shiro 使用FormAuthenticationFilter 用于校验用户登录时,所考虑的问题

最新推荐文章于 2025-03-26 18:29:29 发布
原创 最新推荐文章于 2025-03-26 18:29:29 发布 · 1.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #java #web

在使用Shiro的FormAuthenticationFilter进行用户登录验证时,如果一个已登录用户A未登出,然后通过浏览器回退按钮回到登录页面并尝试用用户B登录,过滤器不会执行。这是因为当`isAuthenticated()`为true时,`onAccessDenied()`方法不会执行。解决方法是重写`isAccessAllowed()`方法,通过`isLoginSubmission()`判断是否为登录提交,确保过滤器生效。

本人主要说明,在使用shiro filter认证登录时(Authentication)将

subject.login(token);

放在在filter时的用法,源码一

类 AccessControlFilter 中控制访问可以得到,
public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
    return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
}

 以上得知 如果 || 得知如果第一个false 继续执行 第二个 如果第一个true则返回true。查看isAccessAllowed(request, response, mappedValue) 得知默认实现来自

类AuthenticationFilter 相关代码,
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
    Subject subject = getSubject(request, response);
    return subject.isAuthenticated();
}
最低0.47元/天 解锁文章
前后端分离shiro集成未登录未授权option预检解决
m0_37928046的博客
07-05 1014
最近小编在做新项目的候采用了前后端分离,使用shiro做权限控制,其中遇到了一些问题。 一 :OPTION请求预检问题 二:未登录未授权跳转问题 解决方案: 一:放行OPTIONS请求 二:继承FormAuthenticationFilter类重写其onAccessDenied方法解决未登录 三:未授权设置全局异常捕获为AuthorizationException 话不多多说直接...
shiro使用教程
Daniel
05-26 1047
Apache ShiroJava 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。
使用Forms Authentication实现用户注册、登录 (一)基础知识
半亩方塘
01-02 1385
前言  本来使用Forms Authentication进行用户验证的方式是最常见的,但系统地阐明其方法的文章并不多见,网上更多的文章都是介绍其中某一部分的使用方法或实现原理,而更多的朋友则发文询问如何从头到尾完整第实现用户的注册、登录。因此,Anders Liu在这一系列文章中计划通过一个实际的例子,介绍如何基于Forms Authentication实现:l 用户注册(包括密码的加密存
Shiro认证跳转问题排查(论练习的重要性)
Java_rookie_ry的博客
07-10 463
在正常工作中,由于多是使用现成的组件,以及架构大佬搭好的框架,所以我忽略了很多技术上的细枝末节,导致我会遇到一些看似奇奇怪怪的问题,其实问题奇奇怪怪,多半是自身技术不到位导致的。还是得多做练习,多自己搭项目,这样不仅会对已掌握的技术更加熟练,还会补全一些之前不知道的技术。
五.shiro表单拦截器FormAuthenticationFilter如何认证,登录成功后如何继续访问原请求
热门推荐
u014203449的博客
06-14 3万+
shiro有几种默认的拦截器,authc,anno,roles,user等 authc就是FormAuthenticationFilter的实例 ShiroFilterFactoryBean的配置: private Map<String, Filter> filters; <取名,拦截器地址>,可以自定义拦截器放在这 private Map<String, ...
shiro表单拦截器FormAuthenticationFilter如何认证,登录成功后如何继续访问原请求
weixin_44593504的博客
08-24 869
shiro有几种默认的拦截器,authc,anno,roles,user等 authc就是FormAuthenticationFilter的实例 ShiroFilterFactoryBean的配置: private Map<String, Filter> filters; <取名,拦截器地址>,可以自定义拦截器放在这 private Map<String, String> filterChainDefinitionMap; <url,拦截器名>哪些路..
springboot集成shiro、jpa实现安全登录,权限校验
12-10
在Spring Boot应用中,集成Apache Shiro或Spring Security可以实现用户认证和授权功能,而这里主要讨论的是如何结合Shiro和JPA(Java Persistence API)来构建一个安全的登录及权限校验系统。Shiro是一个轻量级的...
解决Shiro结合Ajax登录交互权限问题
- **前端AJAX请求处理失败**:前端代码应该能够解析Shiro返回的JSON错误信息,并作出相应的用户提示和操作,例如引导用户登录或者显示无权限访问的提示。 - **AJAX请求的异步处理**:Shiro应提供一些配置选项或者...
Apache Shiro 统一化实现多端登录(PC端&移动端)
最新发布
分享最新技术与行业经验,与友友们共同成长。
03-26 1343
是一个强大且易用的Java安全框架,提供了身份验证、授权、密码学和会话管理等功能。它被广泛用于保护各种类型的应用程序,包括、桌面应用、RESTful服务、和。
shiro+springboot:MyFormAuthenticationFilter(自定义认证拦截)
qq_597950687的博客
07-27 4984
 在自定义认证拦截中,onAccessDenied 为入口,在onAccessDenied中调用自定义的认证方式(也可直接使用 FormAuthenticationFilter的父类的认证方式,但是使用默认的无法自定义认证成功/失败后的操作) executeLogin(ServletRequest request, ServletResponse response) 认证方式 onLogin...
FormAuthenticationFilter无效的解决方案
geomon的博客
08-03 1504
登陆是FormAuthenticationFilter不起作用,要将登陆/login = authc 改为认证登陆,就会过FormAuthenticationFilter表单认证过滤器了。    FormAuthenticationFilter执行重载onAccessDenied方法。...
shiro框架源码解析与改造(九)---FormAuthenticationFilter
ljz2016的博客
08-10 1401
FormAuthenticationFilter是登陆已经认证的关键过滤器。 父类是AuthenticationFilter 由onPreHandle方法为起点,先判断当前用户是否已经登陆,然后当前账号是否是当前用户最后登陆的,如果不是,则拒绝,onAccessDenied,重定向到登陆界面 auth认证, protected boolean onPreHandle(ServletRe...
shiro过滤器详解分析
weixin_34177064的博客
03-11 1344
(原) shiro最核心的2个操作,一个是登录的实现,一就是过滤器了。登录间再补录说明,这里分析下shiro过滤器怎样玩的。 1、目标 这里会按如下顺序逐一看其实原理,并尽量找出其出处。 先看一下shiro过滤器有哪些及它们的别名分别对应哪些类:点这里 这里只分析平用的最多的一个:authc过滤器,对应的处理器的类是FormAuthenticationFilter。 2...
Shiro快速入门 —— 2.拦截器
weixin_34124939的博客
05-09 514
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro使用和源码分析---3
conansonic的博客
11-01 3758
FormAuthenticationFilter使用和源码分析—2 首先自定义一个customAuthenticationFilter继承自FormAuthenticationFilter,如下所示 customAuthenticationFilter public class CustomAuthenticationFilter extends FormAuthenticationFilt
详解Shiro认证流程
小小的人儿的博客
01-12 4490
通过前面对shiro源码的解读,我们知道,只要我们在拦截器里面配置了所有请求都经过FormAuthenticationFilter,那么我们就不用自己写login方法,shiro会自己帮我们处理登录逻辑。 isAccessAllowed shiro中的判断一个请求是否允许通过的条件是当前得到的subject是否已经认证过,或者当前请求是否是登录请求。 如何判断Subject是否认证过? org.apache.shiro.subject.support.DelegatingSubject#isAuthenti
Shiro学习之过滤器详解
zkcJava的博客
09-14 5871
Shiro默认过滤器详解一、过滤器种类二、过滤器详解1. 继承关系及结构2. filter过滤器简介3. shiro过滤器分析3.1 AbstractFilter3.2 NameableFilter3.3 OncePerRequestFilter3.4 AdviceFilter3.5 PathMatchingFilter3.6 AccessControlFilter3.7 AuthenticationFilter3.8 AuthenticatingFilter3.9 FormAuthenticationFi
Shiro的验证机制 和同一浏览器 多次登录的BUG
zhangxinly的博客
05-19 6319
Shiro登陆多个账户异常 5条回复 5571 views 关于一个浏览器同登陆多个账户,自动跳转到原登录页面的逻辑错误。 方法1 对shiro源码进行了调试,发现是AuthenticationFilter验证逻辑的问题: 1.它首先验证是否有允许访问页面(isAccessAllowed方法)。 2.在拒绝访问中(FormAuthenticationFilt
Spring Boot + Shiro 自定义FormAuthenticationFilter,出现登录成功不能正常跳转还停留登录页面问题
xuyp95的博客
06-16 3885
Spring Boot + Shiro 自定义FormAuthenticationFilter,出现登录成功不能正常跳转还停留登录页面问题 Spring Boot + Shiro ,自定义FormAuthenticationFilter出现登录成功不能正常跳转还停留登录页面问题 自定义FormAuthenticationFilter import org.apache.shiro.web.filt...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值