Spring Boot 2.X + Shiro 优雅解决 session 跨域问题

最新推荐文章于 2024-05-06 08:00:39 发布
最新推荐文章于 2024-05-06 08:00:39 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Shiro 跨域 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dreamcatcher_yxc/article/details/109018037
版权
spring 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
跨域
1 篇文章 0 订阅
订阅专栏
Shiro
0 篇文章 0 订阅
订阅专栏

一、跨域问题

web 开发中跨域问题是一个老生常谈的问题,根本原因是浏览器基于安全原因考虑对非同源的脚本操作和 ajax 访问进行了限制,介绍的文章网上有很多,这里不做赘述。

二、解决方案

跨域问题有多种解决方案,笔者认为最简单的办法的就是用 nginx 反向代理将不同源的静态站点和后端 rest 接口转换为同源,这样在浏览器端打开就不存在跨域问题了,当然这并不是接下来介绍的解决方案。

 Spring MVC 添加跨域配置支持,集成 Shiro,并且使用自定义的 SessionManager 替代容器自带的 Session 管理功能,主要代码如下:

package com.qiwen.base.config.shiro;

import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.session.Session;
import org.apache.shiro.session.mgt.SessionContext;
import org.apache.shiro.web.servlet.Cookie;
import org.apache.shiro.web.servlet.ShiroHttpServletRequest;
import org.apache.shiro.web.servlet.SimpleCookie;
import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;
import org.apache.shiro.web.util.WebUtils;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.Serializable;

/**
 * 扩展了 SessionId 保存逻辑
 */
@Slf4j
public class QWWebSessionManager extends DefaultWebSessionManager {

    /**
     * 保存新 sessionId 默认实现
     */
    public interface SessionIdManager {

        /**
         * 从请求中读取 sessionId 信息
         * @param sessionManager QWWebSessionManager 对象引用
         * @param request
         * @param response
         * @return
         */
        Serializable getSessionId(QWWebSessionManager sessionManager, ServletRequest request, ServletResponse response);

        /**
         * 保存 sessionId 到客户端
         * @param currentId 新创建的 sessionId,保证客户端能够获取到此值
         * @param realCookie 需要保存到客户端的 cookie 信息, 按照需求决定是否返回给客户端
         * @param request
         * @param response
         */
        void storeSessionId(Serializable currentId, Cookie realCookie, HttpServletRequest request, HttpServletResponse response);
    }

    private SessionIdManager sessionIdManager;

    public QWWebSessionManager() {

    }

    public QWWebSessionManager(SessionIdManager sessionIdManager) {
        this.sessionIdManager = sessionIdManager;
    }

    public SessionIdManager getSessionIdManager() {
        return sessionIdManager;
    }

    public void setSessionIdManager(SessionIdManager sessionIdManager) {
        this.sessionIdManager = sessionIdManager;
    }

    private void storeSessionId(Serializable currentId, HttpServletRequest request, HttpServletResponse response) {
        if (currentId == null) {
            String msg = "sessionId cannot be null when persisting for subsequent requests.";
            throw new IllegalArgumentException(msg);
        }
        // 不能调用 template.saveTo 方法保存 sessionId, 因为 template 是共享的,直接调用在多线程是不安全的
        Cookie template = getSessionIdCookie();
        Cookie cookie = new SimpleCookie(template);
        String idString = currentId.toString();
        cookie.setValue(idString);

        if(this.sessionIdManager != null) {
            sessionIdManager.storeSessionId(currentId, cookie, request, response);
        } else {
            cookie.saveTo(request, response);
        }

        log.trace("Set session ID cookie for session with id {}", idString);
    }

    @Override
    protected void onStart(Session session, SessionContext context) {
        if (!WebUtils.isHttp(context)) {
            log.debug("SessionContext argument is not HTTP compatible or does not have an HTTP request/response " +
                    "pair. No session ID cookie will be set.");
            return;

        }
        HttpServletRequest request = WebUtils.getHttpRequest(context);
        HttpServletResponse response = WebUtils.getHttpResponse(context);

        if (isSessionIdCookieEnabled()) {
            Serializable sessionId = session.getId();
            storeSessionId(sessionId, request, response);
        } else {
            log.debug("Session ID cookie is disabled.  No cookie has been set for new session with id {}", session.getId());
        }

        request.removeAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE);
        request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_IS_NEW, Boolean.TRUE);
    }

    public Serializable getReferencedSessionId(ServletRequest request, ServletResponse response) {
        return super.getSessionId(request, response);
    }

    @Override
    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {
        Serializable sessionId;

        if(this.sessionIdManager != null) {
            sessionId = this.sessionIdManager.getSessionId(this, request, response);

            if (sessionId != null) {
                request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, sessionId);
                //automatically mark it valid here.  If it is invalid, the
                //onUnknownSession method below will be invoked and we'll remove the attribute at that time.
                request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);
            }

            // always set rewrite flag - SHIRO-361
            request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, isSessionIdUrlRewritingEnabled());
        } else {
            sessionId = super.getSessionId(request, response);
        }

        return sessionId;
    }
}

上文的中的代码定义了 QWWebSessionManager.SessionIdManager 作为自定义 sessionId 读取和保存的逻辑扩展点,下面是一个 QWWebSessionManager.SessionIdManager 接口的示例实现,如下:

package com.qiwen.sms.config;

import cn.hutool.core.util.StrUtil;
import com.qiwen.base.config.shiro.QWWebSessionManager;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.session.mgt.DefaultSessionKey;
import org.apache.shiro.web.servlet.Cookie;
import org.apache.shiro.web.util.WebUtils;
import org.springframework.boot.web.servlet.ServletListenerRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSessionAttributeListener;
import javax.servlet.http.HttpSessionBindingEvent;
import java.io.Serializable;

@Slf4j
@Configuration
public class SmsBeanConfig {

    /**
     * 跨域配置
     */
    @Bean
    public WebMvcConfigurer crosConfigurer() {
        return new WebMvcConfigurer() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/sms/**")
                        .allowedOrigins("*")
                        .allowedMethods("GET", "POST", "DELETE", "PUT", "OPTIONS")
                        // 跨域预检测请求头, 默认允许所有请求头, 如果有特殊需求自定义配置
                        // .allowedHeaders("*")

                        // 允许的响应头,这里默认需要添加 set-custom-token 响应头,
                        // 以保证响应的 sessionId 不浏览器拦截
                        .exposedHeaders("set-custom-token")
                        .allowCredentials(true)
                        .maxAge(3600 * 30);
            }
        };
    }

    /**
     * 实现一个简单的 SessionIdManager
     */
    @Bean
    public QWWebSessionManager.SessionIdManager sessionIdManager() {
        return new QWWebSessionManager.SessionIdManager() {

            @Override
            public Serializable getSessionId(QWWebSessionManager sessionManager, ServletRequest request, ServletResponse response) {
                // getReferencedSessionId 表示使用原来的 sessionId 读取逻辑,如果不需要,可以删除以下的相关逻辑
                Serializable sessionId = sessionManager.getReferencedSessionId(request, response);

                if(sessionId != null) {
                    return sessionId;
                }

                HttpServletRequest httpServletRequest = WebUtils.toHttp(request);
                String token = httpServletRequest.getHeader("custom-token");

                if(StrUtil.isEmpty(token)) {
                    return token;
                }

                // 校验 token 是否有效,避免上传无效 token 导致 session 校验抛出异常
                if(sessionManager.isValid(new DefaultSessionKey(token))) {
                    return token;
                }

                return null;
            }

            @Override
            public void storeSessionId(Serializable currentId, Cookie realCookie, HttpServletRequest request, HttpServletResponse response) {

                // 调用此方法添加 Set-Cookie 响应头,如果前端访问后端接口都是跨域请求,
                // 则可以注释下面的代码
                 realCookie.saveTo(request, response);

                // currentId 则代表新创建的 sessionId,和 realCookie.getValue() 值一致。
                // 下面简单的为 response 设置 set-custom-token, 值为 currentId
                response.addHeader("set-custom-token", currentId.toString());
            }
        };
    }

}

Spring Boot + Shiro 配置网上有许多教程,大同小异,这里不做赘述,只要将使用 QWWebSessionManger 替换 DefaultWebSessionManger 即可。

以上配置可以实现使用 custom-token/set-custom-token 替换 cookie/set-cookie 的简单功能,上述配置完成之后,项目中其他地方使用 Session 的逻辑不需要做任何更改,也不用使用拦截器或者在自己的业务代码里面主动返回 sessionId 给前端。

下面提供了一个简单的示例:

后端代码

// 每次将 session 里面的 count 增加 1
@ResponseBody
@GetMapping("/sms/index2")
public String index2(HttpSession session) {
    Object count = session.getAttribute("count");
    if(count == null) {
        session.setAttribute("count", 1);
    } else {
        int intCount = (int) count;
        session.setAttribute("count", ++intCount);
    }
    return Result.ok().putData("count", session.getAttribute("count")).json();
}

前端全局处理 token 逻辑,使用了 jQuery 实现,如下:

<html>
    <head>
        <meta http-equiv="Content-Type" content="text/html;charset=UTF-8">
        <title>跨域测试</title>
        <script type="text/javascript" src="https://libs.cdnjs.net/vue/2.6.10/vue.js"></script>
        <script type="text/javascript" src="https://cdn.bootcss.com/jquery/2.1.1/jquery.js"></script>
        <style type="text/css">
            * {margin:0;padding:0;list-style:none}
        </style>
    </head>
    <body>
        <div id="app">
            <div style="text-align: center; padding-top: 20px;">
                <h1 style="text-align: center;">{{ count }}</h1>
                <button @click="sendRequest">click Me</button>
            </div>
        </div>
        <script type="text/javascript">
            $.ajaxSetup({
                // 用户没有发送 custom-token 头,就自动添加
                beforeSend: function(xhr, options) {
                    if(!options.headers || !options.headers['custom-token']) {
                        xhr.setRequestHeader('custom-token', localStorage.getItem('token-info'));
                    }
                },
                // 请求完成之后发现响应头里面有 set-custom-token,就直接存在 localStorage 里面。
                complete: function(xhr, status) {
                    token = xhr.getResponseHeader('set-custom-token');
                    if(!!token) {
                        localStorage.setItem('token-info', token);
                    }
                }
            });

            new Vue({
                el: '#app',
                data: {
                    url: 'http://localhost:8443/sms/index2',
                    count: -1
                },
                methods: {
                    sendRequest () {
                        $.getJSON(this.url, (data) => {
                            this.count = data.body.count;
                        });
                    }
                }
            })

        </script>
    </body>
</html>

源码地址参考:ShiroConfig.java,具体文档参看:后端文档#跨域配置支持

另外一个跨域的问题是图片验证码的问题,不跨域的情况下直接访问验证码地址浏览器能够自动附带 cookie 信息,但是跨域情况下此种方法会失效,解决办法使直接使用 xhr 访问图片地址,将后端返回的 blob 转换为 base64 data-url 的形式展示即可,或者是后端直接转换为 base64 返回给前端(适用于 jQuery,因为 jQuery 不支持读取 blob 类型)。

三、总结

网上有许多 Shiro 跨域 session 解决方案,但是 sessionId 保存至客户端这个步骤几乎都是下面两个方法:

  1. 使用拦截器,将 sessionId 读取出来返回给客户端
  2. 在业务代码中将 sessionId 读取出来返回给客户端

笔者觉得比较优雅的方式还是直接简单的扩展 Shiro DefaultWebSessionManger 读取和保存 sessionId,只要配置一处就能解决 session 跨域失效的问题。

并且在获取 sessionId 的时候几乎都没有做 sessionId 有效性校验,但是这样潜在的风险就是客户端上传了一个失效的 seesionId,服务器读取 sessionId 之后报错。

此方案解决的 session 跨域问题,不是 session 跨域共享问题,Session 跨域共享可以使用单点登录方式解决。

Dreamcatcher_yxc
关注
专栏目录
spring boot + shiro + mybtis + vue 遇到的跨域问题
ren762201592的专栏
09-24 441
部署方式 spring boot 单独部署在一个tomcat中 端口号8090 vue 单独部署在另外一个tomcat中端口号 80; 导致跨域问题 ,接口无法访问 解决方案:(可能仅仅适用于我目前的这种方式spring boot + shiro + mybtis + vue) 参考:https://blog.csdn.net/weixin_42364816/article/detail...
SpringBoot2.x+SpringSecurity集成及SpringSecurity实现Web系统权限认证系统实现
u011930054的博客
07-17 609
针对SpringSecurity就不进行介绍了,功能强大,与shiro一样都能实现权限系统实现。 这里先介绍一下实验项目的背景: 一、Web项目系统实现前后端分离,前端页面上按钮的CRUD,需要前端根据用户返回的权限属性实现按钮的可用或不可用(显示或不显示都可以)。 二、后端使用SpringSecurity实现接口API权限的判断,比如用户1请求了一个url:/hello 如果这个用户没有权限则后端系统直接返回json格式提醒权限不足。 三、用户的权限及菜单都是数据库中设置,系统动态判断权限。 先上一张数据
解决springboot实现跨域session共享问题
01-25
解决springboot实现跨域session共享问题,防止sql注入。可以更有效的解决token问题,欢迎下载,有问题可以再评论下方留言,及时解答!!加群:687942640
SpringBoot解决跨域访问及一致性Session问题
真正的大师,永远怀着一颗学徒的❤
04-24 5595
解决问题 前后端分离项目背景下,跨域访问及一致性session问题(是否同一用户)。 ps:以前做的项目都是前、后端部署在一个tomcat容器中,不会涉及到跨域访问以及一致性session问题。随着前后端分离架构的流行,前、后端部署在不同服务器等都会涉及到跨域等问题。 同源策略 同源策略是浏览器保证安全的基础,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页同...
springboot集成shiro+前端vue,前后端分离项目遇到跨域以及sessionid拿不到等问题
qq_50595984的博客
01-16 1480
近期在写前后端分离的项目,由于前后端分离导致原来使用的shiro配置无法满足现有系统要求。同时在前后端分离项目中存在的一些问题。例如,一些用户信息需要存储在后端方便进行安全性判断,但这些存储在后端的session前端却获取不到(特别奇怪),以及浏览器访问后端接口出现的跨域问题
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
主要介绍了前后端分离 vue+springboot 跨域 session+cookie失效问题的解决方法,解决过程也很简单 ,需要的朋友可以参考下
Spring boot + shiro + redis 实现session共享(伪单点登录)
学习编程的shou的博客
06-06 5938
    为实现Web应用的分布式集群部署,要解决登录session的统一。本文利用shiro做权限控制,redis做session存储,结合spring boot快速配置实现session共享。注意本文未解决跨域的问题。不过对于一般的情况能够很好的起到作用,具体已经在不同端口上进行了测试。    我们先从配置说起:1.引入相关依赖引入shiro相关的依赖还有Redis的依赖 ...
Spring Boot + Vue + Shiro 实现前后端分离,写得太好了!
最新发布
2401_84091580的博客
05-06 706
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
SpringBoot+MyBatisPlus+Redis+Jwt+Shiro+Vue 完整博客文章管理前后端实战
小青蛙的博客
07-04 2261
从零开始搭建一个项目骨架,最好选择合适,熟悉的技术,并且在未来易拓展,适合微服务化体系等。所以一般以Springboot作为我们的框架基础,这是离不开的了。 然后数据层,我们常用的是Mybatis,易上手,方便维护。但是单表操作比较困难,特别是添加字段或减少字段的时候,比较繁琐,所以这里我推荐使用Mybatis Plus,为简化开发而生,只需简单配置,即可快速进行 CRUD`操作,从而节省大量时间。...
跨域共享session (实现http跳转https 共享session
07-13
NULL 博文链接:https://justcoding.iteye.com/blog/747398
sso实现跨域登录实例,确实不错哦。
02-24
sso实现跨域登录实例,带源码实例VS2008实现。
springboot2.x解决session跨域问题
mantantan的博客
09-02 1074
springboot2.x使用session redis 前后端分离session跨域问题解决办法: https://blog.csdn.net/qq_37060233/article/details/86595102 https://www.cnblogs.com/hujinshui/p/11025848.html
后端(springboot解决跨域问题
热门推荐
哎幽的成长
05-08 5万+
首先我门要知道什么是跨域跨域是指 不同域名之间相互访问。跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。也就是如果在A网站中,我们希望使用Ajax来获得B网站中的特定内容 如果A网站与B网站不在同一个域中,那么就出现了跨域访问问题。什么是同一个域?同一协议,同一ip,同一端口,三同中有一不同就产生了跨域。前端解决跨域:前边也
关于SpringBoot跨域问题解决
weixin_48984179的博客
02-06 166
三种解决办法 1.添加@CrossOrigin @RestController @CrossOrigin //全部域名放行 @CrossOrigin("http:xxx//xxx/xxx/xxx") //指定域名放行 @RequestMapping("/roles") public class RoleController { @Autowired private RoleService roleService; @GetMapping public Res
Spring Boot如何彻底解决跨域问题,五种方案来看看吧
2301_77899321的博客
03-02 4023
Spring Boot项目中可以通过配置来解决跨域问题,在Spring Boot的配置类中添加一个跨域配置的Bean。
跨域请求 Shiro 自定义获取sessionId app或前端传值到服务端
c814684904的专栏
04-18 1265
springboot项目,登录和权限采用shiro管理。前端开发人员使用uni-app开发,无法把cookie 传递给后端, 导致请求接口失败。百度了一圈不知道怎么搞,最后终于在网上找到思路开始整改。 方式: 前端用问号传参方式传递sessionid 后端重写shiro获取sessionid方法 原来的 shiro配置DefaultWebSessionManager 如下: @Be...
shiro源码分析篇5:结合redis实现session跨域
samll leaf
10-22 1630
相信大家对session跨域也比较了解了。以前单台服务器session本地缓存就可以了,现在分布式后,session集中管理,那么用redis来管理是一个非常不错的选择。在结合redis做session缓存的时候,也遇到了很多坑,不过还算是解决了。和上篇讲述一样,实现自定义缓存,需要实现两个接口Cache,CachaManager。 RedisCache.javapackage com.share
SpringBoot是如何解决跨域问题的?
adru的博客
11-20 275
如下图,我们用过vs编写的前端代码在访问Springboot的端口的时候发现访问不到......浏览器处于安全考虑,使用XMLHTTPRequest对象发起HTTP请求实现遵守同源策略(即协议、域名、端口号要完全一致)。否则就是跨域的http请求,默认情况下是被进制的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值