shiro和springmvc结合时需要关注的2个问题

一个是shiro的@RequiresPermissions不生效
一个是无权限跳异常而不是shiro的无权指定页面错误页面

 

applicationContext-shiro.xml中的关于过滤链的配置:

 

一、 shiro的@RequiresPermissions不生效

产生原因:由于fillter是在spring容器中,而不是在springmvc容器中,所以不起作用。

解决方法1:

在spring-mvc.xml中最前面(最先加载)添加如下:

<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
        depends-on="lifecycleBeanPostProcessor" />
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager" />
</bean>

lifecycleBeanPostProcessor和securityManager是在shiro配置文件中定义好的。
可以放在applicationContext-shiro.xml,然后又applicationContext.xml通过import方式导入。

<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"></bean>

<!-- Shiro安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="jdbcRealm"></property>
    <property name="cacheManager" ref="cacheManager"></property>
</bean>

解决方法2:

就是controller层不使用shiro的@RequiresPermissions注解,放到对应的service层去。这个感觉不是很好。应该使用解决方法1。

 

二、 shiro无权限异常出现到页面上了,而不是shiro指定的无权访问的页面

产生的原因:

shiro的源代码ShiroFilterFactoryBean.Java定义的filter必须满足filter instanceof AuthorizationFilter,只有perms,roles,ssl,rest,port才是属于AuthorizationFilter,而anon,authcBasic,auchc,user是AuthenticationFilter,所以unauthorizedUrl设置后页面不跳转 
Shiro注解模式下,登录失败与没有权限都是通过抛出异常。并且默认并没有去处理或者捕获这些异常。在SpringMVC下需要配置捕获相应异常来通知用户信息

通过看配置文件可以看到,filter过滤链的最后是/** = authc 。

一般我们访问的这个路径也在authc这个过滤器处理中,他是AuthenticationFilter(认证过滤链),不是AuthorizationFilter(授权过滤链)。

解决方法1:

既然shiro的配置没有用了,那么就要来找找springmvc中能不能解决这个问题了。
springmvc中有一个org.springframework.web.servlet.handler.SimpleMappingExceptionResolver类就可以解决这个问题,我们在spring-mvc.xml配置文件中配置一个bean,如下:

<bean  
    class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">  
    <property name="exceptionMappings">  
        <props>  
            <prop key="org.apache.shiro.authz.UnauthorizedException">  //表示捕获的异常
                /unauthorized  //捕获该异常时跳转的路径
            </prop>  
            <prop key="org.apache.shiro.authz.UnauthenticatedException">  //表示捕获的异常
                /unauthenticated  //捕获该异常时跳转的路径
            </prop>  
        </props>  
    </property>  
</bean> 

这样就可以把授权时没有权限时报的异常通过springmvc的来处理到相应的页面。

解决方法2:

就是从问题产生的原因来解决,应为我们这个请求的页面是通过 /** = authc 来匹配了,就是通过认证(登录)过滤链来处理,改成perms或者roles 来匹配就好了。

但是由于这样的授权路径比较多,建议使用方法1来解决。

Logo
向您推荐>>Eolink开发者社区

权威|前沿|技术|干货|国内首个API全生命周期开发者社区

更多推荐

深入理解 Mocha 测试框架:从零实现一个 Mocha

前言什么是自动化测试自动化测试在很多团队中都是Devops环节中很难执行起来的一个环节,主要原因在于测试代码的编写工作很难抽象,99%的场景都需要和业务强绑定,而且写测试代码的编写工作量往往比编写实际业务代码的工作量更多。在一些很多业务场景中投入产出比很低,适合写自动化测试的应该是那些中长期业务以及一些诸如组件一样的基础库。自动化测试是个比较大的概念,其中分类也比较多,比如单元测试,端对端测试,集

avatar 云原生

ELK实现containerd的容器日志采集展示【基于logging的全栈监测】

企业级ELK Stack构建介绍

avatar 云原生

(20200916 Solved)docker-compose up创建容器自动退出

问题描述如题,创建容器后自动退出了。并且docker start container无效解决方案原因是缺失了控制终端的配置,需要在docker-compose.yml中增加tty:true ,有时候这样也不行,需要再增加一个command:/bin/bash,命令不一定是这个,需要是一个不会退出的命令,然后用-d后台启动容器。Referencesdocker-compose启动容器后自动退出...

avatar 云原生