Shiro拦截ajax请求

        今天又发现了一个新的问题,Shiro的拦截器不能够拦截ajax请求,需要自定义一个拦截器来拦截ajax请求。

package com.ssi.domains.secutity;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.servlet.AdviceFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * Created by jay.zhou on 2018/3/27.
 * 用于拦截ajax请求
 * 默认的Shiro配置文件中拦截规则对发送的ajax请求无效
 * 因此必须自己做一个Shiro的过滤器
 * 这样的话,ajax请求也会被Shiro拦截到
 * 本类可以预见到未来将会被复用多次
 * see:http://jinnianshilongnian.iteye.com/blog/2025656
 */
public final class AjaxFilter extends AdviceFilter {
    private static final Logger LOGGER = LoggerFactory.getLogger(AjaxFilter.class);
    /**
     * 前处理,这里用于判断这此请求是不是ajax请求
     *
     */
    @Override
    protected boolean preHandle(ServletRequest req, ServletResponse resp) 
throws Exception {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)resp;
        //获取请求头中的信息,ajax请求最大的特点就是请求头中多了 X-Requested-With 参数
        String requestType = request.getHeader("X-Requested-With");
        if("XMLHttpRequest".equals(requestType)){
            LOGGER.info("本次请求是AJAX请求!");
            //现在的用途就是判断当前用户是否被认证
            //先获取到由Web容器管理的subject对象
            Subject subject = SecurityUtils.getSubject();
            //判断是否已经认证
            boolean isAuthc = subject.isAuthenticated();
            if(!isAuthc){
                LOGGER.info("当前账户使用Shiro认证失败!");
                //如果当前账户没有被认证,本次请求被驳回,ajax进入error的function中进行重定向到登录界面。
                return false;
            }
            return true;
        }else{
            //如果请求类型不是ajax,那么此时requestType为null
            LOGGER.info("非AJAX请求!");
        }
        //默认返回的是true,将本次请求继续执行下去
        return super.preHandle(request, response);
    }

    /**
     * 后处理,类似于AOP中的后置返回增强
     * 在拦截器链执行完成后执行
     * 一般用于记录时间。
     */
    @Override
    protected void postHandle(ServletRequest request, ServletResponse response) 
throws Exception {
        super.postHandle(request, response);
    }

    /**
     * 最终处理,一定会执行的,一般用于释放资源。
     * 先留着
     */
    @Override
    public void afterCompletion(ServletRequest request, ServletResponse response, Exception exception) 
throws Exception {
        super.afterCompletion(request, response, exception);
    }
}

        然后在配置文件中配置上我们的拦截器即可。

[filters]
#默认的Shiro配置,对发送的ajax请求无效,因此需要自己做一个拦截器
myAjaxFilter=com.ssi.domains.secutity.AjaxFilter

[urls]
#评论模块的操作需要登录
/actions/comment/**=myAjaxFilter,perms[comment]

        希望能帮助你正在解决Shiro拦截不了ajax请求提供一个思路。

        在网上好多同事在拦截器中返回了Json数据,原因是ajax请求里面的request和response对象是不支持转发或者重定向的。

        我这里没有直接返回Json数据,直接拦截住这个请求,没有返回success属性,那么ajax请求将会进入error的function中,执行重定向到登录页面的操作。

        如何判断一个请求是ajax请求。编写像下面的代码,从请求头中获取此参数信息。如果这个requestType的值是:XMLHttpRequest  ,那么这个请求是ajax请求。

String requestType = request.getHeader("X-Requset-With");

        上图为证明,本图右下角。

        按浏览器F12,选中network,进入审查元素中,我们可以发现发送的accountLogin请求,是ajax请求。

        在Request Headers 请求头中的相关信息中, X-Request-With 的值是  XMLHttpRequest。

 

 

 

 

posted @ 2022-07-17 12:16  小大宇  阅读(61)  评论(0编辑  收藏  举报