防止 shiro 认证失败后跳转页面,自定义shiro授权过滤器

最新推荐文章于 2022-04-27 07:44:40 发布
最新推荐文章于 2022-04-27 07:44:40 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: java shiro 文章标签: shiro 过滤器 spring java session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44972575/article/details/107106677
版权
java 同时被 2 个专栏收录
29 篇文章 1 订阅
订阅专栏
shiro
2 篇文章 0 订阅
订阅专栏

防止 shiro 认证失败后跳转页面,自定义shiro授权过滤器

一、注册自定义授权过滤器

import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.apache.shiro.web.servlet.Cookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.crazycake.shiro.RedisCacheManager;
import org.crazycake.shiro.RedisManager;
import org.crazycake.shiro.RedisSessionDAO;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.DependsOn;
import quantity.knowledgebase.realm.CustomSessionManager;
import quantity.knowledgebase.realm.MyFormAuthenticationFilter;
import quantity.knowledgebase.realm.MyRealm;

import javax.servlet.Filter;
import java.util.LinkedHashMap;
import java.util.concurrent.ConcurrentHashMap;

/**
 * shiro配置类
 */
@Configuration
public class ShiroFilterConf {

    /**
     * ShrioFilterFactoryBean 过滤bena
     *
     * @param defaultWebSecurityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        
		
        /*********************************主要内容***************************/
        /***************************注册自定义授权过滤器**********************/						
        // 1、创建过滤器Map,用来装自定义过滤器
        LinkedHashMap<String, Filter> linkedHashMap = new LinkedHashMap<>();

        // 2、将自定义过滤器放入map中,如果实现了自定义授权过滤器,那就必须在这里注册,否则Shiro不会使用自定义的授权过滤器
        linkedHashMap.put("authc", new MyFormAuthenticationFilter());

        // 3、将过滤器Ma绑定到shiroFilterFactoryBean上
        bean.setFilters(linkedHashMap);
        /**********************************************************************/


        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);

        /*  添加shiro的内置过滤器
                anon 无需认证就可以访问
                authc  必须认证才能访问
                user  必须拥有记住我功能 才能用
                perms  拥有对某个用户资源才能访问
                role   拥有某个角色权限才能访问
         */
        ConcurrentHashMap<String, String> map = new ConcurrentHashMap<>();

        //FormAuthenticationFilter  authc   认证过滤器
        //AnonymousFilter  anon    匿名过滤器
        map.put("/personnel_gm/**", "authc");
        map.put("/product/**", "authc");
        map.put("/statistics_offer/**", "authc");

        //定义一个过滤器链
        bean.setFilterChainDefinitionMap(map);

        //其他资源都需要认证  authc 表示需要认证才能进行访问 user表示配置记住我或认证通过可以访问的地址
        return bean;
    }

    /**
     * 安全对象  FafaulWebSecurityManager
     *
     * @param userRealm
     * @return
     */
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") MyRealm userRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联UserRealm
        securityManager.setRealm(userRealm);
        securityManager.setSessionManager(sessionManager());  // 安全管理器中 设置 sessionManager
        securityManager.setCacheManager(cacheManager());
        return securityManager;
    }

    /**
     * 创建 Realm对象 ,需要自定义Realm
     *
     * @return
     */
    @Bean
    public MyRealm userRealm() {
        MyRealm userRealm = new MyRealm();
        return userRealm;
    }


    /**
     * 会话管理器
     *
     * @return
     */
    @Bean
    public DefaultWebSessionManager sessionManager() {
        CustomSessionManager sessionManager = new CustomSessionManager();
        sessionManager.setSessionDAO(redisSessionDAO());
        Cookie sessionIdCookie = sessionManager.getSessionIdCookie();
        sessionIdCookie.setPath("/");
        sessionManager.setSessionIdCookie(sessionIdCookie);
        return sessionManager;
    }

    /**
     * 配置redisManager
     *
     * @return
     */
    public RedisManager getRedisManager() {
        RedisManager redisManager = new RedisManager();
        redisManager.setHost("192.168.0.1:6379");
        redisManager.setPassword("123456");
        return redisManager;
    }

    /**
     * 配置具体cache实现类
     *
     * @return
     */
    public RedisCacheManager cacheManager() {
        RedisCacheManager redisCacheManager = new RedisCacheManager();
        redisCacheManager.setRedisManager(getRedisManager());
        //设置redis过期时间,单位是秒
        redisCacheManager.setExpire(60*60*24*360*5);
        redisCacheManager.setKeyPrefix("ihrm:shiro:cache:"); //设置权限信息缓存的名称前缀
        return redisCacheManager;
    }

    /**
     * 自定义session持久化
     *
     * @return
     */
    public RedisSessionDAO redisSessionDAO() {
        RedisSessionDAO redisSessionDAO = new RedisSessionDAO();
        redisSessionDAO.setRedisManager(getRedisManager());
        redisSessionDAO.setExpire(60*60*24*360*5);
        redisSessionDAO.setKeyPrefix("ihrm:shiro:session:"); //设置session缓存的名称前缀
        return redisSessionDAO;
    }

    /**
     * 管理shiro一些bean的生命周期 即bean初始化 与销毁
     *
     * @return
     */
    @Bean
    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    /**
     * 加入注解的使用,不加入这个AOP注解不生效(shiro的注解 例如 @RequiresGuest , 但是 一般使用配置文件的方式)
     *
     * @return
     */
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new
                AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(defaultWebSecurityManager);
        return authorizationAttributeSourceAdvisor;
    }

    /**
     * 用来扫描上下文寻找所有的Advistor(通知器), 将符合条件的Advisor应用到切入点的Bean中,需
     * 要在LifecycleBeanPostProcessor创建后才可以创建
     *
     * @return
     */
    @Bean
    @DependsOn("lifecycleBeanPostProcessor")
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
        DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator = new
                DefaultAdvisorAutoProxyCreator();
        defaultAdvisorAutoProxyCreator.setUsePrefix(true);
        return defaultAdvisorAutoProxyCreator;
    }

}

一、创建自定义授权过滤器

import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.json.JSONObject;
import quantity.knowledgebase.util.HttpGetIpUtil;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;

public class MyFormAuthenticationFilter extends FormAuthenticationFilter {

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {

        System.out.println("验证失败");
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setStatus(200);
        httpServletResponse.setContentType("application/json;charset=utf-8");

        PrintWriter out = httpServletResponse.getWriter();
        JSONObject json = new JSONObject();
        json.put("code", -1);
        json.put("msg", "登录已失效,请重新登录!");
        out.println(json);
        out.flush();
        out.close();
        return false;
    }
}
sq.zhang
关注
专栏目录
shiro自定义登录返回状态, 认证失败返回json
马句
01-14 2719
Shiro框架默认认证失败后会返回到登录页面,在前后端分离项目中,需要返回JSON数据,以便前端或者app端解析处理。 如果访问的地址没有登陆,会根据配置文件内定义返回登陆页 shiroFilterFactoryBean.setLoginUrl("/login"); 实现方式: 1. 建一个过滤器ShiroLoginFilter,内容如下: import com.alibaba....
shiro自定义登陆和推出的过滤器,实现登陆之后根据条件跳转不同页面,推出登陆根据条件跳转不同页面
chenyidong521的博客
07-30 3360
shiro中我们可以通过自定义过滤器的方式来实现自己想要的结果,比如想要登陆之后跳转不同页面 @Bean(name = "shiroFilter") public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager securityManager, Authent...
shiro拦截ajax请求时认证失败自定义返回数据
07-16 678
自定义shiro实现识别ajax请求的拒绝返回json,还是普通返回页面 在写后端的时候加入了Shiro登录认证和会话超时管理,前端页面访问重定向没有问题,但是Ajax访问接口时,如果会话超时,则只会返回一个页面,但是前端页面无法跳转。所以需要返回状态为403的Json数据,然后让前端去跳转 ShiroConfig <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问--> filterChainDefinitionMap.
Spring boot+Shiro身份认证失败返回JSON,不跳转页面
江湖人称小程的博客
09-12 7142
文章目录前言步骤1、重写FormAuthenticationFilter2、注册自定义过滤器 前言 shiro在进行身份认证时,如果失败了,默认会跳转到Web工程根目录下的"/login.jsp"页面,如果在配置类中配置了这句话: shiroFilterFactoryBean.setLoginUrl("/myLogin"); 认证失败后会跳转到setLoginUrl这个方法指定的路径中。 这里说...
spring boot shiro 开启注解支持并禁止重定向跳转,开启json返回
Orange软件的博客
11-22 2247
最近在做前后端分类实践,shiro 必须符合以下要求: 1.登陆权限认证失败禁止重定向跳转。 2.登陆权限认证返回json,因为前后端分离了,必须全部返回json… 码云开源地址:https://gitee.com/orangeenterprise/shiro-login ...
shiro关于权限问题的页面跳转
言诺liang
12-04 5584
关于shiro权限控制异常的抓取及跳转问题:如果用户登录没有所需的角色role或者所需的权限permission这时候应该抓取异常并跳转到异常提示页面一般我知道的三种处理方式。 1、直接在配置文件中配置shiro的web过滤器: &lt;!-- Shiro的Web过滤器 --&gt; &lt;bean id="shiroFilter" class="org.apache.sh...
shiroShiroFilterFactoryBean
weixin_43241706的博客
09-29 942
Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制。本文主要介绍在spring-boot 中用ShiroFilterFactoryBean 来创建ShiroFilter: 将上述方法添加到ShiroConfig中即可实现拦截URL。 ...
springmvc+shiro自定义过滤器的实现代码
08-26
在本文中,我们使用Shiro自定义过滤器来实现用户登录后的跳转回之前页面的功能。 3. HttpSession HttpSession是服务器端的会话技术,可以用来存储用户的会话信息。在本文中,我们使用HttpSession来存储用户的...
使用Shiro实现登录成功后跳转到之前的页面
09-01
正确配置 Shiro过滤器链定义,确保只有需要认证的URL会被保存,这样才能在用户登录跳转到他们最初尝试访问的页面。在实际应用中,根据项目的具体需求,可以结合这两种方法,以提供更优质的用户体验。
设置shiro认证授权失败返回json而不是重定向
Sirm23333
02-08 6551
在使用shiro时,一般对未认证或未授权的请求统一过滤并做出响应,大体有以下配置: <!-- 未认证时返回的页面(被authc user logout 等认证拦截器拦截后)访问的url --> <property name="loginUrl" value="/user/unAuthenticated.do"/> <!-- 未授权时返回的页面(被roles 等授权拦...
shiro框架源码解析与改造(二)---ShiroFilterFactoryBean
ljz2016的博客
07-26 1620
ShiroFilterFactoryBean是shiro框架的核心起始类,是shiro框架一切流程的源头。 上文已经知道,DelegatingFilterProxy会从springmvc容器中查找这个类,并代理执行。 那么ShiroFilterFactoryBean类具体是干什么的呢? 查看源码可以看到ShiroFilterFactoryBean实现了 FactoryBean接口,所以真正注...
Springboot整合shiro,项目启动报错无法创建shiroFilterFactory的bean对象的问题
qq_39172681的博客
05-10 4975
由于最近有个项目需要用到springboot+shiro,所以抽空的时候自己做了一个小demo学习一下。但是当项目搭建完毕,启动的时候却报了个错,提示我无法创建shiroFilterFactoryBean,如图: 后面还有一个控制指针的报错。经过在Debug模式下调试,发现是因为通过autowired注解注入的一个Service没有注入成功,如下: 开始以为是其他地方少写了注解的原因,...
Shiro添加自己的Filter
a295277302的博客
08-28 8265
因为前后端分离,添加了自己的过滤器,根据cookie判断传过来的uuid是否是登录的token 使用到了cache,稍后会加上源码也稍后上传 ShiroConfiguration @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) { //这里设置了自己的过滤器 S
Springboot shiro (一)拦截路由,自动跳转登录页面
t18092838767的博客
12-18 5348
使用场景: 在web微服务中做登录控制,没登录时自动跳转登录页面 原理: 使用filter对路由进行拦截过滤,然后再分发跳转,如果知道怎么搞得话,就不用往下看了,因为比较简单粗暴。 依旧是几步搞定 第一步 准备微服务 springboot中使用thymeleaf访问页面 参照上面链接粗暴的搞完,直到可以访问到页面 第二步 上依赖 <dependency> ...
针对shiro框架authc拦截器认证成功后跳转到根目录,而非指定路径问题
weixin_30760895的博客
10-23 789
一、针对shiro框架authc拦截器认证成功后跳转到根目录,而非指定路径问题 首先,我们先来了解一下authc登录拦截器工作原理 authc拦截器有2个作用: 1>登录认证 请求进来时,拦截并判断当前用户是否登录了,如果已经登录了放行, 如果没有登录跳转到authc.loginUrl属性配置的路径,注意:默认是/login.jsp 2>执行登录认证 请求...
Shiro源码分析 - ShiroFilterFactoryBean初始化
weixin_33905756的博客
08-04 618
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro页面权限拦截
qq_36008278的博客
01-07 2860
@Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); Users users=UserUtil.getUser(); String userType=users.getUserType(); authoriz
SpringBoot项目中shiro过滤器的重写以及配置
m0_52789121的博客
04-27 706
跨域访问导致shiro拦截失效的问题 问题 解决方案 1.重写shiro 登录 过滤器 2.重写role权限 过滤器 3.配置过滤器 问题 遇到问题:在前后端分离跨域访问的项目中shiro进行权限拦截失效 (即使有正确权限的访问也会被拦截) 时造成302重定向错误等问题 报错:Response for preflight is invalid (redirect) 1.302原因:使用ajax访问后端项目时无法识别重定向操作 2.shiro拦截失效原因:跨域访问时有一种
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值