使用shiro安全框架,当账号登录成功后,再开第二个窗口登录账号,发现登录成功后会继续跳转到登录页面
对shiro源码进行了调试,发现是AuthenticationFilter验证逻辑的问题:
1.它首先验证是否有允许访问页面(isAccessAllowed方法)。
2.在拒绝访问中(FormAuthenticationFilter的onAccessDenied方法)才会进行判断是否是登录提交(isLoginSubmission)。
因为已经登陆了一个用户所以isAccessAllowed直接返回为true,进入LoginController,找到匹配方法fail直接返回LOGIN_PAGE。
由于有权限访问该登录(其他)页面FormAuthenticationFilter.DEFAULT_ERROR_KEY_ATTRIBUTE_NAME没有值,返回为Null,所以在
keta-security中会跳转到login页面并且显示"登陆失败,其他错误!"。
@Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) { //针对一个浏览器只能登陆一个账号的BUG解决方法 //是否是登录地址 if (isLoginRequest(request, response)) { //是否是POST提交 if (isLoginSubmission(request, response)) { //继续身份验证 return false; } } return super.isAccessAllowed(request, response, mappedValue); }同一个浏览器可以多次登录,但是只显示最新登录信息,因为覆盖了之前登录的信息