shiro拦截axios请求导致@RequireRole注解失效

最新推荐文章于 2023-08-11 17:32:18 发布
最新推荐文章于 2023-08-11 17:32:18 发布
阅读量398 收藏
点赞数 4
分类专栏: java基础语法 文章标签: 前端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zly03/article/details/128812077
版权

文章目录

最近在整理一个自己以前做过的系统,想要添加一些功能,发现shiro框架出现了点问题,觉得这个错误应该还是蛮有价值的,就写出来和大家分享下…

ShiroRequiresRole注解对于axios请求无效

场景再现

前端发送一个POST请求,而后端对应的接口是有一个RequiresRole注解。

出现的问题:

  1. 前端发送请求发现没有反应,只执行认证代码

  2. 使用接口文档swagger在线测试和Post Man测试这个接口,发现这个@RequiresRole是起作用的,对于没有权限的用户是可以成功拦截的。

  3. 将@RequiresRole注解注释掉,axios请求可以成功进入该接口

解决方案

通过上面的尝试,我们大概可以猜到问题出现的位置大概是shiro框架和axios的问题,于是我们就进行网上的解决方案的查找。

网上的解决方案

**一、**网上的很多解决方案都说是跨域的问题,于是,我们在vue-config中已经配置了跨域请求,但是我们只是本地测试,没有进行跨域,自然不是跨域的问题。

module.exports = defineConfig({
  transpileDependencies: true,
  devServer: {
    host: 'localhost',
    port: 8080,
    proxy: {
      '/api': {
        target: 'http://localhost:9527/api',
        changeOrigin: true
      }
    }
  }
})

二、 axios在发送请求的时候先发送OPTIONS请求,然后再发送POST,OPTIONS请求status返回200才会正常发起请求,我们需要对OPTION请求进行放行

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dQlMaEUs-1675129247368)(C:\Users\DY\AppData\Roaming\marktext\images\2023-01-31-09-18-14-image.png)]

在我们自定义的Filter对OPTIONS进行放行

@Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-control-Allow-Origin",  httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
    }

三、 未携带cookie的问题

在axios的默认配置中,axios.defaults.withCredentials 默认是false,而shiro框架用户认证是需要浏览器cookie存在JSESSIONID信息,发送请求需要携带信息,因此在前后端都需要允许Credentials。

前端

axios.defaults.withCredentials = true

后端

在WebMvcConfig中

@Override
protected void addCorsMappings(CorsRegistry registry) {
    registry.addMapping("/**").allowCredentials(true);
}

发现请求还是被拦截了,到这里可能就有一点疑问

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dBYHZhlt-1675129247368)(C:\Users\DY\AppData\Roaming\marktext\images\2023-01-31-09-27-18-image.png)]

为什么配置了还是没有成功,然后我在网上又找到一篇博客提到在返回response的请求头上还要Access-Control-Allow-Credentials为true,于是我们修改一下我们自己的BasicHttpAuthenticationFilter,然后惊奇的发现成功了

 
 @Override
 protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
     HttpServletRequest httpServletRequest = (HttpServletRequest) request;
     HttpServletResponse httpServletResponse = (HttpServletResponse) response;
     httpServletResponse.setHeader("Access-control-Allow-Origin",  httpServletRequest.getHeader("Origin"));
     httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS");
     httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
     httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true"); // 这里
     if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
         httpServletResponse.setStatus(HttpStatus.OK.value());
         return false;
     }
     return super.preHandle(request, response);
 }

如果上面有什么写错的地方,希望各位大神多多指点一下,也希望分享的可以帮助到大家。

宏远十一冠王
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired 问题及解决方法 在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证时,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及...
SpringBoot 、Shiro、 自定义注解权限控制源码下载
04-06
SpringBoot 、Shiro、 自定义注解权限控制
springboot 集成shiro 注解失效(不进行授权)解决方案
qq_43499489的博客
05-11 468
配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能。* 开启Shiro注解(如@RequiresRoles,@RequiresPermissions)
【记录踩坑】在使用Shiro时候注解@RequiresRoles失效问题(已解决)
weixin_47201411的博客
09-14 515
解决在使用Shiro时候注解@RequiresRoles失效问题
springboot shiro 中@RequiresRoles使用(简单明了!!好文章!!)
HD243608836的博客
05-24 2360
Shiro中通过@RequiresRoles注解可检验权限,在检验权限之前先要设置权限: 授权方法中给用户添加角色 在自定义的Realm中(继承实现AuthorizingRealm)的doGetAuthorizationInfo方法中授权方法中给用户添加角色。 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String userNa
使用 axios 拦截器解决前端并发冲突问题
树上骑个猴的博客
05-18 889
一般的处理方式 — 每次发请求添加 loading 在尝试 axios 拦截器之前,先看看我们之前业务是怎么处理并发冲突问题的: 每次用户操作页面上的控件(输入框、按钮等),向后端发送请求的时候,都给页面对应的控件添加 loading 效果,提示正在进行数据加载,同时也阻止 loading 效果结束前用户继续操作控件。 这是最直接有效的方式,如果你们前端团队成员足够细心耐心,拥有良好的编码习惯,这样就可以解决大部分用户不小心重复提交带来的并发问题了。 更优的解决方案:axios 拦截器统一处理 项目中需要前
Shiro中@RequiresRoles和@RequiresPermissions的使用
weixin_44967580的博客
05-10 4903
@RequiresRoles("user") //具有user角色可以访问 @RequiresRoles(value = {"admin","user"},logical = Logical.AND)//用来判断是否拥有角色 同时具有admin 和 user角色才能访问 @RequiresRoles(value = {"admin","user"},logical = Logical.OR)//用来判断是否拥有角色 具有admin 或 user其中一角色才能访问 @RequiresPermiss
vue+axios全局添加请求头和参数操作
10-15
总的来说,通过使用axios拦截器,我们可以优雅地在Vue应用中实现全局的请求头和参数设置,无论是放在请求头还是参数中,都能确保每次请求都带有必要的认证信息。同时,别忘了与后端团队协商,确保所选择的方法符合...
Springboot @Configuration @bean注解作用解析
08-25
在上面的示例代码中,我们使用 @Configuration 注解标记了 ShiroConfig 类,然后使用 @Bean 注解注册了 ShiroFilterFactoryBean 到 Spring 容器中。 二、@Bean 注解 @Bean 注解是 Spring 框架中的另一个重要注解,...
spring boot整合shiro实现url请求过滤
07-13
本demo为Spring boot整合shiro,以mybatis plus做dao层交互数据,实现了读取数据库用户数据实现用户登录,权限认证,读取数据库中用户对应的url请求,实现请求的过滤。自定义了relam和过滤器来实现这些功能
Shiro中@RequiresRoles注解相关参数说明
qq_42922014的博客
07-01 615
@RequiresRoles(value={"admin","user"},logical = Logical.OR) @RequiresPermissions(value={"add","update"},logical = Logical.AND)
shiro见招拆招(其一): (已解决)shiro权限注解@RequireRole和 @RequiresPermissions使用无效解决方案
浮-沉
07-29 2007
shiro见招拆招: @RequiresRoles和 @RequiresPermissions使用无效解决方案前言场景再现-- @RequiresRoles失效场景再现-- @RequiresPermissions失效其他原因未完待续 前言 最近笔者在做 CMS系统 的时候, 针对安全框架进行选型, 其实说白了就是对shiro和security进行筛选, 百度一圈, 知乎一圈敲定使用shiro作为安全框架, 和很多人一样, 第一次使用shiro 自然师从涛哥, 从shiro讲解上 涛哥无疑 NO.1(这真
shiro的@RequiresPermissions,@RequiresRoles解析流程
最新发布
qq_61592687的博客
08-11 2934
全网最新讲解shiro的@RequiresPermissions,@RequiresRoles的解析流程,绝对对你理解这两个验证流程大有脾益。
springboot中使用shiro时AuthorizationException异常抛出的三种处理方法
baidu_31788709的博客
01-05 7340
在使用注解的方式来验证角色和权限时,如: //注解验角色和权限 @RequiresRoles("admin") @RequiresPermissions("add") @RequestMapping(value="/index",produces = "application/json;charset=UTF-8") public String index...
shiro注解@RequiresRoles()、@RequiresPermissions()不生效,以及静态资源被拦截
weixin_46303407的博客
02-16 1454
shiro在使用前需要配置,其中就会有一个名叫ShiroConfig的类 ··· import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor; import org.apache.shiro.spring.web.ShiroFilterFactoryBean; import org....
Shiro中@RequiresRoles使用
程序新视界
01-27 5046
Shiro中通过@RequiresRoles注解可检验权限,在检验权限之前先要设置权限: 授权方法中给用户添加角色 在自定义的Realm中(继承实现AuthorizingRealm)的doGetAuthorizationInfo方法中授权方法中给用户添加角色。 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { String userName =
spring boot项目如何设置全局跨域配置
qq_43411729的博客
07-07 990
跨域配置
Vue+SpringBoot+Shiro+通用Mapper
05-22
随着互联网的发展,现在的管理平台都基于前后端分离。本课程将用当下最流行的前端框架Vue,后台框架SpringBoot,和Shiro实现权限管理的基本功能(用户管理 角色管理 权限管理) 采用Mybatis和通用Mapper实现数据库的持久化操作。1.讲解Vue基本使用包括接口调用2.讲解SpringBoot集成Shiro,讲解Shiro权限控制流程3.整合VueElement+Shiro+SpringBoot实现权限管理
shiro,权限注解无效问题
weixin_33807284的博客
08-12 482
2019独角兽企业重金招聘Python工程师标准>>> ...
springboot基于Shiro拦截ajax请求
05-09
在Spring Boot中使用Shiro进行拦截Ajax请求,可以使用Shiro提供的Filter来实现。 首先,需要创建一个自定义的ShiroFilter,并在Spring Boot的配置文件中进行配置: ```java @Configuration public class Shiro...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值