SpringBoot2.x整合Shiro出现Cors跨域问题

最新推荐文章于 2022-08-24 14:10:15 发布
最新推荐文章于 2022-08-24 14:10:15 发布
阅读量561 收藏
点赞数
分类专栏: Java学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrloserc/article/details/115084109
版权

1. Springboot如何跨域?

最简单的方法是:

定义一个配置CorsConfig类即可(是不是简单且无耦合到令人发指)

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
//import org.springframework.web.servlet.config.annotation.CorsRegistry;
//import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**  
 * @ClassName: CorsConfig
 * @Description: TODO(解决shiro过滤器在跨域处理之前失效)
 * 		也可以使用过滤器的方法
 * 
 * @author issuser
 * @date 2021-02-03 03:48:13 
 */
@Configuration
public class CorsConfig {
//	implements WebMvcConfigurer{
//
//	public void addCorsMapping(CorsRegistry registry) {
//		registry.addMapping("/**")
//		.allowedOrigins(new String[] { "*" })
//		 //设置是否允许跨域传cookie
//		.allowCredentials(true)
//		.allowedMethods(new String[] { "GET", "POST", "PUT", "DELETE", "OPTIONS" })
//		//设置缓存时间,减少重复响应
//		.maxAge(3600L).allowedHeaders("*").allowCredentials(true);
//	}

	private CorsConfiguration buildConfig() {
		CorsConfiguration corsConfiguration = new CorsConfiguration();
		//允许任何域名访问
		corsConfiguration.addAllowedOrigin("*");
		//允许任何header访问
		corsConfiguration.addAllowedHeader("*");
		//允许任何方法访问
		corsConfiguration.addAllowedMethod("*");
		corsConfiguration.setMaxAge(3600L);         // 预检请求的有效期,单位为秒。
        corsConfiguration.setAllowCredentials(true);// 是否支持安全证书(必需参数)
		return corsConfiguration;
	}
	
	@Bean
	public CorsFilter corsFilter() {
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		source.registerCorsConfiguration("/**", buildConfig());
		return new CorsFilter(source);
	}
}

不要用WebMvcConfigurerAdapter继承的方法了,因为已经过时了,Springboot2.0已经不推荐此方法

此处有一个比较坑的地方就是:

corsConfiguration.setMaxAge(3600L);         // 预检请求的有效期,单位为秒。
corsConfiguration.setAllowCredentials(true);// 是否支持安全证书(必需参数)

这两句务必要加上,不然无论前端怎么做,也无论后台你对shiro的过滤器怎么重写,response请求返回状态都是302。

网络上大家的代码都是copy来copy去,往往没有这2句,所以这个坑真是眼泪汪汪。

我注释掉的代码就是继承的webMvcConfigurerAdapter,换成新的代码后就解决了跨域的问题。

2、自定义ShiroFilter

 

import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang.StringUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.web.filter.authc.AuthenticatingFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.RequestMethod;

import com.dh.common.util.HttpContextUtils;
import com.google.gson.Gson;


/**  
 * @ClassName: OAuth2Filter
 * @Description: TODO(shiro的拦截器:需要认证的api被调用前执行的拦截器也叫过滤器)
 * @author issuser
 * @date 2021-01-29 04:39:43 
 */
public class OAuth2Filter extends AuthenticatingFilter{

	private final Logger log = LoggerFactory.getLogger(OAuth2Filter.class);
	/**  
	 * @Title: createToken
	 * @Description: TODO(描述)
	 * @param request
	 * @param response
	 * @return
	 * @throws Exception 
	 * @author issuser
	 * @date 2021-01-29 04:43:38 
	 */
	@Override
	protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) 
			throws Exception {
		String token = getRequestToken((HttpServletRequest)request);
		if(StringUtils.isBlank(token)) {
			return null;
		}
		return new OAuth2Token(token);
	}
	/**  
	 * @Title: isAccessAllowed
	 * @Description: TODO(解决OPTIONS请求跨域问题,如果是OPTIONS请求则放行)
	 * @param request
	 * @param response
	 * @param mappedValue
	 * @return 
	 * @author issuser
	 * @date 2021-02-03 02:42:39 
	 */
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue){
		if (((HttpServletRequest)request).getMethod().equals(RequestMethod.OPTIONS.name())) {
			System.out.println("CROS发送的OPTIONS请求,不带数据,放行!");
			return true;
		}
		return false;
	}
	
	/**  
	 * @Title: onAccessDenied
	 * @Description: TODO(鉴权失败)
	 * @param request
	 * @param response
	 * @return
	 * @throws Exception 
	 * @author issuser
	 * @date 2021-01-29 04:43:38 
	 */
	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) 
			throws Exception {
		String token = getRequestToken((HttpServletRequest)request);
		//判断token是否为空
		if(StringUtils.isBlank(token)) {
			HttpServletResponse httpResponse = (HttpServletResponse) response;
	        //是否允许浏览器携带用户身份信息(cookie)
			httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
	        // 允许哪些Origin发起跨域请求
			httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());
			
			Map<String, Object> map = new HashMap<>();
			map.put("401", "invalid(无效的) token");
			//令牌无效
			String json = new Gson().toJson(map);
			httpResponse.getWriter().print(json);
			
			return false;
		}
		return executeLogin(request, response);
	}
	
	/**  
	 * @Title: getRequestToken
	 * @Description: TODO(获取token)
	 * @param request
	 * @return String
	 * @throws
	 * @author issuser
	 * @date 2021-01-29 04:56:08 
	 */  
	private String getRequestToken(HttpServletRequest request) {
		String token = request.getHeader("ddkj_token");
		log.info("获取请求头中的Authorization属性!");
		if(StringUtils.isBlank(token)) {
			token = request.getParameter("ddkj_token");
		}
		return token;
	}

	/**  
	 * @Title: onLoginFailure
	 * @Description: TODO(登录失败)
	 * @param token
	 * @param e
	 * @param request
	 * @param response
	 * @return 
	 * @author issuser
	 * @date 2021-02-03 02:45:15 
	 */
	protected boolean onLoginFailure(AuthenticationToken token, 
			AuthenticationException e, ServletRequest request, ServletResponse response){
		HttpServletResponse httpResponse = (HttpServletResponse)response;
		httpResponse.setContentType("application/json;charset=utf-8");
		httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
		httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());
		try{
			Throwable throwable = e.getCause() == null ? e : e.getCause();
			Map<String, Object> map = new HashMap<>();
			map.put("401", throwable.getMessage());

			String json = new Gson().toJson(map);
			httpResponse.getWriter().print(json);
		}catch (IOException localIOException) {
		}
		return false;
	}

}

 

3、将shiro注入到spring容器中

/**  
 * @ClassName: ShiroConfig
 * @Description: TODO(集成shiro到spring容器中)
 * @author issuser
 * @date 2021-01-27 06:01:41 
 */
@Configuration
public class ShiroConfig {


	/**  
	 * @Title: sessionManagerr管理着Session的创建、操作以及清除等
	 * @Description: TODO(shiro-会话管理器  sessionManager)
	 * 
	 * Shiro提供的Session和Servlet中的Session其实是一样的作用,
	 * 只是Shiro中的Session不需要再依赖于WEB容器存在。
	 * Shiro中提供了基于内存和基于缓存的两种方式来存储Session
	 * 
	 * @return SessionManager
	 * @throws
	 * @author issuser
	 * @date 2021-01-28 09:55:13 
	 */  
	@Bean({"sessionManager"})
	public SessionManager sessionManager() {
		DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
		//manager.setCacheManager(cacheManager);// 加入缓存管理器
		//	    manager.setSessionFactory(shiroSessionFactory());//设置sessionFactory
		//	    manager.setSessionDAO(shiroSessionDao());// 设置SessionDao
		//	    manager.setDeleteInvalidSessions(true);// 删除过期的session
		//	    manager.setGlobalSessionTimeout(shiroSessionDao().getExpireTime());// 设置全局session超时时间

		sessionManager.setSessionValidationSchedulerEnabled(true); // 是否定时检查session
		sessionManager.setSessionIdCookieEnabled(true);
		return sessionManager;
	}

	/**  
	 * @Title: securityManager
	 * @Description: TODO(权限管理,配置主要是Realm的管理认证)
	 * @param sessionManager
	 * @return SecurityManager
	 * @throws
	 * @author issuser
	 * @date 2021-01-28 05:56:42 
	 */  
	@Bean({"securityManager"})
	public SecurityManager securityManager(OAuth2Realm oAuth2Realm, SessionManager sessionManager) {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		securityManager.setRealm(oAuth2Realm);
		securityManager.setSessionManager(sessionManager);

		return securityManager;
	}

	/**  
	 * @Title: shiroFilter
	 * @Description: TODO(Filter工厂,设置对应的过滤条件和跳转条件)
	 * @param securityManager
	 * @return ShiroFilterFactoryBean
	 * @throws
	 * @author issuser
	 * @date 2021-02-03 02:50:05 
	 */  
	@Bean({"shiroFilter"})
	public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
		shiroFilter.setSecurityManager(securityManager);

		Map<String, Filter> filters = new HashMap<>();
		filters.put("oauth2", new OAuth2Filter());
		shiroFilter.setFilters(filters);

		//登录
		//		shiroFilter.setLoginUrl("/login");
		//首页
		//		shiroFilter.setSuccessUrl("/index");
		//错误页面,认证不通过跳转
		//		shiroFilter.setUnauthorizedUrl("/error");
		Map<String, String> filterMap = new LinkedHashMap<>();
		// <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
		//默认的过滤器还有:anno、authc
		//配置不会被拦截的连接  顺序判断
		filterMap.put("/webjars/**", "anon");
		filterMap.put("/druid/**", "anon");
		filterMap.put("/app/**", "anon");
		filterMap.put("/sys/login", "anon");
		filterMap.put("/swagger/**", "anon");
		filterMap.put("/v2/api-docs", "anon");
		filterMap.put("/swagger-ui.html", "anon");
		filterMap.put("/swagger-resources/**", "anon");
		filterMap.put("/captcha.jpg", "anon");
		filterMap.put("/ddkjApi/**", "anon");
		filterMap.put("/chain/**", "anon");
		//主要这行代码必须放在所有权限设置的最后,不然会导致所有 url 都被拦截 剩余的都需要认证
		filterMap.put("/**", "oauth2");
		shiroFilter.setFilterChainDefinitionMap(filterMap);

		return shiroFilter;
	}

	@Bean({"lifecycleBeanPostProcessor"})
	public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
		return new LifecycleBeanPostProcessor();
	}

	/**  
	 * @Title: defaultAdvisorAutoProxyCreator
	 * @Description: TODO(利用注解配置权限)
	 * 
	 * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,
	 * 并在必要时进行安全逻辑验证
	 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
	 * 
	 * @return DefaultAdvisorAutoProxyCreator
	 * @throws
	 * @author issuser
	 * @date 2021-02-03 03:29:22 
	 */  
	@Bean
	public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
		DefaultAdvisorAutoProxyCreator proxyCreator = new DefaultAdvisorAutoProxyCreator();
		proxyCreator.setProxyTargetClass(true);
		return proxyCreator;
	}

	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
		AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
		advisor.setSecurityManager(securityManager);
		return advisor;
	}

 

参考文章:https://my.oschina.net/u/4397001/blog/3421625

springboot shiro vue造成的跨域问题
n009ww的博客
04-24 1616
复杂请求 造成复杂请求的原因就是在请求头部添加了token等信息,浏览器会认为是复杂请求。复杂请求的执行过程是有两步的,浏览器会提前发送一个探针请求(也叫预请求)到服务端,这个请求通过以后才会将真正的请求带着header的信息发送出去 预请求被拦截 预请求直接被shiro拦截了,所以真正的请求永远也到不了后台,这个就是问题的关键。此时需要...
springboot + shiro处理跨域问题
lmsnice的博客
11-18 783
跨域问题出现的原因:同源策略; 解决方法1、(局部解决跨域问题) 对于某一个请求,解决他的跨域问题,在对应的controller上添加一个注解,如下 @RestController @RequestMapping("movie") //@CrossOrigin(origins = "http://localhost", allowCredentials = "true") @CrossOrigin public class MovieController { @GetMapping("list")
springboot shiro 跨域问题
09-04 551
1.跨域的问题是浏览器的原因,允不允许跨域是服务端来决定的。 2.整个跨域请求,包括两个步骤,首先是浏览器发起跨域请求,即option,看看服务端的意思,如果不允许,那就算了,直接报跨域错误,如果允许,那就不客气了,第二步就发起真正的请求。 2.1完成第一步有三种方式 //1.局部允许 在Controller 的方法中使用 @CrossOrigin @CrossOrigin //允许跨域 @RequestMapping(value ="/getLabelContents.do",
SpringBoot+Shiro解决跨域问题
dwhhome的博客
03-21 5468
第一步: package com.guangjutx.config; import lombok.extern.slf4j.Slf4j; import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import ja...
Spring boot + shiro 跨域失效
江湖人称小程的博客
09-19 2928
Springboot 中解决跨域有好几种方式,比如: 使用 @CrossOrigin 注解 实现 WebMvcConfigurer,然后重写它的 addCorsMappings 方法。 这两种方式在 springboot 中都能解决跨域的问题,但是在整合shiro后,跨域就失效了。 原因是:shiro的过滤器会在跨域处理之前执行,这就导致未允许跨域的请求先到达shiro过滤器,这样就会出现...
关于springboot集成shiro后遇到的CORS跨域问题
LLittleF的博客
04-14 5279
废话不多说,先上解决办法,后边再说原理: 自定义MyFormAuthenticationFilter public class MyFormAuthenticationFilter extends FormAuthenticationFilter { /** * 在访问controller前判断是否登录,返回json,不进行重定向。 * @param request ...
项目演示:springboot整合shiro.zip
04-04
SpringBoot整合Shiro是一个常见的Java Web开发任务,用于实现用户认证和授权功能。SpringBoot以其简洁的配置和快速的启动时间受到广大开发者的喜爱,而Apache Shiro则是一个强大且易用的安全框架,能帮助开发者处理...
springboot整合shiroshiro实现跨域
最新发布
08-30
2. 自定义CORS过滤器:创建一个自定义的CORS过滤器,在该过滤器中设置允许的跨域资源共享规则。 ```java public class CorsFilter extends OncePerRequestFilter { @Override protected void doFilterInternal...
SpringBoot实现前后端分离的跨域访问(CORS
01-27
SpringBoot实现前后端分离的跨域访问(CORS)】 CORS,即Cross-Origin Resource Sharing,跨域资源共享,是一种允许浏览器从不同源加载资源的机制。在前后端分离的架构中,由于前端和后端可能部署在不同的域名下...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
通过以上步骤,我们可以构建出一个基于Springboot+Vue+Shiro的前后端分离应用,实现了权限控制,同时解决了跨域问题。这种架构不仅提高了开发效率,也使得前后端可以独立迭代,便于维护和扩展。
Spring Boot 项目中怎么解决跨域问题
MW
06-15 440
需要一个工具类 package com.kcbg.sportplay.util; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter
基于springboot2.0 下 shiro导致post请求跨域失败
qiulingxin的博客
09-17 957
1.首先我们需要配置一下跨域 import com.factory.utils.interceptor.AuthorizationInterceptor; import com.factory.utils.resolver.LoginUserHandlerMethodArgumentResolver; import org.springframework.beans.factory.anno...
springboot + jwt + shiro 导致跨域问题
人的生命周期还还没有代码的生命周期精彩
08-24 510
这是自己做个人博客所遇到的问题,简单记录一下。
Springboot项目Shiro整合ajax302跨域问题
LiFormJie的博客
02-22 1061
Shiro处理ajax跨域问题 A页面的ajax向后台请求发送后,Shiro会处理请求并重定向(authc,默认过滤器),此时后端向前端return数据时会发送到B页面上(即Shiro重定向页面)。A页面无法接收到返回数据则不会进行跳转(未响应) ps:一个域名的js在未经允许不得读取另一个域名的内容。但不阻止你向另一个域名发送请求 解决方案 此时将FormAuthenticationFilter...
跨域工具类配置
热门推荐
Django的博客
04-09 1万+
```java @Configuration public class DemoCorsFilter { @Bean public CorsFilter corsFilter() { final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); final CorsConfiguration config = new CorsConfiguration(); ...
SpringBoot2.0 + Shiro 跨域问题 踩坑记录
05-19 4457
最近一个项目用了gitee上“ruoyi”的Web框架(SpringBoot2.0 + Shiro + Mybatis)。给大家推荐一下,开源的洗剥干净的成品,可以直接拿过来进行二次开发,对于从未接触过Springboot而又想进行框架升级转型的项目来说,是个不错的选择! 进入正题,app端ajax跨域访问各种问题来了。 1. Springboot如何跨域? 最简单的方法是: 定义一个配置...
Apache Shiro框架在CORS跨域访问中遇到的问题及解决
全能程序员Tony
04-10 821
背景 最近做一个前后端分离的项目时,遇到了一系列跨域访问的相关问题,这里做一下总结,也希望能对遇到同样问题的同学有所帮助. 后端主要采用技术体系: SpringBoot 2.0.1.RELEASE Shiro 1.4.0 Spring Data JPA 2.0.6.RELEASE 前端采用技术体系: ReactJS Ant Design 问题 1. redirect问题 现象: 后端通过Shi...
Shiro过滤器导致的前端跨域
沐晨的博客
04-19 1451
问题背景 公司项目是前后端分离的,最近要求在请求时都要在请求头加入自定义的 token,在做接口调试时,前端总是请求不通,然而自己用 POSTMAN 等工具时都可以,这就出现了问题,也就是 复杂请求 的跨域问题。 问题分析 部分文段摘自 跨域资源共享 CORS 详解 复杂请求 浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple req...
springboot 整合shiro出现的跨域cors问题解决
王威振的博客
07-29 1406
如果你在后端配置好了跨域配置。还是不生效的。来到这里希望会帮到你! 其实想快速追踪到问题的话。就从打断点开始。 我的猜想是。shiro的过滤器过滤优先级>cors的过滤器,所以才导致的此类问题 结果,果然是这样(以下图片,是我调整后的。所以corsFiltershiroFilterFactoryBean之上) 所以要想解决这个问题,就要把cors的过滤器的优先级提升。 代码如下: @Bean public FilterRegistrationBean filterRe..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值