springBoot前后端分离项目中shiro的302跳转问题

 更新时间:2021年12月17日 11:40:05   作者:小罗的  
这篇文章主要介绍了springBoot前后端分离项目中shiro的302跳转问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教

springBoot前后端分离项目shiro的302跳转

项目是使用的springboot ,使用的shiro做的用户鉴权。在前端请求时当用户信息失效,session失效的时候,shiro会重定向到配置的login.jsp 页面,或者是自己配置的logUrl。

因是前后端分离项目,与静态资源文件分离,固重定向后,接着会404。

经过查找网上配置资料,发现302原因是

  • FormAuthenticationFilter中onAccessDenied 方法做了相应处理。那知道问题所在,就可以有解决方了。
  • 重写 onAccessDenied 方法,针对自己的业务做相应处理,然后在加载过滤器配置的时候添加到配置中。

以下是代码

增加类ShiroFormAuthenticationFilter 重新方法

package com.oilpay.wallet.shiro; 
import com.alibaba.fastjson.JSONObject;
import com.oilpay.wallet.interceptor.TokenInterceptor;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.RequestMethod;
 
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;
 
/**
 *
 * 重写权限验证问题,登录失效后返回状态码
 *
 */
public class ShiroFormAuthenticationFilter extends FormAuthenticationFilter { 
    Logger logger  = LoggerFactory.getLogger(TokenInterceptor.class); 
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        if (isLoginRequest(request, response)) {
            if (isLoginSubmission(request, response)) {
                if (logger.isTraceEnabled()) {
                    logger.trace("Login submission detected.  Attempting to execute login.");
                }
                return executeLogin(request, response);
            } else {
                if (logger.isTraceEnabled()) {
                    logger.trace("Login page view.");
                }
                //allow them to see the login page ;)
                return true;
            }
        } else {
            HttpServletRequest req = (HttpServletRequest)request;
            HttpServletResponse resp = (HttpServletResponse) response;
            if(req.getMethod().equals(RequestMethod.OPTIONS.name())) {
                resp.setStatus(HttpStatus.OK.value());
                return true;
            }
 
            if (logger.isTraceEnabled()) {
                logger.trace("Attempting to access a path which requires authentication.  Forwarding to the " +
                        "Authentication url [" + getLoginUrl() + "]");
            }
            //前端Ajax请求时requestHeader里面带一些参数,用于判断是否是前端的请求
            String test= req.getHeader("test");
            if (test!= null || req.getHeader("wkcheck") != null) {
                //前端Ajax请求,则不会重定向
                resp.setHeader("Access-Control-Allow-Origin",  req.getHeader("Origin"));
                resp.setHeader("Access-Control-Allow-Credentials", "true");
                resp.setContentType("application/json; charset=utf-8");
                resp.setCharacterEncoding("UTF-8");
                PrintWriter out = resp.getWriter();
                JSONObject result = new JSONObject();
                result.put("message", "登录失效");
                result.put("resultCode", 1000);
                out.println(result);
                out.flush();
                out.close();
            } else {
                saveRequestAndRedirectToLogin(request, response);
            }
            return false;
        }
    }
}

在过滤器配置中添加

@Bean(name="shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager manager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean=new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(manager);
        //配置访问权限
        LinkedHashMap<String, String> filterChainDefinitionMap=new LinkedHashMap<String, String>();
        filterChainDefinitionMap.put("/common/logout", "logout");
        filterChainDefinitionMap.put("/","anon");
        filterChainDefinitionMap.put("/common/login","anon");
 
        filterChainDefinitionMap.put("/common/*","anon");
        filterChainDefinitionMap.put("/imageVerifyCode/getCode", "anon");
        filterChainDefinitionMap.put("/sendVerifyCode/register", "anon");
        filterChainDefinitionMap.put("/sendVerifyCode/resetLoginPwd", "anon");
        filterChainDefinitionMap.put("/**", "authc"); //表示需要认证才可以访问
 
        LinkedHashMap<String, Filter> filtsMap=new LinkedHashMap<String, Filter>();
        filtsMap.put("authc",new ShiroFormAuthenticationFilter() );
        shiroFilterFactoryBean.setFilters(filtsMap);
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

至此,可以按照自己的需求做相应处理。

关于shiro 总是302的问题

我的原因是使用了authc,由于autuc对应的过滤器FormAuthenticationFilter中onAccessDenied方法返回的值都为false,所以访问url时会一直进行循环重定向,解决方案:重写onAccessDenied方法,并注入到shiroFiter中。

附上shiro配置文件

<!-- shiroFilter -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
   <property name="securityManager" ref="securityManager" />
   <!-- 设定角色的登录链接,这里为cas登录页面的链接可配置回调地址  -->
   <!-- 登录地址 -->
   <property name="loginUrl" value="/login.html"/>
   <!-- 登录后跳转到业务页面 -->
   <property name="successUrl" value="/index.do"/>
   <!-- 错误页面 -->
   <property name="unauthorizedUrl" value="/denied.html"/>
   <property name="filters">
      <map>
         <!--将重写了的FormAuthenticationFilter.onAccessDenied方法的类注入到其中-->
         <entry key="authc" value-ref="formAuthenticationFilter"></entry>
      </map>
   </property>
   <property name="filterChainDefinitions">
      <value>
          /login.html=anon
         <!--配置静态资源-->
         /js/**=anon
         /templates/**=anon
         /assets/**=anon
         /css/**=anon
         <!--权限设置-->
         /index.do=authc
         /user/login.do=anon
         /**=authc
        </value>
   </property>
</bean>
<!-- 重写FormAuthenticationFilter的onAccessDenied方法的自定义过滤器 -->
<bean id="formAuthenticationFilter" class="com.jd.risk.giasys.service.realm.filter.MyFilter" />

重写onAccessDenied方法

package com.jd.risk.giasys.service.realm.filter;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
/**
 * Created by jianghaisong on 2017/12/17.
 */
public class MyFilter extends FormAuthenticationFilter{
    private Logger log = LoggerFactory.getLogger(MyFilter.class);
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
       //进行重写,业务逻辑
    }
}

以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。

相关文章

  • java中判断String类型为空和null的几种方法

    java中判断String类型为空和null的几种方法

    判断一个字符串是否为空或者为null是一个常见的操作,本文主要介绍了java中判断String类型为空和null的几种方法,具有一定的参考价值,感兴趣的可以了解一下
    2024-06-06
  • Java项目如何防止SQL注入(多种方案汇总)

    Java项目如何防止SQL注入(多种方案汇总)

    SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,这篇文章主要介绍了 Java项目防止SQL注入的四种方案,需要的朋友可以参考下
    2023-12-12
  • SpringBoot扫描不到Controller的解决方案

    SpringBoot扫描不到Controller的解决方案

    这篇文章主要介绍了SpringBoot扫描不到Controller的解决方案,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-07-07
  • 浅谈String.split()遇到空字符串的几种情况

    浅谈String.split()遇到空字符串的几种情况

    这篇文章主要介绍了浅谈String.split()遇到空字符串的几种情况,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2020-10-10
  • java分布式面试系统限流最佳实践

    java分布式面试系统限流最佳实践

    这篇文章主要介绍了java分布式面试系统限流最佳实践场景分析解答,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步早日升职加薪
    2022-03-03
  • SpringBoot自定义注解开发指南

    SpringBoot自定义注解开发指南

    在开发SpringBoot程序的过程中,有可能与其他业务系统进行对接开发,获取封装公共的API接口等等,下面这篇文章主要给大家介绍了关于SpringBoot自定义注解的相关资料,需要的朋友可以参考下
    2022-06-06
  • 深入浅出理解Java Lambda表达式之四大核心函数式的用法与范例

    深入浅出理解Java Lambda表达式之四大核心函数式的用法与范例

    Lambda 表达式,也可称为闭包,它是推动 Java 8 发布的最重要新特性。Lambda 允许把函数作为一个方法的参数(函数作为参数传递进方法中)。使用 Lambda 表达式可以使代码变的更加简洁紧凑,今天小编带你理解Lambda表达式之四大核心函数式的用法,感兴趣的朋友快来看看吧
    2021-11-11
  • Spring使用IOC与DI实现完全注解开发

    Spring使用IOC与DI实现完全注解开发

    IOC也是Spring的核心之一了,之前学的时候是采用xml配置文件的方式去实现的,后来其中也多少穿插了几个注解,但是没有说完全采用注解实现。那么这篇文章就和大家分享一下,全部采用注解来实现IOC + DI
    2022-09-09
  • Java静态泛型使用方法实例解析

    Java静态泛型使用方法实例解析

    这篇文章主要介绍了Java静态泛型使用方法实例解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2020-06-06
  • Java中死锁与活锁的具体实现

    Java中死锁与活锁的具体实现

    锁发生在不同的请求中,本文主要介绍了Java中死锁与活锁,文中通过示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2022-05-05

最新评论