向到login。
大概流程就是:你的请求 --> 后端过滤器(放行/重定向)–> 后端业务返回(json/视图) --> 前端全局ajax过滤(放行/重定向) --> 你的请求的ajax的success方法/跳转页面。

网上的其他资源很多因为版本和时间老旧原因不好使,多研究官网的地址,上面有各种的逻辑原理,配合其他文章理解其中的思路就可以自定义解决一些问题了。

比如我这里是找到文章说可以设置自定义过滤器重定向session过期,然后又看到了说前端可以用websocket重定向(但是我不会,下一步研究研究websocket),于是又找到了说可以设置ajax全局过滤,如果是重定向给你拦截了重定向到那个页面,最后两个解决思路一相加就解决了。

slimojo
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Springboot整合Shiro后对登录session超时自动跳转登录页、异地登录提醒、权限控制的使用
weixin_44825912的博客
03-30 3741
Springboot整合shiro、thymeleaf后对登录超时、异地提醒、权限控制的使用
Shiro实现会话过期动态跳转(动态跳转loginUrl)
过于丰富,无法简介
03-22 1831
需求 项目基于session实现的会话机制,在会话过期后根据当前登录的角色实现不同界面的跳转,管理员角色登录过期跳转到/manage/login界面,其他角色登录过期跳转到/login界面 项目结构 springboot + shiro + session + thymeleaf 依赖 <!--Shiro--> <dependency> <groupId>org.apache.shiro</groupId> .
Day41项目saas-export项目-shiro认证***
翁老师的教学团队
11-09 585
Shiro过滤器&标签简介 判断 sesion中是否有 user 判断账户密码是否正确 (1)分析 需要过滤器控制 没有权限下访问链接 需要标签控制 没有权限下 界面元素的隐藏 》anon代表不认证也可以访问,通常对静态资源进行放行 》authc代表必须通过认证才可以访问,通常对动态资源(controller,jsp页面)进行拦截,如果用户没有认证,Shiro会自动跳转login.jsp页面 Shiro登陆认证-判断session中的user (1)过滤器 在项目中使用认证过滤器拦截资源(该
「小贴士」嵌套有<iframe>的页面,当登录session过期后,只在<iframe>中跳转到登录页
grantkai的博客
07-24 878
使用js判断当前window对象(window.self)不是顶级window对象(window.top)时,调用顶级window对象的reload()函数来载入登录界面
shrio session过期跳转到登录页面问题
飞龙在天的博客
07-15 6459
一般情况下 shirosession过期,权限验证不通过都会跳转到登录页面,但是我的项目中使用了easyui框架,跳转后并没有跳转到登录页面,但是在页面查看网络请求确实跳转到登录页面,但是页面并不加载,经过排查问题如下: 问题1:session失效没有跳转到登录页面 1)排查shiro的配置文件登录设置正确 //如果不设置,默认自动寻找web工程根目录下的“login.jsp”页面 ...
Session过期后自动跳转到登录页面的实例代码
09-02
因此,通常我们会采用过滤器Filter)的方式来处理Session过期后的跳转。在`web.xml`中,我们需要配置一个名为`sessionFilter`的过滤器,指定对应的Filter类: ```xml <filter-name>sessionFilter ...
使用Shiro实现登录成功后跳转到之前的页面
09-01
正确配置 Shiro过滤器链定义,确保只有需要认证的URL会被保存,这样才能在用户登录后跳转到他们最初尝试访问的页面。在实际应用中,根据项目的具体需求,可以结合这两种方法,以提供更优质的用户体验。
SpringBoot+Shiro的demo
07-04
2. **Shiro配置**: 创建一个自定义的`ShiroFilterFactoryBean`,用于配置Shiro过滤器链,包括如anon(匿名访问)、authc(认证过滤器)、perms(权限过滤器)等。这些过滤器将决定哪些请求需要用户登录,哪些需要...
springboot-shiro
03-06
SpringBoot整合Shiro实战详解》 在Java开发领域,SpringBoot以其简洁高效的特性深受开发者喜爱,而Shiro作为一款轻量级的安全框架,为应用提供了权限管理、认证和会话管理等功能。当我们需要在SpringBoot项目中...
shiro+springmvc整合
03-25
此外,Shiro还支持自定义过滤器和拦截逻辑,以满足更个性化的安全需求。 总之,Apache ShiroSpring MVC的整合为开发者提供了一种简单有效的方式来实现Web应用的安全管理。通过灵活的配置和扩展,开发者可以快速...
奇奇怪怪小问题-Java Shiro自定义过滤器
最新发布
youthbright的博客
09-21 164
Java Shiro自定义过滤器
springboot项目中使用shiro 自定义过滤器和token的方式
ratel的博客
01-04 5006
springboot前后端分离项目中使用shiro 实现自定义过滤器和token的方式
Shiro实际使用(实现各种实用的拦截器)
qq_38053426的博客
12-12 3201
目前 shiro基本上属于很火的一个对权限验证的框架 在大系统的使用中 也能够和其他的权限方面的框架进行整合 能够实现单点登录 与redis的集成 实现缓存用户session等,十分灵活      今天我就分享下使用shiro一段时间的体会吧     首先,对于shiro的介绍 源码 本文就不涉及了 一切以最实用的东西出发     配置: <!-- 1. 配置 Shiro
Spring Boot +Vue中session得不到的问题
qq_44116526的博客
02-24 2868
对于spring boot与Vue的系统使用session。假设session取不到问题 需要在Vue中的main.js添加 axios.defaults.withCredentials = true //携带cookie 设置session @RequestMapping("/login") public ResponseZZ login(String username, String password, HttpServletRequest request) { Syste
shiro(二):springboot整合shiro
weixin_39724194的博客
02-01 897
/自定义realm public class CustomRealm1 extends AuthorizingRealm {//从传过来的token获取到的用户名 String principal =(String) token . getPrincipal();System . out . println("用户名" + principal);//假设是从数据库获得的 用户名,密码 String password_db = "123";} }
session失效,页面跳转到登陆界面的处理
w_iceh的博客
08-13 9387
每个系统页面操作过程中都有一个sessionsession可以存放少量的用户信息,供我们的页面操作使用。当session超时失效的时候我们就要重新往session中写入登陆的用户信息,而这个写入的操作一般写在在用户成功登陆系统的时候,所以当session失效时,我们页面中所有的操作都要监听,然后跳转到登陆的界面重新登陆。 1、设置session有效时间 在web.xml里面设置: &lt;...
SSH+ExtJS项目,当session过期跳转到登陆界面
Jayke Lin
05-10 198
由于ExtJS项目,在页面发送请求都是以Ajax这种形式的异步请求,所以当后台检测到session过期时,不能通过转发使客户端跳转login页面。[url]http://jayklin.iteye.com/blog/1039132[/url] 在web.xml配置的Filter、Servlet等都是按照顺序拦截的,项目使用Spring Security作为用户登陆权限管理,所以所有正常操作...
Asp.net MVC 、Extjs 解决Session过期跳到登录界面的问题
weixin_30709929的博客
03-12 159
1、首先在LoginController里建一个退出方法如下: public ActionResult LoginOut() { return View(); } 在Views里建一个视图LoginOut.cshtml:添加如下js即可 <script type="text/javascript">...
Shiro登录机制验证,自定义FormAuthenticationFilter
热门推荐
涛哥盛世
09-16 2万+
自定义登录form拦截器:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 问题描述 使用shiro进行系统身份验证-权限控制,登录界面进行登录操作何时触发 boolean org.apache.shiro.web.filter.authc.AuthenticatingFilter.execute
springboot 3.x版本的shiro过滤器无法使用
05-20
Spring Boot 3.x版本目前还没有发布,最新的版本是Spring Boot 2.6.x。而Shiro是一个独立的安全框架,不依赖于Spring Boot的版本。...另外,如果您遇到具体的问题,可以提供更多信息以便于我们帮助您解决问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值