如何在shiro发生UnauthorizedException与UnauthenticatedException等异常时返回json而不是跳转到错误页面

最新推荐文章于 2024-10-27 16:20:46 发布
最新推荐文章于 2024-10-27 16:20:46 发布
阅读量9.6k 收藏 4
点赞数 1
分类专栏: 孤陋寡闻 文章标签: shiro 返回json 自定义SimpleMappingExceptionResol
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/joe_storm/article/details/80375089
版权

        当客户端的用户要请求一个需要该用户所不具有的role的接口时,往往会抛出未授权异常UnauthorizedException。

默认处理改异常的方式是在springmvc.xml中配置

org.springframework.web.servlet.handler.SimpleMappingExceptionResolver

如下:

<bean class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
        <property name="exceptionMappings">
            <props>
                <!-- 错误异常转发jsp页面 -->
                <prop key="org.apache.shiro.authz.UnauthorizedException">/unauthorized.jsp</prop>
                <prop key="org.apache.shiro.authz.UnauthenticatedException">/unauthenticated.jsp</prop>
            </props>
        </property>
    </bean>

如果遇到这种情况不需要跳转别的页面而只需要返回一个结果给客户端,则需要自定义此处的

SimpleMappingExceptionResolver
主要是覆盖 
doResolveException

 

@Override
    protected ModelAndView doResolveException(HttpServletRequest request, HttpServletResponse response,
                                              Object handler, Exception ex) {
        try {
            // Expose ModelAndView for chosen error view.
            BaseResult result = new BaseResult();
            if (ex instanceof UnauthorizedException) {
                result.setMsg(RespMSG.MSG_UNAUTHORIZED );
                result.setStatus(RespMSG.STATUS_UNAUTHORIZED);
            } else if (ex instanceof UnauthenticatedException) {
                result.setMsg(RespMSG.MSG_UNAUTHENTICATED );
                result.setStatus(RespMSG.STATUS_UNAUTHENTICATED);
            } else {
                result.setMsg(RespMSG.MSG_FAILLED );
                result.setStatus(RespMSG.STATUS_FAILLED);
            }
            response.setHeader("Content-type", "text/html;charset=UTF-8");
            PrintWriter writer = response.getWriter();
            writer.write(new Gson().toJson(result));
            writer.flush();
        } catch (IOException e) {
            e.printStackTrace();
        }
        return null;
    }
 

 



                

        

    

  



    



                



	

		

			

				
					
springmvc集成shiro注解权限:UnauthorizedException 异常解决方案

				
			

			

				

					dange_h的专栏
				

				

					12-10
					
					1万+
					
				

			

		

		

			
				
springMVC 整合 shiro ,配置了当访问某个URL没有权限的配置处理:

&lt;!-- 通过unauthorizedUrl指定没有权限操作跳转页面 --&gt;
&lt;property name="unauthorizedUrl" value="/refuse"/&gt;

但是,上面的配置没有效果,就是当用户没有权限的会运行"/refuse"这个URL路径,而是直接在...

			
		

	



                

            
              



	

		

			

				
					
shiro学习——整合jwt全局异常处理器无法处理JWTFilter中抛出的异常

				
			

			

				

					weixin_43344930的博客
				

				

					08-09
					
					5407
					
				

			

		

		

			
				
springboot+shiro+jwt全局异常处理器无法处理JWTFilter中抛出的异常一、shiro中会出现的异常1、 AuthencationException2、 AuthorizationException二、为什么无法被全局异常处理器处理三、解决方案1、把统一返回的信息写入response中2、使用重定向到处理该错误的controller中
一、shiro中会出现的异常
1、 AuthencationException

AuthenticationException 异常Shiro在登录认

			
		

	



              


  
              

                


	

		

			

				
					
Spring boot+Shiro身份认证失败返回JSON跳转页面

				
			

			

				

					江湖人称小程的博客
				

				

					09-12
					
					7429
					
				

			

		

		

			
				
文章目录前言步骤1、重写FormAuthenticationFilter2、注册自定义过滤器
前言
shiro在进行身份认证,如果失败了,默认会跳转到Web工程根目录下的"/login.jsp"页面,如果在配置类中配置了这句话:
shiroFilterFactoryBean.setLoginUrl("/myLogin");

认证失败后会跳转到setLoginUrl这个方法指定路径中。
这里说...

			
		

	





	

		

			

				
					
ShiroUnauthorizedException

				
			

			

				

					m0_67391120的博客
				

				

					08-24
					
					1198
					
				

			

		

		

			
				
今天增加表格中的行按钮报的bug,权限配置问题,自定义权限没有得到认证。很明显,我在keywordPending 后加了一个delete,这个让系统以为这是一个新权限,而且没有找到授权的地方,所以直接报错,没有此权限。一开始我以为只要二者达成一致就可以完成授权和认证,但是很明显,这样行。根本原因还是我在往数据库执行插入语句的候添加的权限没有和现在自定义的权限一致。这个是权限认证代码,如果有括号中的权限,才会显示,但很明显,我现在没有这个权限,所以这个权限是在哪里赋予的呢?我在控制层中使用的是。

			
		

	



		

			
		



	

		

			

				
					
java springboot 项目关于org.apache.shiro.authz.UnauthorizedException: Subject does not have permission

				
			

			

				

					YHLSunshine的博客
				

				

					06-07
					
					2849
					
				

			

		

		

			
				
java springboot 项目关于org.apache.shiro.authz.UnauthorizedException: Subject does not have permission

			
		

	





	

		

			

				
					
关于shiro登录失效后,onLoginFailure方法内抛异常并使用全局异常处理器捕获却失效

				
			

			

				

					qq_44705845的博客
				

				

					01-04
					
					692
					
				

			

		

		

			
				
AuthenticatingFilter最终继承的是 servlet 的 Filter 类, Filter 处理是在控制器之前的, 所以由 @ControllerAdvice注解的全局异常处理器无法捕获这里的异常(@ControllerAdvice是由spring 提供的增强控制器)。直接在onLoginFailure内设置响应状态值和结果就可以啦!

			
		

	





	

		

			

				
					
在前后端分离的SpringBoot项目中集成Shiro权限框架_springboot shiro 权限管理系统

				
			

			

				

					2401_87555420的博客
				

				

					10-27
					
					783
					
				

			

		

		

			
				
传统结构项目中,shiro从cookie中读取sessionId以此来维持会话,在前后端分离的项目中(也可在移动APP项目使用),我们选择在ajax的请求头中传递sessionId,因此需要重写shiro获取sessionId的方式。当在某个项目中引入spring-boot-shiro模块,只需要在配置文件中加入shiro数据源及redis的相关配置,并在DataSourceConfig加入shiro数据源Bean即可。在项目中,权限相关表可能在业务库中,因此有必要单独配置权限相关表的数据源。

			
		

	





	

		

			

				
					
2021-07-09 springboot 整合shiro(前后端分离解决方案)

				
			

			

				

					worimadeca的博客
				

				

					07-09
					
					1681
					
				

			

		

		

			
				
springboot 整合shiro(前后端分离解决方案)

前言
网上大多数关于springboot整合shiro的教程是非前后端分离的,认证、授权失败的处理都是页面跳转不是返回json数据,本文旨在解决这一问题。

目标

登录失败,跳转页面,返回 Json 字符串 {code:xxx, msg:xxx}
权限跳转页面,返回 Json 字符串 {code:xxx, msg:xxx}
跳转到哪里去,由前端自己判断

怎么做
创建springboot项目,引入依赖 pox.xml

pom.x

			
		

	





	

		

			

				
					
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权

				
			

			

				

					ljlj8888的博客
				

				

					03-12
					
					1万+
					
				

			

		

		

			
				
SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权
文章目录SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权一、引言二、相关说明三、项目准备配置四、实现颁发token4.1. 配置Redis:RedisConfig4.2. 编写工具类4.3. 编写登录接口:LoginController五、实现Shiro授权5.1. 重写过滤器:J...

			
		

	





	

		

			

				
					
Shiro授权(Authorization)

				
			

			

				

					qq_49670207的博客
				

				

					09-19
					
					810
					
				

			

		

		

			
				
Shiro授权(Authorization)术语简介授权主体资源权限
术语简介
授权
授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。
主体
主体,即访问应用的用户,在Shiro中使用Subject代表该用户,用户只有授权后才允许访问相应的资源。
资源
在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、

			
		

	





	

		

			

				
					
Shrio UnauthenticatedException 异常

				
			

			

				

					qq_28509855的博客
				

				

					01-07
					
					2051
					
				

			

		

		

			
				
Shiro UnauthenticatedException 异常
问题起因
最近在项目中引入了shiro, 我在一个【添加用户】的controller方法添加了shiro的注解:RequiresPermissions,
在已登录且其它同样加了此注解的方法能够顺利执行的情况下,【添加用户】的方法始终报如下错误
<== 捕获shiro异常: 用户未登录, UnauthenticatedException: 
 GlobalExceptionHandler : <== 捕获shiro异常: 用户未登

			
		

	





	

		

			

				
					
org.apache.shiro.authz.UnauthorizedException: Subject does not have permission [inst_system_setting_

				
			

			

				

					luckywuxn的博客
				

				

					07-04
					
					697
					
				

			

		

		

			
				
通过断点跟踪发现realm里的权限存的是权限的id,而注解上写的是权限的编码。今日在进行项目迁移代码的候,第一次使用shiro做鉴权,遇到的如下的错误,

			
		

	





	

		

			

				
					
Shiro---UnauthorizedException认证权限异常

				
			

			

				

					AsShadow的博客
				

				

					02-25
					
					2306
					
				

			

		

		

			
				
AuthorizationException 授权异常
设置了权限跳转的页面:(shiroFilterFactoryBean.setUnauthorizedUrl("/url"))
原因:这个url必须满足两个条件,即为空,并且filter是AuthorizationFilter,然后,只有perms,roles,ssl,rest,port才是属于AuthorizationFilter,而a...

			
		

	





	

		

			

				
					
shiro无权限访问unauthorizedUrl起作用

				
			

			

				

					cihongmo6452的博客
				

				

					03-31
					
					616
					
				

			

		

		

			
				
/**
*读ShiroFilterFactoryBean源码可知,只有满足一下条件没有权限访问的候才会跳转到配置的unauthorizedUrl页面
*if(StringUtils.hasText(unauthorizedUrl)&&(filte...

			
		

	





	

		

			

				
					
Apache Shiro UnauthenticatedException

				
			

			

				

					weixin_39361917的博客
				

				

					04-13
					
					5418
					
				

			

		

		

			
				
今天在开发的候遇到一个很奇怪的问目前问题 项目采用的是apache shiro作为权限控制的框架,以前没用过,昨天配置好了shiro也可以正常启动,配置也都生效了 当我在某一个接口上添加了@RequiresRoles校验角色问题出现了,首先是根本生效,后来我把SpringMvc的配置文件按照各路大神说的修改之后就ok了,然后更大的问题出现了,因为我们是Android端访问后台接口,当app访...

			
		

	





	

		

			

				
					
springboot + shiro , 无权限操作org.apache.shiro.authz.UnauthorizedException: Subject does not have permis

					
热门推荐

				
			

			

				

					RanGe的博客
				

				

					03-04
					
					1万+
					
				

			

		

		

			
				
使用springboot+shiro框架对controller中方法进行鉴权, 在shiro配置文件中设置如下内容起作用
// 鉴权页面,认证通过跳转
shiroFilterFactoryBean.setUnauthorizedUrl("/error403");

这里配置了当用户没有权限访问, 跳转到error403界面, 但是我现在就是想要的是, 当用户没有权限访问, 跳转到一个我自...

			
		

	





	

		

			

				
					
Shiro】权限控制的候,授权过程中抛出UnauthorizedException

				
			

			

				

					ITxiaobaibai的博客
				

				

					05-17
					
					3306
					
				

			

		

		

			
				
UnauthorizedException的处理
在开发过程中,当一个用户进行删除操作或者其他操作的候,需要授权给用户之后才可以进行,其中授权的过程可以在一个请求的方法上边加上@RequiresPermissions(“edit”)注解

但是在没有授权的用户操作授权的过程中,如果没有授予edit权限的候,会抛出异常UnauthorizedException,这个候就需要自定义一个异常解析类...

			
		

	





	

		

			

				
					
Shiro中loginUrlunauthorizedUrl

				
			

			

				

					web15185420056的博客
				

				

					08-24
					
					912
					
				

			

		

		

			
				
项目中有用到Shiro框架,但是只使用了身份认证,即登录功能,未用到授权 权限验证功能,在使用的候对loginUrl和unauthorizedUrl没有区分太清,一直以为unauthorizedUrl是被拦截后要跳转到的页面,今天特意查了一下,才清楚loginUrl是登录页面,unauthorizedUrl是没有资源权限跳转到的页面。unauthorizedUrl:没有权限默认跳转的页面,登录的用户访问了没有被授权的资源自动跳转到的页面。在SpringBoot中通过Java代码来实现Shiro的配置。

			
		

	





	

		

			

				
					
shiro 在token失效在前端显示总是302,而postman测试接口却是返回403,如何解决

					
最新发布

				
			

			

				

					03-29
				

			

		

		

			
				
<think>好的,我现在需要解决用户提出的问题:Shiro在Token失效前端显示302重定向,而Postman测试接口却返回403,应该如何解决。首先,我需要理解问题的背景和可能的原因。

用户提到前端显示302,而Postman返回403。这两个状态码的区别很明显:302是重定向,通常Web应用中的页面跳转有关,比如未登录跳转到登录页面;而403表示禁止访问,服务器理解请求但拒绝授权。这说明同一个接口在同客户端(浏览器和Postman)有同的行为,可能涉及Shiro的配置、过滤链设置或前后端交互方式的同。

首先,我应该回忆Shiro的工作原理。Shiro通过Filter链来处理请求,同的Filter负责同的功能,比如认证、授权、注销等。当Token失效Shiro会根据配置决定如何处理未认证或未授权的请求。

接下来,分析可能的原因:

1. **前后端请求的差异**:浏览器发起的请求可能带有Cookie或Session信息,而Postman可能使用Token直接在Header中,导致Shiro处理方式同。例如,浏览器请求可能被重定向到登录页,而Postman因为含Session信息,直接返回403。

2. **Shiro的Filter配置**:Shiro的Filter链中,对于未认证请求的处理可能配置了重定向(如authc Filter),而API请求预期返回JSON而非重定向。如果Filter链针对同URL路径配置同,可能导致前后端表现一致。

3. **CORS或跨域问题**:前端跨域请求,若未正确处理,可能导致重定向响应被浏览器拦截,但Postman受影响。但这可能不是直接原因,因为403和302的差异更可能认证处理有关。

4. **响应内容类型处理**:Shiro可能根据请求的Accept头返回同响应。浏览器通常请求HTML,导致重定向到HTML登录页(302),而Postman可能设置Accept为application/json,触发同的处理逻辑。

接下来,思考解决方案:

- **统一认证处理逻辑**:确保所有API请求都使用Token认证,并配置Shiro在未认证返回JSON响应而非重定向。这可能需要自定义Filter或修改Shiro配置。

- **检查Shiro Filter链配置**:确保API路径对应的Filter(如anon, authc, jwt等)正确设置。例如,对API路径使用Stateless的Filter,避免使用基于Session的authc Filter。

- **自定义未认证/未授权处理**:通过实现Shiro的AuthenticationFilter和AuthorizationFilter,覆盖默认的重定向行为,返回合适的HTTP状态码和JSON响应。

- **前后端分离架构调整**:确保前端在Token失效处理401/403状态码,而不是跟随302重定向。可能需要前端拦截响应,检查状态码并进行跳转。

可能的步骤:

1. **确认API路径的Filter配置**:检查shiroFilterFactoryBean的filterChainDefinitions,确保API路径使用正确的Filter,如jwtFilter或stateless authc。

2. **禁用Session创建**:对于API请求,配置Shiro创建Session,使用无状态认证。可以通过设置Shiro的SessionManager为DisabledSessionManager实现。

3. **自定义未认证处理**:创建自定义Filter继承AccessControlFilter,重写onAccessDenied方法,返回JSON响应和403状态码。

4. **处理CORS和响应头**:确保后端正确设置CORS头,避免浏览器因跨域问题导致的重定向处理异常。

具体实施可能包括代码示例,比如配置自定义Filter,调整Shiro的Filter链,或者修改响应生成方式。同需要测试验证,确保前后端行为一致,正确返回403而非302。</think>### 问题分析
出现前端302重定向而Postman返回403的根本原因在于**Shiro同客户端的请求处理策略同**:
1. **浏览器请求**:默认会被Shiro的`FormAuthenticationFilter`拦截,触发重定向到登录页(302状态码)
2. **Postman请求**:缺少Session/Cookie等浏览器特性,Shiro直接返回403禁止访问

### 解决方案(分步骤)
---

#### 一、统一认证响应格式(解决302问题)
需让Shiro对所有未认证请求返回JSON格式响应而非重定向,修改Shiro配置:

```java
// 自定义未认证过滤器
public class CustomAuthenticationFilter extends FormAuthenticationFilter {
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        if (isLoginRequest(request, response)) {
            return true;
        } else {
            // 返回JSON响应
            HttpServletResponse httpResponse = (HttpServletResponse) response;
            httpResponse.setStatus(HttpStatus.UNAUTHORIZED.value()); // 401
            httpResponse.setContentType("application/json;charset=utf-8");
            httpResponse.getWriter().write("{\"code\":401, \"msg\":\"未认证\"}");
            return false;
        }
    }
}
```

---

#### 二、配置Shiro过滤器链
在`ShiroConfig`中指定API路径使用自定义过滤器:

```java
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
    ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
    factoryBean.setSecurityManager(securityManager);

    // 添加自定义过滤器
    Map<String, Filter> filters = new LinkedHashMap<>();
    filters.put("authc", new CustomAuthenticationFilter());
    factoryBean.setFilters(filters);

    // 设置过滤规则
    Map<String, String> filterChainMap = new LinkedHashMap<>();
    filterChainMap.put("/api/**", "authc"); // API路径使用自定义认证
    filterChainMap.put("/login", "anon");
    factoryBean.setFilterChainDefinitionMap(filterChainMap);

    return factoryBean;
}
```

---

#### 三、禁用Session创建(针对API接口)
在`ShiroConfig`中配置无状态Session管理:

```java
@Bean
protected SessionStorageEvaluator sessionStorageEvaluator() {
    DefaultSessionStorageEvaluator evaluator = new DefaultSessionStorageEvaluator();
    evaluator.setSessionStorageEnabled(false); // 禁用Session存储
    return evaluator;
}
```

---

#### 四、前端适配处理
前端需要拦截401/403状态码并跳转登录页:
```javascript
axios.interceptors.response.use(response => {
  return response;
}, error => {
  if (error.response.status === 401 || error.response.status === 403) {
    router.push('/login'); // 跳转登录页
  }
  return Promise.reject(error);
});
```

---

### 验证测试
1. **Postman测试**:Token失效返回401状态码和JSON消息
2. **浏览器测试**:Ajax请求再触发页面重定向,控制台应看到401错误

### 补充建议
1. 如果使用JWT,建议改用`JWTFilter`替代默认的`authc`
2. 检查跨域配置(CORS),确保浏览器能正确接收响应头
3. 监控浏览器Network选项卡,确认实际响应的状态码和内容类型

通过以上配置,即可实现前后端统一的认证失败响应处理,避免302403状态码一致的问题。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值