by emanjusaka from  https://www.emanjusaka.top/archives/11 彼岸花開可奈何
本文歡迎分享與聚合，全文轉載請留下原文地址。

Shiro許可權框架認證失敗預設是重定向頁面的，這對於前後端分離的專案及其不友好，可能會造成請求404的問題。現在我們自定義過濾器實現認證失敗返回json資料。

攔截器就是一道道的關卡，每一道關卡都有各自的職責。

實現思路

由於Shiro預設的過濾器認證失敗後是進行重定向操作的，所以我們考慮自定義過濾器重寫它的邏輯。

設定 Shiro 的 ShiroFilterFactoryBean攔截請求進行認證並設定自定義的攔截器。
實現自定義的攔截器，重寫認證失敗後的邏輯。

實現過程

設定 Shiro 的 ShiroFilterFactoryBean設定攔截請求進行認證

@Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> map = new LinkedHashMap<>();
        //登出
        map.put("/logout", "logout");
        // 登入
        map.put("/login","anon");
        //對所有使用者認證
        map.put("/**", "authc");
        Map<String, Filter> filterMap = new HashMap<>();
        // 自定義的攔截器
        filterMap.put("authc",new ShiroLoginFilter());
        shiroFilterFactoryBean.setFilters(filterMap);
        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);
        return shiroFilterFactoryBean;
    }

上面設定對登入介面進行了放行，對其他介面都要進行認證，這個可以根據自己的實際需要去設定。同時還要設定我們的自定義攔截器，攔截器Map 的key要和設定的認證authc一致，否則會不生效。

實現自定義的攔截器，重寫認證失敗後的邏輯。

package com.icms.shiro.filter;

import com.alibaba.fastjson.JSON;
import com.icms.enu.ExceptionCodeEnum;
import com.icms.exception.CustomException;
import com.icms.page.Result;
import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
import org.camunda.bpm.model.bpmn.impl.instance.From;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.PrintWriter;

/**
 * @Author emanjusaka
 * @Date 2023/10/25 14:42
 * @Version 1.0
 */
public class ShiroLoginFilter extends FormAuthenticationFilter {
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        httpResponse.setStatus(200);
        httpResponse.setContentType("application/json;charset=utf-8");
        //解決跨域問題
        if ("OPTIONS".equals(httpRequest.getMethod())){
            httpResponse.setStatus(HttpServletResponse.SC_NO_CONTENT);;
            return true;
        }
        httpResponse.getWriter().print(JSON.toJSONString(new Result(ExceptionCodeEnum.STATUS_CODE_NO_LOGIN)));
        httpResponse.getWriter().flush();
        httpResponse.getWriter().close();
        return false;
    }
}

這裡自定義攔截器繼承FormAuthenticationFilter 重寫了 onAccessDenied 方法。在onAccessDenied 方法中我們可以返回我們需要的 json 資料，也可以記錄紀錄檔執行我們自己的方法。這裡返回的資料是我自定義的Result 類，裡面包含了錯誤碼和錯誤資訊。

認證失敗是我們的業務邏輯的錯誤而不是網路請求的錯誤，所以我們把HTTP的狀態碼設定成了 200 ，通過我們自己定義的Result來返回實際的錯誤資訊。

注意：Shiro本身是沒有解決跨域問題的，我們要自己實現解決Shiro的跨域問題。

例如/user/getUserInfo介面，沒有設定過濾，就會被攔截，這個時候無論是在Controller上還是在介面實現上設定@CrossOrigin，都不會生效。這個時候需要做如下設定:

//解決跨域問題
        if ("OPTIONS".equals(httpRequest.getMethod())){
            httpResponse.setStatus(HttpServletResponse.SC_NO_CONTENT);
            return true;
        }

自己實現攔截器設定允許跨域也是可以的，這裡使用的上述的方法。

擴充套件知識

Shiro中的攔截器

authc攔截器：主要用於實現基於表單的身份驗證，它會攔截使用者登入表單提交的路徑，並在攔截器工廠中設定該路徑。此外，它負責建立登入認證所需的Token令牌，並觸發登入認證流程。如果使用者已經登入，那麼將直接進入要存取的路徑；如果使用者未登入，則存取會被拒絕，並自動跳轉到登入頁面。
authcBasic攔截器：主要用於實現基於HTTP基本認證的身份驗證。
logout攔截器：主要用於處理使用者的登出請求。
user攔截器：充當了整個安全管理器的入口，主要負責攔截需要安全控制的請求並進行處理。
anon攔截器：這種攔截器允許不需要登入就能存取的資源，通常用於靜態資源或者行動端介面。
roles攔截器：主要負責使用者的角色校驗。
perms攔截器和roles攔截器：這兩個攔截器主要與授權相關，用於處理使用者角色和許可權相關的請求。
port攔截器：它主要攔截網路請求，驗證使用者是否具有存取特定埠的許可權。
rest攔截器：用於在Web應用程式中對HTTP請求的請求方法（HTTP method）進行許可權過濾和控制。它的作用是限制使用者對某些HTTP請求方法的存取許可權，例如GET、POST、PUT、DELETE等。通過該過濾器，您可以根據需要來控制某些請求方法的存取許可權，並且可以根據不同的請求方法，對不同的使用者或使用者組進行特定的授權設定。
ssl攔截器：主要用於處理SSL協定相關的請求。
noSessionCreation攔截器：用於處理無狀態對談的過濾器。

public enum DefaultFilter{
  anno(AnonymousFilter.class),
  authc(FormAuthenticationFilter.class),
  authcBasic(BasicHttpAuthenticationFilter.class),
  logout(LogoutFilter.class),
  noSessionCreation(NoSessionCreationFilter.class),
  perms(PermissionsAuthorizationFilter.class),
  port(PortFilter.class),
  rest(HttpMethodPermissionFilter.class),
  roles(RolesAuthorizationFilter.class),
  ssl(SslFilter.class),
  user(UserFilter.class);
}

與身份驗證相關的攔截器

authc(FormAuthenticationFilter)

基於表單的攔截器；如「/**=authc」，如果沒有登入會跳轉到相應的登入頁面登入。
主要屬性：
usernameParam:表單提交的使用者名稱引數名(username)。
passwordParam:表單提交的密碼引數名(password)。
rememberMeParam:表單提交的記住我引數名(rememberMe)。
loginUrl:登入頁面地址(/login.jsp)。
successUrl:登入成功後的預設重定向地址。
failureKeyAttribute:登入失敗後錯誤資訊儲存Key(shiroLoginFailure)。
authcBasic(BasicHttpAuthenticationFilter)

Basic HTTP身份驗證攔截器，主要屬性：
applicationName:彈出登入框顯示的資訊(application)。
logout(LogoutFilter)

退出攔截器，主要屬性：
redirectUrl:退出成功後重定向的地址（/）。
範例：「/logout=logout」
user(UserFilter)

使用者攔截器，使用者已經身份驗證/記住我登入的都可。
範例：「/**=user」
anon(AnnonymousFilter)

匿名攔截器，即不需要登入即可存取，一般用於靜態資源過濾或者需要在登入之前進行的請求。
範例：「/static/**=anon」

與授權相關的攔截器

roles(RolesAuthorizationFilter)

角色授權攔截器，驗證使用者是否擁有所有角色。主要屬性：
loginUrl:登入頁面地址(/login.jsp)。
unauthorizedUrl:未授權後重定向的地址。
範例：「/admin/**=roles[admin]」
perms(PermissionsAuthorizationFilter)

許可權授權攔截器，驗證使用者是否擁有所有許可權，屬性和roles一樣。
範例：「/user/**=perms[「user:create」]」
port(PortFilter)

埠攔截器，主要屬性：
port(80):可以通過的埠。
範例：「/test=port[80]」，如果使用者存取該頁面是非80埠，將自動將埠改為80並重定向到該80埠，其他路徑/引數等都一樣。
rest(HttpMethodPermissionFilter)

rest風格攔截器，自動根據請求方法構建許可權字串(GET=read,POST=create,PUT=update,DELETE=delete,HEAD=read,TRACE=read,OPTIONS=read,MKCOL=create)構建許可權字串。
範例：「/users=rest[user]」，會自動拼出「user:read,user:create,user:update,user:delete」許可權字串進行許可權匹配（所有都得匹配，isPermittedAll）。
ssl(SslFilter)

SSL攔截器，只有請求協定是https才能通過，否則自動跳轉到https埠（443），其他和port攔截器一樣。

其他攔截器

noSessionCreation(NoSessionCreationFilter)

不建立對談攔截器，呼叫subject.getSession(false)不會有問題，但是如果subject.getSession(true)將丟擲異常。

本文原創，才疏學淺，如有紕漏，歡迎指正。如果本文對您有所幫助，歡迎點贊，並期待您的反饋交流，共同成長。
原文地址： https://www.emanjusaka.top/archives/11
微信公眾號：emanjusaka的程式設計棧