关于springboot集成shiro后遇到的CORS跨域问题

最新推荐文章于 2024-04-18 05:12:15 发布
最新推荐文章于 2024-04-18 05:12:15 发布
阅读量5.2k 收藏 8
点赞数 5
分类专栏: 程序员 java springboot 文章标签: springboot shiro cors 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LLittleF/article/details/89298588
版权
java 同时被 3 个专栏收录
29 篇文章 0 订阅
订阅专栏
程序员
20 篇文章 1 订阅
订阅专栏
springboot
8 篇文章 0 订阅
订阅专栏

废话不多说,先上解决办法,后边再说原理:

自定义MyFormAuthenticationFilter

public class MyFormAuthenticationFilter extends FormAuthenticationFilter {
    /**
     * 在访问controller前判断是否登录,返回json,不进行重定向。
     * @param request
     * @param response
     * @return true-继续往下执行,false-该filter过滤器已经处理,不继续执行其他过滤器
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        if (isAjax(request)) {
            httpServletResponse.setCharacterEncoding("UTF-8");
            httpServletResponse.setContentType("application/json");
            //解决一下跨域问题
            httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");
            httpServletResponse.setHeader("Access-Control-Allow-Methods", "*");
            httpServletResponse.setHeader("Access-Control-Max-Age", "0");
            httpServletResponse.setHeader("Access-Control-Allow-Headers", "Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,userId,token");
            httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
            httpServletResponse.setHeader("XDomainRequestAllowed","1");
            httpServletResponse.getWriter().write(BaseRestfulResult.needLogin().toJsonString());
            httpServletResponse.getWriter().flush();
            httpServletResponse.getWriter().close();
        } else {
            //saveRequestAndRedirectToLogin(request, response);
            /**
             * @Mark 非ajax请求重定向为登录页面
             */
            httpServletResponse.sendRedirect("/login");
        }
        return false;
    }

	//解决OPTIONS请求跨域问题
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if (request instanceof HttpServletRequest) {
            if (((HttpServletRequest) request).getMethod().toUpperCase().equals("OPTIONS")) {
                return true;
            }
        }
        return super.isAccessAllowed(request, response, mappedValue);
    }


    private boolean isAjax(ServletRequest request){
        String header = ((HttpServletRequest) request).getHeader("X-Requested-With");
        if("XMLHttpRequest".equalsIgnoreCase(header)){
            return Boolean.TRUE;
       }
       return Boolean.FALSE;
        return true;
    }
}

注意上边的isAccessAllowed()方法和onAccessDenied()方法中的几行httpServletResponse.setHeader(“xx”, “xxx”);,这两个地方是关键。
最后别忘了在config类中注册一下
shiroFilterFactoryBean.getFilters().put(“authc”, new MyFormAuthenticationFilter());
大功告成~

以下是原理

最近在用springboot写前后端分离项目的时候, 用postman测试接口没问题,但丢给前端测试的时候返回了跨域问题:
在这里插入图片描述
这就很奇怪,所有的controller上我都加了@CrossOrigin注解,为什么还会有跨域问题呢?

这里有个需要注意的地方: xx has been blocked by CORS policy
这个CORS是个什么东西呢?简单说是一种资源共享机制。当浏览器发起ajax请求的时候,会先发起一个method为OPTIONS的请求, 这个请求我们可以简单理解为一个探路请求, 该请求不携带信息, 只是为了测试一下目标服务器是否支持跨域,如果支持跨域的话,再发出后续的请求。
在这里插入图片描述
通过chrome控制台可以看出, 当我们尝试调用listByAdmin接口的时候,发出了一个OPTIONS请求,该请求返回200后,浏览器又发起了一个一模一样的请求,后边这个请求才是真正的请求,当然这是正常的情况。
问题就出在这个OPTIONS请求上, 因为我的项目是完全前后端分离的,前端请求的时候会在http header上携带token,后端利用token鉴权。然而OPTIONS请求(‘OPTIONS请求’这个叫法可能不准确,各位理解我说的是啥就行)默认是不携带token信息的,后端没有收到token,导致鉴权失败。

但是鉴权失败为什么报鉴权问题,反而报了个跨域问题呢?
先看一下一开始我是怎么处理鉴权失败的

public class MyFormAuthenticationFilter extends FormAuthenticationFilter {
   @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        if (isAjax(request)) {
            httpServletResponse.setCharacterEncoding("UTF-8");
            httpServletResponse.setContentType("application/json")//返回给前端鉴权失败的信息
            httpServletResponse.getWriter().write(BaseRestfulResult.needLogin().toJsonString());	
            httpServletResponse.getWriter().flush();
            httpServletResponse.getWriter().close();
        } else {
            //saveRequestAndRedirectToLogin(request, response);
            /**
             * @Mark 非ajax请求重定向为登录页面
             */
            httpServletResponse.sendRedirect("/login");
        }
        return false;
    }
    }

首先判断是否ajax请求,如果是的话,将鉴权失败的信息返回给前端。 这个地方没有设置允许跨域的header,所以前端就出现了跨域问题。

解决之后的源码:

public class MyFormAuthenticationFilter extends FormAuthenticationFilter {
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws IOException {
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        if (isAjax(request)) {
            httpServletResponse.setCharacterEncoding("UTF-8");
            httpServletResponse.setContentType("application/json");
            //解决一下跨域问题
            httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");
            httpServletResponse.setHeader("Access-Control-Allow-Methods", "*");
            httpServletResponse.setHeader("Access-Control-Max-Age", "0");
            httpServletResponse.setHeader("Access-Control-Allow-Headers", "Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,userId,token");
            httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
            httpServletResponse.setHeader("XDomainRequestAllowed","1");
            httpServletResponse.getWriter().write(BaseRestfulResult.needLogin().toJsonString());
            httpServletResponse.getWriter().flush();
            httpServletResponse.getWriter().close();
        } else {
            //saveRequestAndRedirectToLogin(request, response);
            /**
             * @Mark 非ajax请求重定向为登录页面
             */
            httpServletResponse.sendRedirect("/login");
        }
        return false;
    }

当然,最佳的解决方案是针对OPTIONS请求单独处理以下

   @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if (request instanceof HttpServletRequest) {
            if (((HttpServletRequest) request).getMethod().toUpperCase().equals("OPTIONS")) {
                return true;
            }
        }
        return super.isAccessAllowed(request, response, mappedValue);
    }
傲娇的鲤鱼
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
Springboot集成shiro,登录重定向跨域问题
Lee的博客
04-08 632
现在核心问题,当登录失效之后就不返回状态码302,而是直接调用退出登录接口,这样也能达到重新登录的目的。后来思考了下,跨域是重定向和父页面不同的地址出现的,这个时候在后端怎么配置其实已经没有用了。:判断用户是否登录,如果登陆了直接返回了,如果没有登录就会执行第二个方法。的源码如何来判断用户登录过期的,并且返回302重定向到新接口的。从这里可以看出,如果我们想自己定义返回值的话就要重写这两个方法。这个问题在网上找了很多解决的办法都是通过解决跨域,比如使用注解。项目采用了前后端分离的结构,前端使用的是。
java解决请求跨域的两种方法
08-25
主要为大家详细介绍了java解决请求跨域的两种方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Spring Boot 解决跨域问题的 3 种方案
最新发布
2401_83817439的博客
04-18 944
引领完成Docker的安装、部署、管理和扩展,让其经历从测试到生产的整个开发生命周期,深入了解Docker适用于什么场景。并且这本Docker的学习权威指南介绍了其组件的基础知识,然后用Docker构建容器和服务来完成各种任务:利用Docker为新项目建立测试环境,演示如何使用持续集成的工作流集成Docker,如何构建应用程序服务和平台,如何使用Docker的API,如何扩展Docker。
springboot(shiro)+vue(axios)跨域问题记录
王小禾
10-31 1099
1. 通用设置 一旦前后端分离,就涉及到跨域问题(域名、端口、协议(http或https等)其一不一样就是跨域)。 在涉及到跨域问题时,浏览器发送请求前,会优先发送一个OPTION请求。 所以,对于springboot项目,只需要自定义一下web过滤器即可。 /** * 解决跨域问题 */ @Configuration public class WebConfig extends WebMvc...
跨域请求
小李的专栏
06-19 947
最近项目用到跨域登录请求并跳转,其实实际上用到的就是重定向和转发。 本来的基础知识,现在感觉很陌生,实现了功能,也加深了重定向和转发的理解。 javaweb实现跳转在前端和后端都可以实现。 前端使用window.location=url 后端使用response.senRedirect ,request.getRequestDispatcher().forward()。 重定向 response.senRedirect 属于重定向,不仅可以重定向到当前应用程序中的其他资源,还可以重定向到同一个站点上的其
用ajax请求,在后台使用Response.sendRedirect(“XXX”)重定向无效
Lemon_MY的博客
07-21 2322
问题: 今天发现,当使用Ajax请求时,如果后台进行重定向到其他页面时是无法成功的,只能在浏览器地址栏输入才能够实现重定向。 原因: Ajax默认就是不支持重定向的,它是局部刷新,不重新加载页面。 ...
彻底解决Shiro跨域访问(简单http请求或复杂http请求)
fycghy0803的专栏
05-30 6005
由于shiro使用redirect进行url的跳转,在遇到前端界面与后台业务处理不在一个域名下时,会遇到跨域问题,我们在使用springBoot时,一般会增加一个configuration类的问题允许进行跨跨请求,代码如下所示: @Configuration public class WebConfig extends DefaultWebMvcConfig { @Override ...
SpringBoot实现前后端分离的跨域访问(CORS
01-27
CORS实现跨域访问并不是一蹴而就的,需要借助浏览器的支持,从原理题图我们可以清楚看到,简单的请求(通常指GET/POST/HEAD方式,并没有去增加额外的请求头信息)直接创建了跨域请求的XHR对象,而复杂的请求则要求先...
SpringBoot整合Shiro
08-15
2. **跨域设置**:由于前后端部署在不同域下,需要配置CORS策略,允许前端访问后端API。 3. **状态管理**:前端使用Vuex或Redux等状态管理工具,管理登录状态、令牌等。 4. **安全性**:前端使用HTTPS保证通信安全...
项目演示:springboot整合shiro.zip
04-04
SpringBoot以其简洁的配置和快速的启动时间受到广大开发者的喜爱,而Apache Shiro则是一个强大且易用的安全框架,能帮助开发者处理用户登录、权限控制等问题。下面我们将详细探讨如何将这两者结合起来。 1. **...
SpringBoot整合Shiro,实现从数据库加载权限、权限的动态更新、Session共享
01-28
例如,对于前后端分离的应用,可以设置CORS策略,确保Shiro能正确处理跨域请求。 总结,SpringBootShiro的整合能为我们的Java应用带来强大的安全性保障。通过合理配置,我们可以实现从数据库加载权限,权限动态...
SpringBootShiro整合-权限管理的简单权限系统.zip
02-24
在实际应用中,可能还需要考虑其他高级功能,如记住我功能、CORS跨域处理、Session管理等。同时,为了提供更好的用户体验,可以结合前端框架如Vue.js或React.js,实现前后端分离的权限管理。 总之,SpringBoot与...
springboot+shiro跨域解决方案
技术交流,共同进步
08-03 1364
1.springboot跨域解决 添加配置以下配置即可解决 @Configuration public class CorsConfig implements WebMvcConfigurer { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMa
Java_常瑞鹏 Java Web HttpServletRequest
ddmkmbdq307072的博客
10-26 198
HttpServletRequest对象代表客户端的请求,当客户端通过HTTP协议访问服务器时,HTTP请求头中的所有信息都封装在这个对象中,开发人员通过这个对象的方法,可以获得客户这些信息。 request常用方法 获得客户机信息 •getRequestURL方法返回客户端发出请求时的完整URL。 •getRequestURI方法返回请求行...
springbootshiro跨域CORS请求,拿不到headers中的token值解决
热门推荐
一勺菠萝丶的博客
01-04 1万+
项目背景: 最近在做一个后台用Spring boot、Shiro、Mybatis plus 、Oauth2,前台用layui的项目.前端在调后台接口的时候需要在浏览器中的headers头中添加token和userId的值(根据业务不同可能传值不一样),后台有一个过滤器,获取到headers中的token和userId,并去验证token是否在有效期内,在进行其他操作,在这个过程中,shiro的过...
解决前后端分离shiro跨域问题
weixin_44967580的博客
03-31 1745
问题描述 在前后端分离整合shiro框架时,我发现shiro中的Subject主体只能在第一次访问时候拿到,甚至AuthenticationInfo认证完之后AuthorizationInfo授权不能通过 原因分析: 跨域时会先发送一个OPTIONS(预请求),这个预请求是不带AuthorizationInfo的,所以不能授权 解决方案: public class MyHttpAuthenticationFilter extends BasicHttpAuthenticationFilter {
前后端分离时后端shiro权限认证
weixin_43160956的博客
12-28 3767
参考https://my.oschina.net/sprouting/blog/3059282 简述: shiro是根据sessionID来识别是不是同一个request,但如果前后分离的话,就会出现跨域的问题,session很可能就会发生变化,这样就需要用一个标记来表明是同一个请求 1.shiro有三大组件 1.1 Subject 代表当前与程序进行交互的使用者 1.2 SecurityMana...
Springboot + Vue + shiro 实现前后端分离、权限控制
油墨香^-^的博客
05-13 2614
一、前后端分离思想 前端从后端剥离,形成一个前端工程,前端只利用Json来和后端进行交互,后端不返回页面,只返回Json数据。前后端之间完全通过public API约定。 二、后端 Springboot Springboot就不再赘述了,Controller层返回Json数据。 @RequestMapping(value="/add",method=RequestMethod.POST) @ResponseBody publicJSONResultaddClient(...
shiro 前后端分离跨域问题
web15536243458的博客
08-24 472
但是由于跨域的问题,浏览器是禁止的,这个时候你会在返回的header浏览器的setcookie 那个属性那边看到一个黄色的警告,这代表跨域问题还在,所以浏览器不会让你携带上后端返回的cookie里的jssessionid,这个配置的意思就是,后端shiro认证成功后,返回的sessionId在浏览器里,会被浏览器自动的添加到header里携带。最后我发现由于是开发环境,我前端的域名有问题,用127.0.0.1访问,才能免去跨域的问题。axios 是下面这样配置的。
springboot整合shiroshiro实现跨域
08-30
要在Spring Boot中实现Shiro跨域功能,可以遵循以下步骤: 1. 配置ShiroFilterFactoryBean:在您的Shiro配置类中,使用`ShiroFilterFactoryBean`来配置Shiro的过滤器链。在这个配置中,您可以添加一个`cors`过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值