swent198467
2014-05-06 11:12 浏览 724
已采纳

shiro登录控制successUrl的问题

当前使用struts2+shiro+spring进行开发,shiro控制认证和权限。

在applicationContext-shiro内设置了successUrl,但是实际业务需求是根据不同的登录人,跳转至不同的页面。

系统内有一个LoginAction方法

[code="java"]
Subject subject = SecurityUtils.getSubject();

    UsernamePasswordToken loginToken = new UsernamePasswordToken(getUserName(), getPassword());

    try{
        subject.login(loginToken);
    }catch (IncorrectCredentialsException e) {
        LOG.warn("the username isn't exist.{}",getUserName());
        return ERROR;
    }catch(UnknownAccountException e){
        LOG.warn("the username:{} and password:{} isn't correct.",new Object[]{getUserName(),getPassword()});
        return ERROR;
    }

[/code]

struts2内配置了相应的result
[code="java"]

/pages/web/recommendation.jsp
[/code]

现实情况是登录成功后并不受shiro控制,是根据struts2的result进行跳转的。

在网上也查过通过FormAuthenticationFilter的方式控制successUrl,但是对LoginAction并不起作用,执行LoginAction登录方法时,并不能调用onLoginSuccess方法。

查看shiro的filter机制,感觉它都是前置过滤。但是这种登录应该是判断loginUrl和配置的是否一样,然后在判断subject的authented状态的后置过滤性啊。(这是我的思路)

应该有人处理过类似的需求,还请帮忙说下这类需求的login逻辑要怎么写,shiro针对login的url和自定义filter要怎么配。

谢谢。

  • 点赞
  • 写回答
  • 关注问题
  • 收藏
  • 复制链接分享
  • 邀请回答

4条回答 默认 最新

  • 已采纳
    u013893587 彭华杰 2014-05-06 17:26

    我记得shiro是监听loginUrl的请求,它会看你loginUrl页面上的form中的username,password,rememberMe的值然后登陆,而这个form是不用指定登陆的action的。
    所以struts2的loginAction实际上是跟shiro无关的,你重写FormAuthenticationFilter的onLoginSuccess方法即可。

    点赞 评论 复制链接分享
  • goodluck_wgw goodluck_wgw 2014-05-06 16:56
    点赞 评论 复制链接分享
  • youfengdedongtian graysonLee 2014-05-07 16:01

    没有单独使用shiro ,我是shiro 结合 cas 进行登录和权限控制的。

    点赞 评论 复制链接分享
  • u010369070 t熊先生 2015-06-10 14:11

    被这个问题弄了两天,郁闷死了,我遇到的场景是,访问项目名,类似http://localhost:8080/dc/,shiro会通过过滤器,进入你配置的loginUrl,然后登录成功后,它会记住你之前访问的链接,那么就自然进入了http://localhost:8080/dc/,这个时候如果你的拦截器配置(filterChainDefinitions)没有配置好/的访问权限的话,就导致页面加载不到rc.contextPath,自己配置的successUrl都没有用,除非重写formAuthenticationFilter,真够狗血的。

    点赞 评论 复制链接分享

相关推荐