Shiro拦截ajax请求
今天又发现了一个新的问题,Shiro的拦截器不能够拦截ajax请求,需要自定义一个拦截器来拦截ajax请求。
package com.ssi.domains.secutity;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.web.servlet.AdviceFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
* Created by jay.zhou on 2018/3/27.
* 用于拦截ajax请求
* 默认的Shiro配置文件中拦截规则对发送的ajax请求无效
* 因此必须自己做一个Shiro的过滤器
* 这样的话,ajax请求也会被Shiro拦截到
* 本类可以预见到未来将会被复用多次
* see:http://jinnianshilongnian.iteye.com/blog/2025656
*/
public final class AjaxFilter extends AdviceFilter {
private static final Logger LOGGER = LoggerFactory.getLogger(AjaxFilter.class);
/**
* 前处理,这里用于判断这此请求是不是ajax请求
*
*/
@Override
protected boolean preHandle(ServletRequest req, ServletResponse resp)
throws Exception {
HttpServletRequest request = (HttpServletRequest)req;
HttpServletResponse response = (HttpServletResponse)resp;
//获取请求头中的信息,ajax请求最大的特点就是请求头中多了 X-Requested-With 参数
String requestType = request.getHeader("X-Requested-With");
if("XMLHttpRequest".equals(requestType)){
LOGGER.info("本次请求是AJAX请求!");
//现在的用途就是判断当前用户是否被认证
//先获取到由Web容器管理的subject对象
Subject subject = SecurityUtils.getSubject();
//判断是否已经认证
boolean isAuthc = subject.isAuthenticated();
if(!isAuthc){
LOGGER.info("当前账户使用Shiro认证失败!");
//如果当前账户没有被认证,本次请求被驳回,ajax进入error的function中进行重定向到登录界面。
return false;
}
return true;
}else{
//如果请求类型不是ajax,那么此时requestType为null
LOGGER.info("非AJAX请求!");
}
//默认返回的是true,将本次请求继续执行下去
return super.preHandle(request, response);
}
/**
* 后处理,类似于AOP中的后置返回增强
* 在拦截器链执行完成后执行
* 一般用于记录时间。
*/
@Override
protected void postHandle(ServletRequest request, ServletResponse response)
throws Exception {
super.postHandle(request, response);
}
/**
* 最终处理,一定会执行的,一般用于释放资源。
* 先留着
*/
@Override
public void afterCompletion(ServletRequest request, ServletResponse response, Exception exception)
throws Exception {
super.afterCompletion(request, response, exception);
}
}
然后在配置文件中配置上我们的拦截器即可。
[filters]
#默认的Shiro配置,对发送的ajax请求无效,因此需要自己做一个拦截器
myAjaxFilter=com.ssi.domains.secutity.AjaxFilter
[urls]
#评论模块的操作需要登录
/actions/comment/**=myAjaxFilter,perms[comment]
希望能帮助你正在解决Shiro拦截不了ajax请求提供一个思路。
在网上好多同事在拦截器中返回了Json数据,原因是ajax请求里面的request和response对象是不支持转发或者重定向的。
我这里没有直接返回Json数据,直接拦截住这个请求,没有返回success属性,那么ajax请求将会进入error的function中,执行重定向到登录页面的操作。
如何判断一个请求是ajax请求。编写像下面的代码,从请求头中获取此参数信息。如果这个requestType的值是:XMLHttpRequest ,那么这个请求是ajax请求。
String requestType = request.getHeader("X-Requset-With");
上图为证明,本图右下角。
按浏览器F12,选中network,进入审查元素中,我们可以发现发送的accountLogin请求,是ajax请求。
在Request Headers 请求头中的相关信息中, X-Request-With 的值是 XMLHttpRequest。