SpringMVC + Shiro 访问未授权页面时不跳转,页面打印抛异常

最新推荐文章于 2025-06-03 11:17:37 发布
最新推荐文章于 2025-06-03 11:17:37 发布
阅读量9.2k 收藏 4
点赞数 3
CC 4.0 BY-SA版权
分类专栏: shiro 文章标签: spring mvc shiro 未授权页面
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Excaliburace/article/details/51611469
在SpringMVC与Shiro整合应用中遇到一个问题,配置的未授权页面跳转未能生效,而是在页面直接抛出未授权异常。分析发现ShiroFilterFactoryBean的filter限制导致unauthorizedUrl设置无效。解决方案包括调整配置文件,不依赖注解而是直接配置URL权限。在Shiro注解模式下,登录失败和权限不足都以异常形式表现,需在SpringMVC中捕获并处理这些异常。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • 描述:配置文件中配置了访问了未授权之后的跳转地址,但结果没能跳转过去,而是直接在页面上抛出未授权异常

  • 分析原因:配置文件可能需要做额外的处理

  • 最终解决方案:

方案1:

<!-- 定义需要特殊处理的异常,用类名或完全路径名作为key,异常页名作为值 -->
<bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
    <property name="exceptionMappings">
        <props>
            <prop key="org.apache.shiro.authz.UnauthorizedException">/Denied</prop>
        </props>
    </property>
</bean>

方案2:
不使用注解,而是用配置文件配置url的权限

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <!-- Shiro的核心安全接口,这个属性是必须的 -->
    <property name="securityManager" ref="securityManager"/>
    <!-- 要求登录时的链接(登录页面地址),非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 -->
    <property name="loginUrl" value="/showLogin"/>
    <!-- 登录成功后要跳转的连接(本例中此属性用不到,因为登录成功后的处理逻辑在LoginController里硬编码) -->
    <!-- <property name="successUrl" value="/" ></property> -->
    <!-- 用户访问未对其授权的资源时,所显示的连接 但是使用注解的话这段不起作用,需要使用异常处理器重定向页面-->
    <property name="unauthorizedUrl" value="/denied"/>
    <property name="filterChainDefinitions">
       <value>
           /Admin=roles[admin]
           /Common=roles[user]
       </value>
    </property>
</bean>
  • 原因:
    shiro的源代码ShiroFilterFactoryBean.Java定义的filter必须满足filter instanceof AuthorizationFilter,只有perms,roles,ssl,rest,port才是属于AuthorizationFilter,而anon,authcBasic,auchc,user是AuthenticationFilter,所以unauthorizedUrl设置后页面不跳转
    Shiro注解模式下,登录失败与没有权限都是通过抛出异常。并且默认并没有去处理或者捕获这些异常。在SpringMVC下需要配置捕获相应异常来通知用户信息
Shiro中setUnauthorizedUrl("/403")生效,无法跳转指定页面的解决办法。
banmajio的博客
01-08 1655
Shiro中setUnauthorizedUrl"/403"生效,无法跳转指定页面的解决办法问题描述问题分析解决办法 问题描述 ShiroConfig中设置未授权页面统一跳转403页面,但是没有权限的用户访问,并未跳转指定页面页面报错信息如下: 控制台报错如下: 问题分析 这是因为shiro源代码中判断了filter是否为AuthorizationFilter,只有perms,roles...
shiro unauthorizedUrl页面跳转问题
阿朗的程序人生
02-19 8690
最近使用shiro框架控制用户权限,用户权限认证未通过,无法跳转到unauthorizedUrl对应的页面,直接抛出异常。最后没办法,只能在web.xml中配置error-page,配置如下: 500 /error.jsp   shiro部分配置如下: /css/** =
Spring Boot Actuator未授权访问漏洞修复
最新发布
m18066975852的博客
06-03 1268
在网关的配置文件里增加以下配置。
shiro无权限访问unauthorizedUrl起作用
cihongmo6452的博客
03-31 621
/** *读ShiroFilterFactoryBean源码可知,只有满足一下条件没有权限访问候才会跳转到配置的unauthorizedUrl页面 *if(StringUtils.hasText(unauthorizedUrl)&&(filte...
shiro配置unauthorizedUrl,无权限抛出无权限异常,但是跳转
weixin_30576859的博客
03-06 1514
在使用shiro配置无授权信息的url的候,发现这样的一个scenario,配置好unauthorizedUrl后仍然无法跳转,然后就在网上开始找,找了原因以及解决方案 原因,先post一个源码: private void applyUnauthorizedUrlIfNecessary(Filter filter) { String unauthorizedUrl =...
springmvc+shiro自定义过滤器的实现代码
08-26
在本文中,我们使用HttpSession来存储用户的初始访问页面地址,以便在用户登录后跳转回该页面。 4. SpringMVC的xml配置文件 在SpringMVC中,xml配置文件用于配置应用程序的各种组件。在本文中,我们使用xml配置...
基于SpringMVC+Shiro+Activiti 5.16 的简单OA,可以快速入门Activiti学习用
06-14
基于SpringMVC+Shiro+Activiti 5.16 的简单OA,可以快速入门Activiti学习用。 此版本前台使用的是EasyUI。框架以Spring Framework为核心、Spring MVC作为模型视图控制器、Shiro作为权限框架、Hibernate作为数据库...
springmvc+spring+mybatis+druid+shiro 登陆实现
03-14
5. 如果验证失败,Shiro抛出异常,控制器捕获异常并返回错误信息。 6. 登录成功后,用户可以访问受保护的资源,Shiro会根据URL和用户角色进行权限控制。 此外,项目的源代码文件名"wxz"可能是指项目或模块的简称...
Spring+SpringMVC+Mybatis+Shiro+ Maven+AdminLTE(Bootstarp)整合项目
12-20
(6)增加404和500页面---单纯页面,未实现真正异常跳转 (7)菜单改造,支持多级菜单--实现方式好,目前最多支持9级,后续考虑更换左右值的实现方式 (8)用户管理,修改能查询数据的问题 (9)用户管理,...
springmvc+shiro配置教程
11-16
--访问一个没有权限的链接是跳转至此页面 --> <!-- 定义过滤规则 --> <value>/index.html* =anon <!-- 需要权限 --> /main.jsp =authc <!--需要登录权限 --> /gouwuche.jsp = authc /login.jsp = au ```...
shiro框架下,用户访问接口没有权限,会有什么报错
weixin_42759398的博客
04-09 591
弟子,Shiro是一个安全框架,本身提供了默认的配置来支持安全功能,其中就包括访问控制的配置。在使用Shiro,您可以通过配置Realm实现权限验证,并使用Shiro提供的注解,如@RequiresPermissions("user:add")来标识访问权限。因此,在使用Shiro,您只需要在配置文件中指定Realm和相应的权限验证规则,需要额外配置权限足的错误信息,Shiro会自动处理。
关于Shiro登录后却仍旧报没有权限的异常处理
JustDoSelf的博客
04-14 2293
异常产生环境 前言,我项目的大致前后端框架是vue前端+后端SpringBoot+Shiro,本地分离测试没有发现问题,可以正常登录点击,并且到授权方法进行授权,但是部署到服务器上就出现问题了,然后一直报AuthorizationException这个异常,可是明明本地分离测试都没有问题,然后分离部署到服务器上就出现问题了。 问题分析 首先,前后端分离部署是属于跨域,再进行异步请求会存在跨域问题...
springboot+shiro使用权限注解问题_无法使用注解_使用注解无法跳转无权限页面
JieZhongBa的博客
10-03 682
环境 springboot:2.5.5 shiro:1.8.0 (shiro-spring-boot-web-starter) idea 常用注解 一些小问题 1. 无法使用权限注解 实测使用shiro-spring-boot-web-starter没有这个问题,其他版本可能遇到。 解决办法:shiro配置类中添加bean @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(Sec
自定义注解 java 权限控制_SpringMVC给控制器添加自定义注解控制访问权限详解
weixin_39887546的博客
02-26 276
场景描述:现在需要对部分Controller或者Controller里面的服务方法进行权限拦截。如果存在我们自定义的注解,通过自定义注解提取所需的权限值,然后对比session中的权限判断当前用户是否具有对该控制器或控制器方法的访问权限。如果没有相关权限则终止控制器方法执行直接返回。有两种方式对这种情况进行处理。方式一:使用SpringAOP中的环绕Around方式二:使用Springweb拦截...
基础7-Spring MVC下整合-权限异常处理
狼行千里吃肉
09-08 112
处理异常的方式有3种: ①在spring-security.xml配置文件中来处理: <security:http auto-config-”true”use-expressions=”true”> <security:access-denied-handler error-page=”/403.jsp”/> 只能处理403异常 </security:http> ②在web.xml中,针对同的httpcode,去指定对应.
解决:设置了springMVC中的静态资源访问权限但仍无法访问静态资源
g13197895299的博客
04-16 1863
解决ssm项目中在springMVC的配置文件设置了静态资源放行但仍然无法访问静态资源的问题。
shiro实现请求拦截并打印日志
CheerTan is here
08-11 1865
传统方式实现HandlerInterceptor 这里代码但实现了token的认证拦截,也在afterCompletion实现了接口请求日志打印 import org.apache.commons.lang3.StringUtils; import org.apache.commons.logging.Log; import org.apache.commons.logging.LogFactory; import org.linlinjava.litemall.core.annotation.Visit
6、未经授权访问漏洞
sigali的博客
03-16 1651
6、未经授权访问漏洞复现 在XSS学习过程中都有一个cookie来判断是否登录。未授权访问漏洞就是,在登陆的情况下也能访问。 分两种类型: 一、完全未授权访问 完全没有判断。要找这种漏洞,必须的获得后台名称,用御剑扫描、inurl找、burp中放php字典爆破页面信息(index.php之类的) 二、条件型未授权访问 后端程序未判断某个参数,造成逻辑上的错误,从而可以访问。 漏洞复现: 一、完全未授权访问 http://www.fsnmmaterials.com/admin/ 1、点进页面,看
SpringMVC+Shiro+Activiti 5.16 构建简易OA系统教程
资源摘要信息:"基于SpringMVC+Shiro+Activiti 5.16的简单OA系统" 在当前的IT技术领域中,企业应用系统(Enterprise Application Systems)的开发和部署是极为重要的环节。本资源提供了一个基于SpringMVC框架、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值