shiro无权限,不跳转到指定页面。setUnauthorizedUrl无效

最新推荐文章于 2025-05-31 11:33:00 发布
原创 最新推荐文章于 2025-05-31 11:33:00 发布 · 1.6w 阅读 · 54 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #java #springboot

本文深入探讨了在使用Shiro框架时,用户访问无权限页面导致的异常问题及解决策略。通过分析源码,明确了unauthorizedUrl配置仅对特定过滤器生效的原因,并提供了异常统一处理的实现方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

既上一篇博客,当用户在登陆之后,访问没有权限的页面时,没有跳转到指定页面,并且后台报错。我们之前在ShiroConfig中已经设置了无权限的跳转页面,那么为什么没起作用呢?

问题复现:

org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method: public java.lang.String com.cj.shirodemo.controller.UserController.showUser()
	at org.apache.shiro.authz.aop.AuthorizingAnnotationMethodInterceptor.assertAuthorized(AuthorizingAnnotationMethodInterceptor.java:90) ~[shiro-core-1.3.2.jar:1.3.2]
	at org.apache.shiro.authz.aop.AnnotationsAuthorizingMethodInterceptor.assertAuthorized(AnnotationsAuthorizingMethodInterceptor.java:100) ~[shiro-core-1.3.2.jar:1.3.2]
	at org.apache.shiro.authz.aop.AuthorizingMethodInterceptor.invoke(AuthorizingMethodInterceptor.java:38) ~[shiro-core-1.3.2.jar:1.3.2]
	at org.apache.shiro.spring.security.interceptor.AopAllianceAnnotationsAuthorizingMethodInterceptor.invoke(AopAllianceAnnotationsAuthorizingMethodInterceptor.java:115) ~[shiro-spring-1.3.2.jar:1.3.2]
	at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:186) ~[spring-aop-5.1.4.RELEASE.jar:5.1.4.RELEASE]
	at org.springframework.aop.framework.CglibAopProxy$DynamicAdvisedInterceptor.intercept(CglibAopProxy.java:688) ~[spring-aop-5.1.4.RELEASE.jar:5.1.4.RELEASE]

对于这种问题,我们要从设置跳转页面开始看,我开发工具用的idea。可以按住ctrl+鼠标点击进入源码(idea好-。-)。
进入到ShiroFilterFactoryBean类中,我们可以大概浏览下类的基本构成(包括方法和属性),找到setUnauthorizedUrl方法:

 public void setUnauthorizedUrl(String unauthorizedUrl) {
        this.unauthorizedUrl = unauthorizedUrl;
    }

咦,很简单啊,就是赋值操作,ok。那我们再来看看unauthorizedUrl这个参数在整个实体类中在哪个地方使用的。
一共找到下面几个地方:

	 public String getUnauthorizedUrl() {
        return this.unauthorizedUrl;
    }

    public void setUnauthorizedUrl(String unauthorizedUrl) {
        this.unauthorizedUrl = unauthorizedUrl;
    }
    ..........
      private void applyUnauthorizedUrlIfNecessary(Filter filter) {
        String unauthorizedUrl = this.getUnauthorizedUrl();
        if (StringUtils.hasText(unauthorizedUrl) && filter instanceof AuthorizationFilter) {
            AuthorizationFilter authzFilter = (AuthorizationFilter)filter;
            String existingUnauthorizedUrl = authzFilter.getUnauthorizedUrl();
            if (existingUnauthorizedUrl == null) {
                authzFilter.setUnauthorizedUrl(unauthorizedUrl);
            }
        }

    }

    private void applyGlobalPropertiesIfNecessary(Filter filter) {
        this.applyLoginUrlIfNecessary(filter);
        this.applySuccessUrlIfNecessary(filter);
        this.applyUnauthorizedUrlIfNecessary(filter);
    }

到这里,我们已经找到关键的地方 :

   private void applyUnauthorizedUrlIfNecessary(Filter filter) {
        String unauthorizedUrl = this.getUnauthorizedUrl();
        if (StringUtils.hasText(unauthorizedUrl) && filter instanceof AuthorizationFilter) {
            AuthorizationFilter authzFilter = (AuthorizationFilter)filter;
            String existingUnauthorizedUrl = authzFilter.getUnauthorizedUrl();
            if (existingUnauthorizedUrl == null) {
                authzFilter.setUnauthorizedUrl(unauthorizedUrl);
            }
        }
    }

applyUnauthorizedUrlIfNecessary就是设置无权限访问的url的方法。其中有一行很重要filter instanceof AuthorizationFilter 这个过滤器必须要是AuthorizationFilter过滤器才行,那么什么才是AuthorizationFilter类型的过滤器呢?
我们可以点进AuthorizationFilter的源码看一下。
AuthorizationFilter是一个抽象类,抽象类没什么好看的,我们看看他的具体的类:
在这里插入图片描述
这些才是具体的类。换句话说只有这些过滤器才可以使设置生效。
这些过滤器到底是什么呢?
看过我之前博客的都知道在ShiroConfig设置权限的时候,我曾经叫大家看下package org.apache.shiro.web.filter.mgt.DefaultFilter,这个是shiro默认提供给我们的过滤器,不知道大家有没有看-。-,荣老夫截个图吧:
在这里插入图片描述
这是个啥?不对,稍微等一等,HttpMethodPermissionFilterSslFilterPermissionsAuthorizationFilterRolesAuthorizationFilter这几个貌似就是能使setUnauthorizedUrl这个方法生效的过滤器耶。

原因:

只有perms,roles,ssl,rest,port才是属于AuthorizationFilter,而anon,authcBasic,auchc,user是AuthenticationFilter,所以unauthorizedUrl设置后页面不跳转。

解决方案:

  1. 既然不是属于AuthorizationFilter,那就改为AuthorizationFilter。(这种方法没试过,不做评价,感兴趣的同学可以试一试)。
  2. 对抛出的异常进行统一处理跳转。

方案一:

略略略略略略略略略略略略略略略-。-

方案二:

package com.cj.shirodemo.exceptions;

import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.UnauthorizedException;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseBody;

/**
 * 描述:
 *
 * @author caojing
 * @create 2019-01-27-17:12
 */
@ControllerAdvice
public class NoPermissionException {
    @ResponseBody
    @ExceptionHandler(UnauthorizedException.class)
    public String handleShiroException(Exception ex) {
        return "无权限";
    }
    @ResponseBody
    @ExceptionHandler(AuthorizationException.class)
    public String AuthorizationException(Exception ex) {
        return "权限认证失败";
    }
}

总结:

我该说点啥呢?其实有问题的话不要慌,先找出问题产生的原因,从根本上去解决问题,而不是一遇到问题去百度(或者你先解决问题,在回来看一眼为什么会产生这个问题),只有这样,你才能在下次遇到相同问题的时候才不又去问百度。

setUnauthorizedUrl起作用
ajax_yan的博客
06-18 502
setUnauthorizedUrl("/403")起作用 SpringBoot中集成Shiro的时候, 配置setUnauthorizedUrl("/403")了,但是起作用,只会在控制台打印UnauthorizedException异常信息: 原因: Shiro源码中是这样做的: private void applyUnauthorizedUrlIfNecessary(Filter filter) { String unauthorizedUrl =...
ShirosetUnauthorizedUrl("/403")生效,无法跳转指定页面的解决办法。
banmajio的博客
01-08 1657
ShirosetUnauthorizedUrl"/403"生效,无法跳转指定页面的解决办法问题描述问题分析解决办法 问题描述 ShiroConfig中设置未授权页面统一跳转403页面,但是没有权限的用户访问时,并未跳转指定页面页面报错信息如下: 控制台报错如下: 问题分析 这是因为shiro源代码中判断了filter是否为AuthorizationFilter,只有perms,roles...
shiro关于权限问题的页面跳转
言诺liang
12-04 5649
关于shiro权限控制异常的抓取及跳转问题:如果用户登录没有所需的角色role或者所需的权限permission这时候应该抓取异常并跳转到异常提示页面一般我知道的三种处理方式。 1、直接在配置文件中配置shiro的web过滤器: <!-- Shiro的Web过滤器 --> <bean id="shiroFilter" class="org.apache.sh...
Shiro权限使用大全
最新发布
你好, 我在学java的博客
05-31 918
Apache Shiro是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。在本系统中,Shiro主要用于实现权限控制,保护系统资源被未授权的用户访问。
shiro unauthorizedUrl页面跳转问题
阿朗的程序人生
02-19 8691
最近使用shiro框架控制用户权限,用户权限认证未通过时,无法跳转到unauthorizedUrl对应的页面,直接抛出了异常。最后没办法,只能在web.xml中配置error-page,配置如下: 500 /error.jsp   shiro部分配置如下: /css/** =
shiro配置unauthorizedUrl,无权限抛出无权限异常,但是跳转
weixin_30576859的博客
03-06 1516
在使用shiro配置无授权信息的url的时候,发现这样的一个scenario,配置好unauthorizedUrl后仍然无法跳转,然后就在网上开始找,找了原因以及解决方案 原因,先post一个源码: private void applyUnauthorizedUrlIfNecessary(Filter filter) { String unauthorizedUrl =...
shiro 自定义 用户 角色 权限 (认证与授权)按钮级控制
CaiXinXing的优快云博客
06-02 1203
ShiroConfig.javashiro配置) /** * @todo: 集成shiro * @author: cxx * @date: 2020-5-22 09:56:10 * @description: manage */ @Configuration public class ShiroConfig { @Value("${spring.jedis.port}") private int port; @Value("${spring.jedis.host}
Springboot 整合 Shiro 实现登录认证和权限校验
古小龙
07-04 1386
shiro介绍: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 三个核心组件:Subject, SecurityManager 和 Realms. Subject:即“当前操作用户”。但是,在Shiro中,Sub...
springboot整合shiro
cqq00的博客
10-18 864
shiro认证授权
SpringBoot + Shiro 详解+使用案列
zkcJava的博客
08-24 766
初始shiro 文章目录初始shiro一、shiro是什么?1.shiro简介2.结构分析(1)从外部整体看shiro框架(2)从外部整体看shiro框架(3)shiro名词解释(4)shiro默认过滤器(5)对过滤器解释说明(6)常见异常(7)shiro标签二、ShiroConfig配置1.配置Realm及多Realm的认证策略2.配置Cache3.配置securityManager4. 配置shiroFilterFactoryBean 其实就是Filter的规则三、测试代码案例1. shiro认证流程2
SpringBoot之集成Shiro中出现的一个问题logout没有作用(实际上时authcBasic导致的问题)
编程学习者的博客
04-13 3047
1.声明 当前的内容用于本人学习和使用之用,关于本人在一次偶然的机会发现的一个bug,一个关于shiro的bug(SpringBoot中集成Shiro的时候调用logout出现的bug) 2.pom文件配置 <parent> <groupId>org.springframework.boot</groupId> <artifactId>sprin...
spring boot整合shiro没有权限时跳转到403页面
孤独的大佬
12-02 1568
shiro 无法跳转到unauthorizedUrl
码农的幸福生活
01-11 5787
问题:shiro框架控制用户权限,用户权限认证未通过时,无法跳转到unauthorizedUrl对应的页面,直接抛出了异常。 原因: private void applyUnauthorizedUrlIfNecessary(Filter filter) {       String unauthorizedUrl = getUnauthorizedUrl();
Shiro unauthorizedUrl 起作用解决方法
weidong_y的博客
09-26 3381
Shiro 通过注解方式判断当前用户没有权限时,跳转指定的错误页面,就是因为 unauthorizedUrl 起作用,解决方法就是在 shiro 配置中加上下面这一段配置(异常全路径做key,错误页面做value) &lt;bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver"...
shiro访问html没有验证码,shiro配置unauthorizedUrl,无权限抛出无权限异常,可是跳转...
weixin_35693014的博客
06-28 208
在使用shiro配置无受权信息的url的时候,发现这样的一个scenario,配置好unauthorizedUrl后仍然没法跳转,而后就在网上开始找,找了缘由以及解决方案html缘由,先post一个源码:webprivate voidapplyUnauthorizedUrlIfNecessary(Filter filter) {String unauthorizedUrl= this.getUna...
shiro无权限访问时unauthorizedUrl起作用
cihongmo6452的博客
03-31 621
/** *读ShiroFilterFactoryBean源码可知,只有满足一下条件没有权限访问的时候才会跳转到配置的unauthorizedUrl页面 *if(StringUtils.hasText(unauthorizedUrl)&&(filte...
Shiro中loginUrl与unauthorizedUrl
热门推荐
小东东
08-24 2万+
项目中有用到Shiro框架,但是只使用了身份认证,即登录功能,未用到授权 权限验证功能,在使用的时候对loginUrl和unauthorizedUrl没有区分太清,一直以为unauthorizedUrl是被拦截后要跳转到的页面,今天特意查了一下,才清楚loginUrl是登录页面,unauthorizedUrl是没有资源权限时跳转到的页面。即: loginUrl:没有登录的用户请求...
Shiro权限全面指南:从入门到集成实战
9. **JSP标签**:介绍了如何在JSP页面上使用Shiro提供的标签来简化权限控制的编程。 10. **会话管理**:涉及会话的创建、存储、监听和验证,以及SESSIONFACTORY(会话工厂)在维护会话状态中的作用。 11. **缓存...
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值