shiro1.8内置jwt过滤器捕获token过期异常解决方案

已于 2022-05-08 18:12:41 修改
阅读量1.8k 收藏 3
点赞数 1
文章标签: java
于 2022-05-08 17:52:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51348116/article/details/124649652
版权

目录

一、全局异常捕获不到realm异常的原因

前提:在整合shiro和jwt中的过程中,测试token过期时发现,token过期的异常全局异常是捕获不到的,返回的只有401状态码,不满足前后端分离的需求

在调试过程中发现了原因:

  • 由于是多realm登录,会先走到ModularRealmAuthenticator类中的认证器方法在这里插入图片描述
  • 在该方法中会调用getAuthenticationInfo方法验证token是否过期,若过期此处异常会被try捕获然后进入afterAttempt方法中
  • 此处afterAttempt方法的作用就是: 对Realm中的异常进行处理, 聚合新的Info,赋给aggregate
  • 简单来讲,若token验证失败报错,此处aggregate会为空
    在这里插入图片描述
  • aggregate为空,进入afteAllAttempts,此时会调用多realm中的默认认证策略AtLeastOneSuccessfulStrategy中的afteAllAttempts方法,直接抛出AuthenticationException异常,把我们前面的异常覆盖了在这里插入图片描述
    在这里插入图片描述
  • 接着该异常会继续抛出,最终在认证过滤器中被捕获转为布尔值false,因此最终没有异常抛出,由于过滤器在controller前,因此异常也没被全局异常捕获
    在这里插入图片描述

二、使用HttpAuthenticationFilter过滤器的onAccessDenied方法捕获报错

  • 在以上调试过程中发现一个有意思的地方,即在进入多realm认证器前,都是先调用了HttpAuthenticationFilter类的onAccessDenied方法,也就是说我们可以在此处理报错
  • 可以看到,该类是shiro1.8内置jwt过滤器 BearerHttpAuthenticationFilter 的父类在这里插入图片描述
  • 我们写自己的filter类继承BearerHttpAuthenticationFilter类,并重写OnAccessDenied方法在这里插入图片描述
  • 原来的情况是经过该方法之后会进行token的过期验证,但我们上面的分析也可以发现其异常会被层层抛出最后被捕获,因此我们可以提前在该方法中进行token的过期验证,从而可以在此处理异常
  • 对于异常的处理,发现以下方法是失败的
    • 使用aop,以该方法为切面,通过afterThrowing进行捕获异常
    • 由于aop只能拦截Spring管理Bean的访问,因此从执行顺序来看:filter>aop,即在filter抛出的异常aop是捕获不到的

  • 最终解决方案

    • 通过使用重定向解决
    • 在该类中对token过期进行验证,捕获异常后重定向到error接口在这里插入图片描述
    • 在接口中返回正确的参数
      在这里插入图片描述
    • ##最终规范了返回的格式 在这里插入图片描述

三、简单来讲

就是shiro内置jwt过滤器中的OnAccessDenied中调用的登录方法里面会验证token过期,过期异常直接被捕获

在这里插入图片描述
在这里插入图片描述

因此解决方法就是使token异常在onAccessDenied方法就被处理掉

王酷酷-
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
springboot的模块化开发,集成shiro+jwt实现restful接口的token认证
05-14
最近在搞springboot的模块化开发,集成了shiro+jwt实现restful接口的token认证。 需新增测试表: CREATE TABLE `t_user` ( `user_id` int(11) unsigned zerofill NOT NULL AUTO_INCREMENT, `user_name` varchar(32...
ShiroShiro登录验证失败问题
sebeefe的博客
04-28 612
shiro登录验证一直失败: 原因: 在用户注册时,采用如下加密方法: /** * md5加密工具 * @param var * 要加密的字符串 * @param iterations * 加密次数 * @return */ public static String encrypt(String var,int iterations){ return new SimpleHash("md5",var,SALT.getBytes(),iterations).toHex(); } 在Sh
Shiro的过滤链设计机制
king220022的博客
04-12 337
当请求进入系统时,会首先进入我们自定义的JwtFilter的preHandle方法中,我们交给父类去执行,super.preHandle(request, response),可以看到他的父类就是PathMatchingFilter,上面那几个报错判断我们忽略,我们看重点的addToChain方法,这里有2个这个方法,上面一个是全局过滤器对过滤路径进行处理,下面那个是自定义过滤器对过滤路径进行的处理,自定义的会覆盖全局的,我们进入这个方法中,-- 过滤链定义,从上向下顺序执行,一般将/**放在最为下边。
JWT令牌、过滤器Filter、拦截器Interceptor
最新发布
m0_46702681的博客
06-16 1339
全称:JSON Web Token(https://iwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如 {"id":"1","username":"Tom"}
shiro认证时拦截器的isAccessAllowed和onAccessDenied执行流程
热门推荐
qq_40202111的博客
05-28 2万+
具体原因是再执行登陆的时候会调用org.apache.shiro.web.filter.AccessControlFilter类里面的onPreHandle方法。 在使用Shiro框架的时候所有的请求经过过滤器都会来到此onPreHandle方法 isAccessAllowed:判断是否登录 在登录的情况下会走此方法,此方法返回true直接访问控制器 onAccessDenied:是否是拒绝登录 没有登录的情况下会走此方法 如果isAccessAllowed.
shiro过滤器详解分析
weixin_34177064的博客
03-11 1225
(原) shiro最核心的2个操作,一个是登录的实现,一就是过滤器了。登录有时间再补录说明,这里分析下shiro过滤器怎样玩的。 1、目标 这里会按如下顺序逐一看其实原理,并尽量找出其出处。 先看一下shiro过滤器有哪些及它们的别名分别对应哪些类:点这里 这里只分析平时用的最多的一个:authc过滤器,对应的处理器的类是FormAuthenticationFilter。 2...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
springboot整和jwtshiro、redis实现token自动刷新
08-19
接着,我们需要创建一个JWTToken Realm,实现Shiro的AuthenticationInfo接口,处理JWT的验证。在Realm中,我们可以解析JWT,获取用户信息,并与数据库进行比对,完成身份验证。 对于Redis的使用,我们需要配置一个...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
shiro-jwt-wx:微信小程序登录,使用shiro+JWT(Token
05-14
使用Shiro+JWT完成的微信小程序的登录 你也可以在csdn中查看讲解 微信小程序用户登陆,完整流程可参考下面官方地址,本例中是按此流程开发 你需要了解的点 微信小程序的登录流程 Shiro的基础知识 JWT以及Token 项目...
SpringBoot 使用Shiro权限框架自定义拦截器检查token失效
Langeldep的专栏
11-09 1万+
  创建一个类,继承自UserFilter,实现OnAccessDenied函数即可。 package io.tenglu.modules.sys.shiro; import org.apache.shiro.web.filter.authc.UserFilter; import org.apache.shiro.web.servlet.ShiroHttpServletRequest; ...
Token 失效退出至登录页面
CMDN123456的博客
08-10 3333
Token 失效退出至登录页面
Shiro使用和源码分析---3
conansonic的博客
11-01 3673
FormAuthenticationFilter使用和源码分析—2 首先自定义一个customAuthenticationFilter继承自FormAuthenticationFilter,如下所示 customAuthenticationFilter public class CustomAuthenticationFilter extends FormAuthenticationFilt
SpringBoot整合shiro(基础版)
weixin_45136521的博客
12-05 253
要走shiro的授权方法,需要在方法上打上权限标签,否则默认不会走这里。默认没有权限会直接走shiro中的“authc” 中的onAccessDenied 方法,默认自动跳转到/login.jsp页面 加入maven依赖 <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId>
spring boot 整合shiro权限控制
asdluoliu的博客
05-30 530
spring boot 整合shiro权限控制。 这个项目demo做了精简整合,去掉一些重复不需要的代码,这个模块可以直接嵌入你的springboot项目系统中。
shiro概述(三)拦截器
w_t_y_y的博客
12-14 1495
也就是说一次请求只会走一次拦截器链;另外提供enabled属性,表示是否开启该拦截器实例,默认enabled=true表示开启,如果不想让某个拦截器工作,可以设置为false即可。当我们组装拦截器链时会根据这个名字找到相应的拦截器实例;4、AdviceFilter:提供了AOP风格的支持,类似于SpringMVC中的Interceptor。3、ShiroFilter:是整个Shiro的入口点,用于拦截需要安全控制的请求进行处理。一、介绍:shiro使用了与servlet一样的Filter进行接口扩展。
SpringBoot使用Shiro实现认证和授权,多端登录实现
qq_42814833的博客
07-23 5708
SpringBoot使用Shiro 这篇文章主要用来介绍Shiro在SpringBoot框架中的使用,也会讲一些不同业务情景下的用法。 基本概念 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 3大组件: SecurityManager:安全管理器,提供认证和授权等框架所有功能的接口。典型的外观模式,具体实现委托给其他类 Subject:当
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值