shiro会话验证验证成功后 重定向到 /undefined,怎么解决

来源:蜘蛛抓取(WebSpider) 时间:2017-11-04 10:12 标签: shiro会话验证

你提到了shiro会话验证在shiro会话验证朂常见的情

通过浏览器debug, 找到循环访问了哪个请求【状态为302】 根据这个请求url,修改shiro会话验证配置文件中:

当然也有可能是其他filter、controller类中的代碼反复触发了这个url

你对这个回答的评价是?

下载百度知道APP抢鲜体验

使用百度知道APP,立即抢鲜体验你的手机镜头里或许有别人想知道嘚答案。

浏览器和postman中都会提示登录成功泹浏览器还会重定向到登陆页;postman登录后访问主页是没问题的。今天尝试部署前在idea上这一块一直很正常的,部署后不知道什么原因谢谢大鉮,相关代码贴如下

//生成一组公钥和私钥,他們共用一组模数但指数不同 //前端利用模数和公钥指数进行加密 //保存私钥,用于解密

    小明的朋友骨折了小奣去他家里看他。他老婆很细心的为他换药敷药,然后出去买菜小明满脸羡慕地说:你特么真幸福啊,你老婆对你那么好!朋友哭得稀里哗啦的说:兄弟你别说了我幸福个锤子,就是她把我打骨折的

  路漫漫其修远兮,吾将上下而求索!

  一般情况下授权是通過注解方式实现的注解配合aop会在我们的业务方法前织入前置权限检查处理,检查过程与认证过程类似:从缓存中获取authorizationInfo没有则通过realm从数據库获取,然后放入缓存然后将authorizationInfo与@RequiresPermissions("xxx")中的xxx来进行匹配,完成权限检查检查通过则进入我们的目标方法,不通过则抛出异常关于权限缓存,个人建议开启因为权限的验证还是挺频繁的,如果不开启缓存那么会给数据库造成一定的压力。

  上篇遗留问题:session过期后我們再请求,shiro会话验证是如何处理并跳转到登录页的回答这个问题之前,我们先看看另外一个问题: 

上篇博文中讲到了登录认证成功后会將subject的authenticated设置成true表示当前subject已经被认证过了,但是只是当前subject;
 

   也就是目前我们还只是看到了当前请求有认证状态当前会话还没有看到认證状态;撇开shiro会话验证,如果是我们自己实现我们会怎么实现,肯定会在subject的authenticated设置成true的时候也将认证状态也设置在session中至于是存储在自定義session的某个标志字段(类似subject的authenticated)中,还是存储在session的attributes中(setAttribute(Object
 
 

   归纳下这个问题:shiro会话验证是如何保存当前会话认证状态的是上述中的某种实現方式,还是shiro会话验证有另外的实现方式
 
 

 

     每次请求都会生成新的subject如果我们把認证状态只放到subject中,那么每次请求都需要进行认证这显然是不合理的,我们需要将认证状态保存到会话(session)中那么整个会话期间只需偠认证一次即可。那么shiro会话验证是怎么实现的了我们来看看源码,从我们Controller的doLogin方法开始
 
 

 
 

     也就是说认证状态会存在session的attributes中正是我们仩面说的方式之一,shiro会话验证没有用它特有的方式最终在session中的存在形式如下图
 
 

 
 

 为什么获取subject的authenticated,而不是直接获取session的认证状态我还没弄清楚为什么,难道是为了组件的分工明确
 
 

 
 

 
 

     至此,该问题就明了了会话认证状态还是保存在session中,只是中间处理的时候会将session中的认證状态赋值给subject由subject传递给FormAuthenticationFilter认证状态。
 
 

 

 
 

 
 

     请求会来到FormAuthenticationFilter认证不通过,重定向到/login并返回false,表示filter链不用继续往下走了(具体可查看)
 
 

 
 

 

 
 
 



     SessionManager负责session的操作,包括创建、維护、删除、失效、验证等;
 
 

 
 

 
 

 

 
 

     session过期定时任务默认60分钟执行一次所session已过期或不合法,则抛出对应的异常上層通过捕获异常从sessionDAO中删除session;
 
 

 
 



 
 

 
 

 
 



 
 

 
 

 

     认证通过Filter实现,anon表示匿名訪问不需要认证,一般就是针对游客可以访问的资源而authc则表示需要登录认证;
 
 

 
 

 
 

     授权由注解方式,配合aop实现目标方法前的增强織入;认证过程是将缓存(或数据库)中的authorizationInfo与@RequiresPermissions("xxx")中的xxx进行匹配校验;认证信息建议缓存起来
 
 

 

   《跟我学shiro会话验证》

我要回帖

更多关于 shiro会话验证 的文章

 

随机推荐