RuoYi项目集成CAS后URL拦截排除问题解决方案

问题背景

在RuoYi项目的不分离版本中，当开发者按照官方文档集成CAS(中央认证服务)后，发现原本通过ShiroConfig配置或@Anonymous注解排除拦截的URL仍然被拦截。这是一个典型的权限控制与认证集成过程中出现的问题。

问题分析

经过排查，发现问题的根源在于请求路径长度。当URL路径过长时，即使按照官方文档配置了排除规则，CAS仍然会拦截这些请求。这主要是因为：

1. 路径匹配机制：Shiro和CAS的路径匹配对URL长度有一定限制
2. 配置优先级：在某些情况下，CAS的拦截规则会覆盖Shiro的配置
3. 注解处理顺序：@Anonymous注解可能在CAS拦截后才被处理

解决方案

方案一：缩短请求路径

最直接的解决方案是简化URL路径结构。通过缩短请求路径，可以确保Shiro和CAS的路径匹配机制正常工作。

实施步骤：

1. 检查项目中过长的URL路径
2. 重构控制器方法，使用更简洁的路径
3. 确保路径符合RESTful风格的最佳实践

方案二：通过配置文件排除

在ShiroConfig配置文件中明确指定需要排除的URL模式：

@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
    ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
    shiroFilterFactoryBean.setSecurityManager(securityManager);
    
    // 添加CAS过滤器
    Map<String, Filter> filters = new LinkedHashMap<>();
    filters.put("casFilter", casFilter());
    shiroFilterFactoryBean.setFilters(filters);
    
    // 设置过滤规则
    Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
    // 排除静态资源
    filterChainDefinitionMap.put("/static/**", "anon");
    // 排除特定API
    filterChainDefinitionMap.put("/api/public/**", "anon");
    // 其他请求走CAS过滤
    filterChainDefinitionMap.put("/**", "casFilter");
    
    shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
    return shiroFilterFactoryBean;
}

方案三：自定义过滤器

如果上述方法仍不能满足需求，可以考虑实现自定义过滤器：

public class CustomCasFilter extends CasFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        String requestURI = httpRequest.getRequestURI();
        
        // 添加自定义排除逻辑
        if (requestURI.startsWith("/exclude/") || requestURI.endsWith(".html")) {
            return true;
        }
        
        return super.isAccessAllowed(request, response, mappedValue);
    }
}

注意事项

1. 路径匹配规则：Shiro使用Ant风格的路径匹配，注意通配符的使用
2. 配置顺序：过滤链的定义顺序很重要，更具体的路径应该放在前面
3. 性能考虑：过多的排除规则会影响系统性能，应合理设计URL结构
4. 安全性考虑：确保不会意外排除需要保护的接口

最佳实践建议

1. 统一规划项目URL结构，避免过长路径
2. 对于公共API，建议集中放在特定路径下(如/public/)
3. 定期审查排除规则，确保没有安全隐患
4. 在测试环境充分验证排除规则的有效性
5. 考虑使用Swagger等工具文档化API路径，便于管理

通过以上方法，开发者可以有效地解决RuoYi项目集成CAS后的URL拦截排除问题，同时保证系统的安全性和可用性。