shiro 登录认证页面不跳转 3C

认证是没有问题的,登录之后一直在登录页面,然后直接输入index.jsp又是可以访问的,
说明认证成功了
直接上图帐号代码,求大神。。。

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.2.xsd">

<!-- web.xml中shiro的filter对应的bean -->
<!-- Shiro 的Web过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <!-- loginUrl认证提交地址,如果没有认证将会请求此地址进行认证,请求此地址将由formAuthenticationFilter进行表单认证 -->
    <property name="loginUrl" value="/login/login.html"/>
    <!-- 认证成功统一跳转到first.action,建议不配置,shiro认证成功自动到上一个请求路径 -->
    <property name="successUrl" value="/index.jsp"/>
    <!-- 通过unauthorizedUrl指定没有权限操作时跳转页面-->
    <!--<property name="unauthorizedUrl" value="/WEB-INF/pages/refuse.jsp"/>-->
    <!-- 自定义filter配置 -->
    <property name="filters">
        <map>
            <!--将自定义 的FormAuthenticationFilter注入shiroFilter中-->
            <entry key="authc" value-ref="formAuthenticationFilter"/>
        </map>
    </property>

    <!-- 过虑器链定义,从上向下顺序执行,一般将/**放在最下边 -->
    <property name="filterChainDefinitions">
        <value>
            <!-- 对静态资源设置匿名访问 -->
            /css/** = anon
            /datas/** = anon
            /html/** = anon
            /images/** = anon
            /js/** = anon
            /plugins/** = anon
            /temp/** = anon
            /login/login.html = anon
            /login/checkLogin.json = anon
            <!--请求这个地址退出登录 shiro清除session-->
            /login/logout = logout
            <!--所有url都必须认证通过才可以访问-->
            /** = authc
            <!--anon所有url都可以匿名访问-->
            <!--/** = anon-->
        </value>
    </property>
</bean>

<!-- securityManager安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="customRealm"/>
    <!-- 注入缓存管理器 -->
    <!--<property name="cacheManager" ref="cacheManager"/>-->
    <!-- 注入session管理器 -->
    <!--<property name="sessionManager" ref="sessionManager"/>-->
    <!-- 记住我 -->
    <!--<property name="rememberMeManager" ref="rememberMeManager"/>-->

</bean>

<!-- realm -->
<bean id="customRealm" class="com.infore.common.CustomRealm">

</bean>


<!-- 缓存管理器 -->
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
    <property name="cacheManagerConfigFile" value="classpath:/shiro/shiro-ehcache.xml"/>
</bean>

<bean id="formAuthenticationFilter" class="com.infore.common.CustomFormAuthenticationFilter">
    <!-- 表单中账号的input名称 -->
    <property name="usernameParam" value="username" />
    <!-- 表单中密码的input名称 -->
    <property name="passwordParam" value="password" />
</bean>

<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    <property name="securityManager" ref="securityManager" />
</bean>

@ResponseBody
@RequestMapping("/checkLogin.json")
public AjaxResult checkLogin(HttpServletRequest request){
AjaxResult result = new AjaxResult();
String username = request.getParameter("username");
String password = request.getParameter("password");
try{
/*if(username == null || "".equals(username)){
result.setSuccess(false);
result.setMsg("请输入账号");
return result;
}
if(password == null || "".equals(password)){
result.setSuccess(false);
result.setMsg("请输入密码");
return result;
}
EmpDto emp = empService.selectByUsername(username);
if(emp == null){
result.setSuccess(false);
result.setMsg("账号不存在");
return result;
}**/
ByteSource salt = ByteSource.Util.bytes("emp");
SimpleHash simpleHash = new SimpleHash("MD5", password, salt, 2);
String password_md5 = simpleHash.toString();
/*if(!emp.getPassword().equals(password_md5)){
result.setSuccess(false);
result.setMsg("密码不正确");
return result;
}*/

        UsernamePasswordToken token = new UsernamePasswordToken(username, password_md5);
        Subject currentUser = SecurityUtils.getSubject();
        //使用shiro来验证
        token.setRememberMe(true);
        try {
            currentUser.login(token);
            EmpDto empDto = (EmpDto) currentUser.getPrincipal();
            logger.info("User [" + empDto.getUsername() + "] logged in successfully.");
            //验证通过保存emp信息
            super.getSession().setAttribute("emp", currentUser.getPrincipal());
            super.getSession().setAttribute("username", username);
            super.getSession().setAttribute("empNo", empDto.getEmpNo());
        } catch ( UnknownAccountException uae ) {
            uae.printStackTrace();
            result.setSuccess(false);
            result.setMsg("账号不存在");
            return result;
        } catch ( IncorrectCredentialsException ice ) {
            ice.printStackTrace();
            result.setSuccess(false);
            result.setMsg("账号/密码不正确");
            return result;
        } catch (LockedAccountException lae) {
            lae.printStackTrace();
            result.setSuccess(false);
            result.setMsg("用户已被锁定");
            return result;
        } catch (ExcessiveAttemptsException eae ) {
            eae.printStackTrace();
        }
    }catch (Exception e){
        logger.error("验证登录信息异常[checkLogin]",e);
        publicUtil.insertLog(0,e,0);
        result.setSuccess(false);
        result.setMsg("验证登录信息异常");
    }
    return result;
}






    /**
 * realm的认证方法,从数据库查询用户信息
 * @param authToken
 * @return
 * @throws AuthenticationException
 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authToken) throws AuthenticationException {

    UsernamePasswordToken token = (UsernamePasswordToken) authToken;
    EmpDto emp = empService.selectByUsername(token.getUsername());
    if(emp == null){
        throw new UnknownAccountException("账号不存在");
    }
    SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(emp, emp.getPassword(), getName());
    return simpleAuthenticationInfo;
}

1个回答

我的是配的一个action 成功后直接跳转页面

Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
其他相关推荐
springboot+shiro认证成功后无法跳转successUrl

这是Filter ``` @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilterFactoryBean() { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryBean.setSecurityManager(securityManager()); Map<String, Filter> filters = new LinkedHashMap<>(); //自定义Filter filters.put("authc", new ShiroFormAuthenticationFilter()); shiroFilterFactoryBean.setFilters(filters); Map<String, String> filterChainDefinitionManager = new LinkedHashMap<String, String>(); filterChainDefinitionManager.put("/","authc"); shiroFilterFactoryBean.setLoginUrl("/"); shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionManager); shiroFilterFactoryBean.setSuccessUrl("/Success.do"); shiroFilterFactoryBean.setUnauthorizedUrl("/403"); return shiroFilterFactoryBean; } ``` 这个是我的自定义继承FormAuthenticationFilter ``` public class ShiroFormAuthenticationFilter extends FormAuthenticationFilter { @Override protected boolean onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest request, ServletResponse response) throws Exception { System.out.println("------------------------"); String successUrl = "/admin/access/index.html";//我是直接写死了跳转链接 WebUtils.issueRedirect(request,response,successUrl); return false;//返回false表示执行链结束 } } ``` 现在问题是我看了网上的教程,说是要继承重新onLoginSuccess方法,但是我的这个自定义的Filter始终没有被执行,SuccessUrl也一直没有跳转 各位大佬 求帮助。。。

shiro授权问题,远程调用接口,无法跳转登录后界面

现在A系统通过传递账号密码调用B系统的登录接口实现登录,提示登录成功后,但是B系统shiro没有给账号授权,页面没法跳转登录后的页面,跳转到了login页面,不知道哪位大佬搞过这种?

关于shiro 登录成功返回到登录前访问的页面

关于shiro 登录成功返回到登录前访问的页面 登录成功后 不管什么时候登录都跳转到xml里配置指定的成功页面?

shiro 拦截地址栏直接访问某个页面,登录后才能访问

shiro 拦截地址栏直接访问某个页面,登录后才能访问,且登录后shiro不会拦截这个页面了!

登录页面使用HTTPS协议,登录成功跳转到个人中心使用HTTP协议,怎么实现啊?

登录页面使用HTTPS协议,登录成功跳转到个人中心使用HTTP协议,用的是Tomcat7.0, 我指定登录页面必须是使用HTTPS协议,用了Shiro框架,重定向方法是这样的:@Override protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception { HttpServletResponse httpServletResponse = (HttpServletResponse) response; AuthenticationToken token = createToken(request, response); LOG.info("token:"+token); try { Subject subject = getSubject(request, response); LOG.info("isRemembered: " + subject.isRemembered()); subject.login(token); httpServletResponse.sendRedirect("http://192.168.8.262/shiroHttps/center.html"); return onLoginSuccess(token, subject, request, response); } catch (AuthenticationException e) { return onLoginFailure(token, e, request, response); } } Tomcat请求响应是这样的:https://192.168.8.262/shiroHttps/login.html页面登录进入http://192.168.8.262/shiroHttps/center.html,但是http://192.168.8.262/shiroHttps/center.html变为了https://192.168.8.262/shiroHttps/center.html,我想了下,是因为必须要交互页面都为https才能进行传输吗!?我想知道在传输值得情况下怎么样从HTTPS访问到HTTP页面!谢谢了!

shiro 登录 问题?第一次点击登录按钮先进入自定义的userRealm

第一次点击登录按钮先进入自定义的userRealm,不进controller,无法跳转;第二次点击登录按钮才能进入controller,再进入userRealm,然后正常跳转,就是说需要点击两次登录按钮才能登录成功,第一次点击登录按钮也获取到username和password。采用ajax,post提交。 哪位朋友也遇到过类似的问题,请指导!

shiro对未登录用户进行拦截

如题,后台接口需要对未登录的用户进行拦截,利用shiro该如何做。一部分接口对未登录用户开放,一部分接口只能登录后访问。后台使用ssm框架。

Shiro鉴权登陆成功后 authc网页还是没法访问

具体就是Shiro鉴权登陆成功后 authc网页还是没办法进行访问,还是会被拦截到默认的anon 网页, # 在测试服务器的tomcat上没问题,但是在生产服务器上就是不能访问 是因为生产https访问的缘故?。 ```<!-- 自定义Realm --> <bean id="loginRealm" class="com.webserver.controller.LoginRealm"> <property name="authenticationCachingEnabled" value="true"></property> </bean> <!-- 安全管理器 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="loginRealm" /> <property name="cacheManager" ref="cacheManager"></property> </bean> <!-- 启用缓存 --> <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> <property name="cacheManagerConfigFile" value="classpath:resources/spring/ehcache.xml"></property> </bean> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager" /> <property name="loginUrl" value="/" /> <property name="unauthorizedUrl" value="/login.html" /> <property name="filterChainDefinitions"> <value> /pages/login.html=anon /pages/index.html=authc /pages/data-info.html=authc /*.*=anon </value> </property> </bean> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" /> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor" /> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager" /> </bean> </beans> ```

shiro+SpringMVC 登录验证和拦截问题

我现在的项目是用shiro+SpringMVC做的,想实现如果用户没有登录就不能进入到别的页面,自动跳转到登录页面,可是我不知道怎么实现,听说shiro会托管,不用配置什么,可是现在我的这个不管用,shiro我是刚接触,有没有大神用过的,求指点,多谢了

shiro+cas 多模块登录问题

现在我们项目的web端跟app端 访问的路径都是localhost:8181/a/login 。框架用的jeesite,权限控制是shiro,现在我整合cas进去,拦截登录url的时候,web端正常跳转到配置的页面,但是app也被拦截的话就直接报错登录不了了,我估计是跳转页面肯定是会报错。我现在需要这两个不同渠道的登录,cas需要怎么配置?

手机端登录shiro验证问题

BS系统,现在加入了手机APP。之前web端未登录时会直接跳转loginUrl设定的地址,会返回一个页面。但是手机端识别不了页面信息,识别json数据。怎么在loginUrl那里判断是手机端或者是web端呢,或者其实实现方式呢

shiro登录控制successUrl的问题

当前使用struts2+shiro+spring进行开发,shiro控制认证和权限。 在applicationContext-shiro内设置了successUrl,但是实际业务需求是根据不同的登录人,跳转至不同的页面。 系统内有一个LoginAction方法 [code="java"] Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken loginToken = new UsernamePasswordToken(getUserName(), getPassword()); try{ subject.login(loginToken); }catch (IncorrectCredentialsException e) { LOG.warn("the username isn't exist.{}",getUserName()); return ERROR; }catch(UnknownAccountException e){ LOG.warn("the username:{} and password:{} isn't correct.",new Object[]{getUserName(),getPassword()}); return ERROR; } [/code] struts2内配置了相应的result [code="java"] <action name="login" class="login"> <result>/pages/web/recommendation.jsp</result> </action>[/code] 现实情况是登录成功后并不受shiro控制,是根据struts2的result进行跳转的。 在网上也查过通过FormAuthenticationFilter的方式控制successUrl,但是对LoginAction并不起作用,执行LoginAction登录方法时,并不能调用onLoginSuccess方法。 查看shiro的filter机制,感觉它都是前置过滤。但是这种登录应该是判断loginUrl和配置的是否一样,然后在判断subject的authented状态的后置过滤性啊。(这是我的思路) 应该有人处理过类似的需求,还请帮忙说下这类需求的login逻辑要怎么写,shiro针对login的url和自定义filter要怎么配。 谢谢。

shiro +cas 整合单点登录页面重定向的问题 后台是jeesite框架

访问系统的时候页面进入cas的登录页,输入用户名密码之后就进入了重定向了,不知道该怎么配这个配置文件了。大神能给我分析分析问题出在哪了么 ``` <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context" xsi:schemaLocation=" http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-4.0.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-4.0.xsd" default-lazy-init="true"> <description>Shiro Configuration</description> <!-- 加载配置属性文件 --> <context:property-placeholder ignore-unresolvable="true" location="classpath:jeesite.properties" /> <!-- Shiro权限过滤过滤器定义 --> <bean name="shiroFilterChainDefinitions" class="java.lang.String"> <constructor-arg> <value> /static/** = anon /api/test = anon /api/userRegist = anon ${adminPath}/userApi/userRegist = anon /api/** = anon /userfiles/** = anon ${adminPath}/upload = anon ${adminPath}/cas = cas ${adminPath}/login = authc ${adminPath}/logout = logoutFilter <!-- ${adminPath}/** = user --> /shiro-cas = cas <!-- /logout = logoutFilter --> /a/** = user /a/sys/hlApi = anon ${adminPath}/sys/hlApi/form = anon /act/rest/service/editor/** = perms[act:model:edit] /act/rest/service/model/** = perms[act:model:edit] /act/rest/service/** = user /ReportServer/** = user </value> </constructor-arg> </bean> <!-- 安全认证过滤器 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager" /><!-- <property name="loginUrl" value="${cas.server.url}?service=${cas.project.url}${adminPath}/cas" /> --> <!-- <property name="loginUrl" value="${adminPath}/login" /> <property name="successUrl" value="${adminPath}?login" /> --> <property name="loginUrl" value="${loginUrl}" /> <property name="filters"> <map> <entry key="cas" value-ref="casFilter"/> <entry key="authc" value-ref="formAuthenticationFilter"/> <entry key="logoutFilter" value-ref="logoutFilter"/> </map> </property> <property name="filterChainDefinitions"> <ref bean="shiroFilterChainDefinitions"/> </property> </bean> <bean id="logoutFilter" class="org.apache.shiro.web.filter.authc.LogoutFilter"> <!-- 配置验证错误时的失败页面 --> <property name="redirectUrl" value="${logoutUrl}" /> </bean> <!-- CAS认证过滤器 --> <bean id="casFilter" class="org.apache.shiro.cas.CasFilter"> <property name="failureUrl" value="${loginFailedUrl}"/> <property name="successUrl" value="${loginSuccessUrl}" /> </bean> <!-- 定义Shiro安全管理配置 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="subjectFactory" ref="casSubjectFactory"></property> <property name="realm" ref="UserRealm" /> <!-- <property name="realm" ref="systemAuthorizingRealm" /> <property name="sessionManager" ref="sessionManager" /> <property name="cacheManager" ref="shiroCacheManager" /> --> </bean> <bean id="casSubjectFactory" class="org.apache.shiro.cas.CasSubjectFactory"></bean> <bean id="UserRealm" class="com.thinkgem.jeesite.modules.sys.security.UserRealm" depends-on="userDao,roleDao,menuDao"> <property name="defaultRoles" value="ROLE_USER" /> <property name="casServerUrlPrefix" value="${shiro.cas.serverUrlPrefix}" /> <property name="casService" value="${shiro.cas.service}" /> </bean> <!-- 自定义会话管理配置 --> <bean id="sessionManager" class="com.thinkgem.jeesite.common.security.shiro.session.SessionManager"> <property name="sessionDAO" ref="sessionDAO"/> <!-- 会话超时时间,单位:毫秒 --> <property name="globalSessionTimeout" value="${session.sessionTimeout}"/> <!-- 定时清理失效会话, 清理用户直接关闭浏览器造成的孤立会话 --> <property name="sessionValidationInterval" value="${session.sessionTimeoutClean}"/> <!-- <property name="sessionValidationSchedulerEnabled" value="false"/> --> <property name="sessionValidationSchedulerEnabled" value="true"/> <property name="sessionIdCookie" ref="sessionIdCookie"/> <property name="sessionIdCookieEnabled" value="true"/> </bean> <!-- 指定本系统SESSIONID, 默认为: JSESSIONID 问题: 与SERVLET容器名冲突, 如JETTY, TOMCAT 等默认JSESSIONID, 当跳出SHIRO SERVLET时如ERROR-PAGE容器会为JSESSIONID重新分配值导致登录会话丢失! --> <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie"> <constructor-arg name="name" value="jeesite.session.id"/> </bean> <!-- 自定义Session存储容器 --> <bean id="sessionDAO" class="com.thinkgem.jeesite.common.security.shiro.session.JedisSessionDAO"> <property name="sessionIdGenerator" ref="idGen" /> <property name="sessionKeyPrefix" value="${redis.keyPrefix}_session_" /> </bean> <!--<bean id="sessionDAO" class="com.thinkgem.jeesite.common.security.shiro.session.CacheSessionDAO"> <property name="sessionIdGenerator" ref="idGen" /> <property name="activeSessionsCacheName" value="activeSessionsCache" /> <property name="cacheManager" ref="shiroCacheManager" /> </bean>--> <!-- 定义授权缓存管理器 --> <bean id="shiroCacheManager" class="com.thinkgem.jeesite.common.security.shiro.cache.SessionCacheManager" /> <!--<bean id="shiroCacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> <property name="cacheManager" ref="cacheManager"/> </bean> --> <!-- 保证实现了Shiro内部lifecycle函数的bean执行 --> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> <!-- AOP式方法级权限检查 --> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"> <property name="proxyTargetClass" value="true" /> </bean> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/> </bean> </beans> ``` shiro.cas.service=127.0.0.1:8181/a/login shiro.cas.serverUrlPrefix=127.0.0.1:8081/cas/login loginUrl=http://127.0.0.1:8081/cas/login?service=http://127.0.0.1:8181/a/login logoutUrl=http://127.0.0.1:8081/cas/logout?service=http://127.0.0.1:8181/a/ loginSuccessUrl=127.0.0.1:8181/a/upload.jsp loginFailedUrl=/a/login

java 跨域单点登录结合集中权限管理 权限控制采用shiro

这种需求的系统谁做过 之前 参考了 网上博客的 oauth2 但是发现不太符合我这个需求 因为oauth2只是授权 并不能解决 登录集中权限系统后 登录其他网站的问题 现在的需求是 用户权限系统只需要一个系统来 维护其他系统 没有用户系统 统一先通过集中权限系统登录后进行用户角色权限维护 如果先登录其他系统这跳转到集中权限系统进行先登录 而且也不能解决集中权限管理的问题 我想过可能需要redis来 实现这功能 但是 总感觉 这需要单点登录 结合session共享 和shiro权限 这几个技术 最好有demo 谢谢了

shiro 不执行授权方法 doGetAuthorizationInfo()

# ShiroDbRealm.java 代码如下 ``` public class ShiroDbRealm extends AuthorizingRealm { @Resource private UserService userService; /** * 认证回调函数,登录时调用. */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException { UsernamePasswordToken token = (UsernamePasswordToken) authcToken; User currentUser = userService.findByUserName(token.getUsername()); if (currentUser != null) { if (currentUser.getStatus()==User.STATUS_DISABLED) { throw new DisabledAccountException("用户已注销"); }else if(currentUser.getStatus()==User.STATUS_NOT_ACTIVE){ throw new DisabledAccountException("用户未激活");//这里需要编写一个用户未激活异常 } return new SimpleAuthenticationInfo(currentUser.getUsername(),currentUser.getUserpwd(), ""); } return null; } /** * 授权查询回调函数, 进行鉴权但缓存中无用户的授权信息时调用. */ @Override protected AuthorizationInfo doGetAuthorizationInfo( PrincipalCollection principals) { // Cache<Object, AuthenticationInfo> authenticationCache = // getAuthenticationCache(); String primaryPrincipal = (String) principals.getPrimaryPrincipal(); System.out.println("-----------*************************------------>"+ primaryPrincipal); List<String> roles = new ArrayList<String>(); List<String> permissions = new ArrayList<String>(); SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); User user = userService.findByUserName(primaryPrincipal); if(user != null){ for (Role role : user.getRoles()) { roles.add(role.getName()); for (Permission p : role.getPermissions()) { permissions.add(p.getPrivilege()); } } }else{ throw new AuthorizationException(); } //给当前用户设置角色 info.addRoles(roles); //给当前用户设置权限 info.addStringPermissions(permissions); return info; } } ``` # applicationContext-shiro.xml配置 ``` <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation=" http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd"> <description>Shiro安全配置</description> <!-- Shiro's main business-tier object for web-enabled applications --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="shiroDbRealm"/> <property name="cacheManager" ref="shiroEhcacheManager"/> </bean> <!-- 項目自定义的Realm --> <bean id="shiroDbRealm" class="com.wsq.app.service.common.ShiroDbRealm"> <!-- <property name="userService" ref="userService"/> 这里我在项目中只用了注解注入--> </bean> <!-- Shiro Filter --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!-- 这个属性是必须的 --> <property name="securityManager" ref="securityManager"/> <!-- 没有登录的用户请求需要登录的页面时自动跳转到登录页面,不是必须的属性,不输入地址的话会自动寻找项目web项目的根目录下的”/login.jsp”页面 --> <property name="loginUrl" value="/login"/> <!-- 登录成功默认跳转页面,不配置则跳转至”/”。如果登陆前点击的一个需要登录的页面,则在登录自动跳转到那个需要登录的页面。不跳转到此 --> <property name="successUrl" value="/"/> <!-- 没有权限默认跳转的页面 --> <property name="unauthorizedUrl" value=""/> <!-- 就是需要验证的地址的列表,常用的包含anon、authc、perms、roles、user、logout。 --> <property name="filterChainDefinitions"> <value> /static/** = anon /login = anon /login/** = anon /logout = user /** = authc </value> </property> </bean> <!-- 用户授权信息Cache, 采用EhCache --> <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> <property name="cacheManagerConfigFile" value="classpath:resource/ehcache-shiro.xml"/> </bean> <!-- 保证实现了Shiro内部lifecycle函数的bean执行 --> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> <!-- AOP式方法级权限检查 --> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"> <property name="proxyTargetClass" value="true"/> </bean> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/> </bean> </beans> ``` # web.xml配置 ``` <!-- Shiro Security filter --> <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 集成以后,项目可以正常启动,登陆时也可以正常调用登录验证,可就是在验证授权时,不掉用。求解答~也没分了,不好意思。

shiro 结合 ajax 返回 json 的解决方案

这个是我的shiro配置文件 ``` <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:aop="http://www.springframework.org/schema/aop" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.5.xsd http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-2.5.xsd"> <!-- shiro的第三步 spring文件里面配置Shiro--> <!-- 3.1 配置SecurityManager 安全管理器--> <!-- SecurityManager : 安全管理器,主体认证和授权都是通过SecurityManager进行--> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <!-- 3.1.1 注入 cacheManager 缓存管理器 --> <property name="cacheManager" ref="cacheManager" /> <!-- 3.1.2 注入 authenticator 属性赋值(下面会配置这个属性)--> <property name="authenticator" ref="authenticator"/> <!-- realm 域:相当于数据源,通过realm存取认证,授权相关数据 --> <property name="realms"> <list> <!-- 加载一个自定义的realm --> <ref bean="jdbcRealm"/> </list> </property> <!-- 记住我 的时间长--> <property name="rememberMeManager.cookie.maxAge" value="100"></property> </bean> <!-- 3.2配置cacheManager 缓存管理器 --> <!-- 3.2.1需要加入ehcache的jar包 + ehcache.xml配置文件 --> <!-- cacheManager : 缓存管理器,主要针对session和授权数据进行缓存 --> <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> <!-- 将数据通过 cacheManager + ehcache整合对缓存数据进行管理--> <property name="cacheManagerConfigFile" value="classpath:shiro-ehcache.xml" /> </bean> <!-- 3.3 配置 authenticator 认证器:主体进行认证最终通过authenticator进行 --> <bean id="authenticator" class="org.apache.shiro.authc.pam.ModularRealmAuthenticator"> <property name="authenticationStrategy"> <bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"></bean> </property> </bean> <!-- shiro第四步配置自定义realm --> <!-- realm : 域,相当于数据源 ,通过realm存取认证,授权相关数据 --> <!-- 4.1配置Realm + 重写Realm类--> <bean id="jdbcRealm" class="com.leon.ssms.shiro.ShiroRealm"> <!-- 4.2 MD5加密配置 --> <property name="credentialsMatcher"> <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher"> <property name="hashAlgorithmName" value="MD5"></property> <property name="hashIterations" value="1024"></property> </bean> </property> </bean> <!-- shiro第五步 配置LifecycleBeanPostProcessor --> <!-- 5.配置LifecycleBeanPostProcessor 可以自动的来调用配置在Spring IOC 容器中 shiro bean 的生命周期方法。 --> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> <!-- shiro第六步 启用IOC容器中 使用shiro注解--> <!-- 6.启用IOC容器中 使用shiro注解。但必须在配置lifecycleBeanPostProcessor 之后在可以使用。 --> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor" /> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/> </bean> <!-- shiro第七步 配置shiroFilter--> <!-- 7.1 id必须和web.xml文件中配置的DelegatingFilterProxy 的<filter-name>一致 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager" /> <!-- 登录页面 ,用户 登录不成功自动 返回该页面 --> <property name="loginUrl" value="/login.jsp"/> <!-- 登录成功页面,登录成功后跳转到该页面 --> <property name="successUrl" value="/home.action" /> <!-- 无权访问跳转页面 --> <property name="unauthorizedUrl" value="/unauthorized.action"/> <!-- 7.2 配置 filterChainDefinitionMap 属性 --> <!-- 将原先写死的认证和权限数据通过 Map的Key和Value的形式通过实例工厂类方法从数据库获取 --> <property name="filterChainDefinitionMap" ref="filterChainDefinitionMap"/> <!-- 配置哪些页面需要受保护以及访问这些页面需要的权限 --> <!-- 1).anon 可以匿名访问 2).autch 必须认证(需要登录)后才可以访问的页面 3).logout 登出 4).roles 角色权限 <property name="filterChainDefinitions"> <value> /login.jsp = anon /user/login.action = anon /user/logout.action = logout /user.jsp = roles[user] /admin.jsp = roles[admin] /** = authc </value> </property>--> </bean> <!-- 配置一个 bean, 该 bean 实际上是一个 Map. 通过实例工厂方法的方式 --> <bean id="filterChainDefinitionMap" factory-bean="FilterChainDefinitionMapBuilder" factory-method="builderFilterChainDefinitionMap"> </bean> <bean id="FilterChainDefinitionMapBuilder" class="com.leon.ssms.factory.FilterChainDefinitionMapBuilder"> </bean> </beans> ```

cas+shiro配合使用,重定向问题

用cas做单点登陆,shiro做权限验证。现在有个问题cas服务器登陆成功后,没有重定向 到原来访问的页面,地址栏中还带有ticket参数。如图:![图片说明](https://img-ask.csdn.net/upload/201601/28/1453960774_84986.png) 现在就是想登陆成功后定向到访问的界面,然后地址栏中也不带参数。 之前没有集成shiro,只用cas时,直接在客户端应用的web.xml的验证ticket的拦截器中配置redirectAfterValidation和useSession参数就可以。现在结合shiro后,web.xml中没有配置验证ticket的filter,cas的相关配置在shiro.ini中配置了。类似上面重定向和session的参数不知道在哪里配置了。怎么解决的这个问题呢? 我的shiro.ini的配置如图![图片说明](https://img-ask.csdn.net/upload/201601/28/1453961087_811216.png) 客户端应用的web.xml配置如图![图片说明](https://img-ask.csdn.net/upload/201601/28/1453961151_713969.png) 求大神解救。

shiro拦截器使用的问题(springboot+shiro)

使用shiro开发的时候,配置拦截器有什么作用吗?配置了拦截器之后因该怎么写才能处理拦截到的请求呢? 初始化的时候配置了拦截器。但是是跳到了controller之后调用的Subject.login()方法进入的用户身份验证的方法不是吗? 那拦截器还有啥用?如何配置拦截器,可以让制定的链接直接进入用户身份验证的方法? springboot+shiro

CAS单点登录,在验证中心用户名密码为空直接登录不提示用户名不能为空,而是直接跳转到一个错误页面

最近在整合公司的系统,采用的是耶鲁的CAS单点登录,发现一个问题:在验证中心用户名密码为空直接登录不提示用户名不能为空,而是直接跳转到一个错误页面,是需要设置什么地方嘛?请大神帮忙给点意见,谢谢

在中国程序员是青春饭吗?

今年,我也32了 ,为了不给大家误导,咨询了猎头、圈内好友,以及年过35岁的几位老程序员……舍了老脸去揭人家伤疤……希望能给大家以帮助,记得帮我点赞哦。 目录: 你以为的人生 一次又一次的伤害 猎头界的真相 如何应对互联网行业的「中年危机」 一、你以为的人生 刚入行时,拿着傲人的工资,想着好好干,以为我们的人生是这样的: 等真到了那一天,你会发现,你的人生很可能是这样的: ...

程序员请照顾好自己,周末病魔差点一套带走我。

程序员在一个周末的时间,得了重病,差点当场去世,还好及时挽救回来了。

和黑客斗争的 6 天!

互联网公司工作,很难避免不和黑客们打交道,我呆过的两家互联网公司,几乎每月每天每分钟都有黑客在公司网站上扫描。有的是寻找 Sql 注入的缺口,有的是寻找线上服务器可能存在的漏洞,大部分都...

搜狗输入法也在挑战国人的智商!

故事总是一个接着一个到来...上周写完《鲁大师已经彻底沦为一款垃圾流氓软件!》这篇文章之后,鲁大师的市场工作人员就找到了我,希望把这篇文章删除掉。经过一番沟通我先把这篇文章从公号中删除了...

总结了 150 余个神奇网站,你不来瞅瞅吗?

原博客再更新,可能就没了,之后将持续更新本篇博客。

副业收入是我做程序媛的3倍,工作外的B面人生是怎样的?

提到“程序员”,多数人脑海里首先想到的大约是:为人木讷、薪水超高、工作枯燥…… 然而,当离开工作岗位,撕去层层标签,脱下“程序员”这身外套,有的人生动又有趣,马上展现出了完全不同的A/B面人生! 不论是简单的爱好,还是正经的副业,他们都干得同样出色。偶尔,还能和程序员的特质结合,产生奇妙的“化学反应”。 @Charlotte:平日素颜示人,周末美妆博主 大家都以为程序媛也个个不修边幅,但我们也许...

MySQL数据库面试题(2020最新版)

文章目录数据库基础知识为什么要使用数据库什么是SQL?什么是MySQL?数据库三大范式是什么mysql有关权限的表都有哪几个MySQL的binlog有有几种录入格式?分别有什么区别?数据类型mysql有哪些数据类型引擎MySQL存储引擎MyISAM与InnoDB区别MyISAM索引与InnoDB索引的区别?InnoDB引擎的4大特性存储引擎选择索引什么是索引?索引有哪些优缺点?索引使用场景(重点)...

如果你是老板,你会不会踢了这样的员工?

有个好朋友ZS,是技术总监,昨天问我:“有一个老下属,跟了我很多年,做事勤勤恳恳,主动性也很好。但随着公司的发展,他的进步速度,跟不上团队的步伐了,有点...

我入职阿里后,才知道原来简历这么写

私下里,有不少读者问我:“二哥,如何才能写出一份专业的技术简历呢?我总感觉自己写的简历太烂了,所以投了无数份,都石沉大海了。”说实话,我自己好多年没有写过简历了,但我认识的一个同行,他在阿里,给我说了一些他当年写简历的方法论,我感觉太牛逼了,实在是忍不住,就分享了出来,希望能够帮助到你。 01、简历的本质 作为简历的撰写者,你必须要搞清楚一点,简历的本质是什么,它就是为了来销售你的价值主张的。往深...

优雅的替换if-else语句

场景 日常开发,if-else语句写的不少吧??当逻辑分支非常多的时候,if-else套了一层又一层,虽然业务功能倒是实现了,但是看起来是真的很不优雅,尤其是对于我这种有强迫症的程序"猿",看到这么多if-else,脑袋瓜子就嗡嗡的,总想着解锁新姿势:干掉过多的if-else!!!本文将介绍三板斧手段: 优先判断条件,条件不满足的,逻辑及时中断返回; 采用策略模式+工厂模式; 结合注解,锦...

离职半年了,老东家又发 offer,回不回?

有小伙伴问松哥这个问题,他在上海某公司,在离职了几个月后,前公司的领导联系到他,希望他能够返聘回去,他很纠结要不要回去? 俗话说好马不吃回头草,但是这个小伙伴既然感到纠结了,我觉得至少说明了两个问题:1.曾经的公司还不错;2.现在的日子也不是很如意。否则应该就不会纠结了。 老实说,松哥之前也有过类似的经历,今天就来和小伙伴们聊聊回头草到底吃不吃。 首先一个基本观点,就是离职了也没必要和老东家弄的苦...

2020阿里全球数学大赛:3万名高手、4道题、2天2夜未交卷

阿里巴巴全球数学竞赛( Alibaba Global Mathematics Competition)由马云发起,由中国科学技术协会、阿里巴巴基金会、阿里巴巴达摩院共同举办。大赛不设报名门槛,全世界爱好数学的人都可参与,不论是否出身数学专业、是否投身数学研究。 2020年阿里巴巴达摩院邀请北京大学、剑桥大学、浙江大学等高校的顶尖数学教师组建了出题组。中科院院士、美国艺术与科学院院士、北京国际数学...

男生更看重女生的身材脸蛋,还是思想?

往往,我们看不进去大段大段的逻辑。深刻的哲理,往往短而精悍,一阵见血。问:产品经理挺漂亮的,有点心动,但不知道合不合得来。男生更看重女生的身材脸蛋,还是...

程序员为什么千万不要瞎努力?

本文作者用对比非常鲜明的两个开发团队的故事,讲解了敏捷开发之道 —— 如果你的团队缺乏统一标准的环境,那么即使勤劳努力,不仅会极其耗时而且成果甚微,使用...

为什么程序员做外包会被瞧不起?

二哥,有个事想询问下您的意见,您觉得应届生值得去外包吗?公司虽然挺大的,中xx,但待遇感觉挺低,马上要报到,挺纠结的。

当HR压你价,说你只值7K,你该怎么回答?

当HR压你价,说你只值7K时,你可以流畅地回答,记住,是流畅,不能犹豫。 礼貌地说:“7K是吗?了解了。嗯~其实我对贵司的面试官印象很好。只不过,现在我的手头上已经有一份11K的offer。来面试,主要也是自己对贵司挺有兴趣的,所以过来看看……”(未完) 这段话主要是陪HR互诈的同时,从公司兴趣,公司职员印象上,都给予对方正面的肯定,既能提升HR的好感度,又能让谈判气氛融洽,为后面的发挥留足空间。...

面试:第十六章:Java中级开发(16k)

HashMap底层实现原理,红黑树,B+树,B树的结构原理 Spring的AOP和IOC是什么?它们常见的使用场景有哪些?Spring事务,事务的属性,传播行为,数据库隔离级别 Spring和SpringMVC,MyBatis以及SpringBoot的注解分别有哪些?SpringMVC的工作原理,SpringBoot框架的优点,MyBatis框架的优点 SpringCould组件有哪些,他们...

面试阿里p7,被按在地上摩擦,鬼知道我经历了什么?

面试阿里p7被问到的问题(当时我只知道第一个):@Conditional是做什么的?@Conditional多个条件是什么逻辑关系?条件判断在什么时候执...

面试了一个 31 岁程序员,让我有所触动,30岁以上的程序员该何去何从?

最近面试了一个31岁8年经验的程序猿,让我有点感慨,大龄程序猿该何去何从。

大三实习生,字节跳动面经分享,已拿Offer

说实话,自己的算法,我一个不会,太难了吧

程序员垃圾简历长什么样?

已经连续五年参加大厂校招、社招的技术面试工作,简历看的不下于万份 这篇文章会用实例告诉你,什么是差的程序员简历! 疫情快要结束了,各个公司也都开始春招了,作为即将红遍大江南北的新晋UP主,那当然要为小伙伴们做点事(手动狗头)。 就在公众号里公开征简历,义务帮大家看,并一一点评。《启舰:春招在即,义务帮大家看看简历吧》 一石激起千层浪,三天收到两百多封简历。 花光了两个星期的所有空闲时...

《Oracle Java SE编程自学与面试指南》最佳学习路线图2020年最新版(进大厂必备)

正确选择比瞎努力更重要!

《Oracle Java SE编程自学与面试指南》最佳学习路线图(2020最新版)

正确选择比瞎努力更重要!

都前后端分离了,咱就别做页面跳转了!统统 JSON 交互

文章目录1. 无状态登录1.1 什么是有状态1.2 什么是无状态1.3 如何实现无状态1.4 各自优缺点2. 登录交互2.1 前后端分离的数据交互2.2 登录成功2.3 登录失败3. 未认证处理方案4. 注销登录 这是本系列的第四篇,有小伙伴找不到之前文章,松哥给大家列一个索引出来: 挖一个大坑,Spring Security 开搞! 松哥手把手带你入门 Spring Security,别再问密...

字节跳动面试官竟然问了我JDBC?

轻松等回家通知

面试官:你连SSO都不懂,就别来面试了

大厂竟然要考我SSO,卧槽。

阿里面试官让我用Zk(Zookeeper)实现分布式锁

他可能没想到,我当场手写出来了

终于,月薪过5万了!

来看几个问题想不想月薪超过5万?想不想进入公司架构组?想不想成为项目组的负责人?想不想成为spring的高手,超越99%的对手?那么本文内容是你必须要掌握的。本文主要详解bean的生命...

自从喜欢上了B站这12个UP主,我越来越觉得自己是个废柴了!

不怕告诉你,我自从喜欢上了这12个UP主,哔哩哔哩成为了我手机上最耗电的软件,几乎每天都会看,可是吧,看的越多,我就越觉得自己是个废柴,唉,老天不公啊,不信你看看…… 间接性踌躇满志,持续性混吃等死,都是因为你们……但是,自己的学习力在慢慢变强,这是不容忽视的,推荐给你们! 都说B站是个宝,可是有人不会挖啊,没事,今天咱挖好的送你一箩筐,首先啊,我在B站上最喜欢看这个家伙的视频了,为啥 ,咱撇...

代码注释如此沙雕,会玩还是你们程序员!

某站后端代码被“开源”,同时刷遍全网的,还有代码里的那些神注释。 我们这才知道,原来程序员个个都是段子手;这么多年来,我们也走过了他们的无数套路… 首先,产品经理,是永远永远吐槽不完的!网友的评论也非常扎心,说看这些代码就像在阅读程序员的日记,每一页都写满了对产品经理的恨。 然后,也要发出直击灵魂的质问:你是尊贵的付费大会员吗? 这不禁让人想起之前某音乐app的穷逼Vip,果然,穷逼在哪里都是...

立即提问
相关内容推荐