使用Shiro时的跨域问题探讨

最新推荐文章于 2024-08-17 14:07:10 发布
最新推荐文章于 2024-08-17 14:07:10 发布
阅读量968 收藏 4
点赞数
分类专栏: java 前端 文章标签: shiro cors 跨域 ajax axios
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Paul_1i/article/details/112603758
版权
java 同时被 2 个专栏收录
22 篇文章 0 订阅
订阅专栏
前端
6 篇文章 0 订阅
订阅专栏

使用Shiro时的跨域问题探讨

作者:木子六日

时间:2021年1月13日

本来真的不想说这个问题,我感觉自己还没百分百弄明白,不过操作层面差不多了,又碰到了,索性说一下。

前后端分离的项目,后端和前端基本上是不会在同一台机子的同一个端口上的,这个时候就跨域了。

简单说就是你的页面要发另一个请求,这个请求的去处不是页面本身的来处,这就算跨域。

解决办法

简单地解决跨域我在之前的博客里都有写过,这里再贴一下吧。

传统的办法就是往响应头里加一些东西允许跨域:

package com.interceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.servlet.HandlerInterceptor;

public class AllowCORS implements HandlerInterceptor{
	@Override
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {
		response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Content-Type,Access-Token,Authorization,ybg");
		return true;
	}
}

这是SpringMVC拦截器的做法,其实也可以写一个filter。

SpringBoot的办法要更简单一些:

package com.ljj.SpringBootLog.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class CORSConfigurer implements WebMvcConfigurer {

	@Override
	public void addCorsMappings(CorsRegistry registry) {
		registry.addMapping("/**").allowedOrigins("*").allowCredentials(true)
				.allowedMethods("GET", "POST", "DELETE", "PUT").maxAge(3600);
	}
}

会话保持

没错这就是我今天想说的。

ajax请求默认是不让带cookie的。如果我们希望带cookie,以axios为例:

import axios from 'axios'

export function request(config) {
	const instance = axios.create({
		baseURL: 'http://test',
		withCredentials: true
	})
	return instance(config)
}

我们就要加上这个withCredentials.

代码层面前端配这么一个东西就行了。

我们接着看后端,以SpringBoot为例:

package com.ljj.kongzi.config;


import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
/**
 * CORS配置,允许跨域访问
 * @author muziliuri
 *
 */
@Configuration
public class CorsConfig implements WebMvcConfigurer{
	@Override
	public void addCorsMappings(CorsRegistry registry) {
		registry.addMapping("/**").allowedOrigins("http://localhost:8080").allowCredentials(true)
		.allowedMethods("GET", "POST", "DELETE", "PUT","HEAD","OPTIONS").maxAge(3600);
	}
}

origin处不能再写*了,必须写成具体的,就是你的前端服务的主机名端口号。

在开发过程中写成localhost就行了,即使后端的服务是在别的机子上也没关系

但是如果前后端的服务无法在同一台机子上,还会出现一个问题,就是你的浏览器认为这是不安全的。

  • Firefox是允许的;
  • Chrome是不允许的,输入chrome://flags,然后搜索samesite by default cookies,把那两项都disable了就行了。

最后部署前端服务的时候记得布到和后台一个机子上就行。

跨域时Shiro的重定向问题

上面的做法并不能保证万无一失,一旦会话断开,仍还会产生跨域问题。

为什么呢?我们知道Shiro在认证失败的时候会做重定向,前后端分离的时候一般是自定义一段json返回。

//认证失败
Map<String, Filter> filters=new HashMap<>();
filters.put("authc", new MyUserFilter());
shiroFilterFactoryBean.setFilters(filters);

其中MyUserFilter是我自定义的Filter:

package com.ljj.kongzi.shiro.filters;

import java.io.IOException;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;

import org.apache.shiro.web.filter.authc.UserFilter;

import com.ljj.kongzi.common.Response;

public class MyUserFilter extends UserFilter{
	@Override
	protected void redirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
		HttpServletResponse resp = (HttpServletResponse) response;
        resp.setContentType("application/json;charset=utf-8");
		Response jsonResponse = new Response(600, "Please login first.", null);
		response.getWriter().write(jsonResponse.toJson());
	}

}

但是我发现只要代码过这儿,浏览器那边就一定会报跨域的错。

经过我的实验response的请求头里面并没有CorsConfig里面配置的信息,也就是说没有Access-Control-Allow-Origin这些。

也就是说对于shiro认证失败的请求,SpringBoot的CORS配置无效。

那只能手动配一下了:

package com.ljj.kongzi.shiro.filters;

import java.io.IOException;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;

import org.apache.shiro.web.filter.authc.UserFilter;

import com.ljj.kongzi.common.Response;

public class MyUserFilter extends UserFilter{
	@Override
	protected void redirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
		HttpServletResponse resp = (HttpServletResponse) response;
		resp.setHeader("Access-Control-Allow-Origin", "http://localhost:8080");
		resp.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT, HEAD");
        resp.setHeader("Access-Control-Max-Age", "3600");
        resp.setHeader("Access-Control-Allow-Headers", "Content-Type,Access-Token,Authorization,ybg");
        resp.setHeader("Access-Control-Allow-Credentials", "true");
        resp.setContentType("application/json;charset=utf-8");
		Response jsonResponse = new Response(600, "Please login first.", null);
		response.getWriter().write(jsonResponse.toJson());
	}

}

这样一来就没问题了。

跨域问题处理
weixin_68983685的博客
07-13 317
跨域
shiro_tool.zip
11-18
3. **会话管理**:Shiro可以帮助我们管理用户的会话,比如会话超跨域会话共享等。 4. **加密**:提供各种加密工具,如MD5、AES等,用于密码存储或数据保护。 Shiro的特点: 1. **简单易用**:Shiro API设计直观...
js+jsp+json+tomcat跨域访问
02-01
本demo为通过jquery 来进行json的跨域访问的小例子。简单易懂!
vue+springboot前端请求后端接口跨域问题
聆听
10-21 1220
package com.wjj.config; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration publi.
springboot+shiro前后端分离过程中跨域问题、sessionId问题、302鉴权失败问题
最新发布
DN金猿的博客
08-17 185
2、sessionId问题,因前后端分离无法使用cookie,所以修改为登陆校验后返回sessionId给前端,前端拿到sessionId后放在请求头中,后端重写 DefaultWebSessionManager 中的 getSessionId 方法,从请求头中获取对应的sessionId。前端调用后台接口后,发现没有鉴权的请求,直接302错误,并没有对应的返回值,所以下面针对302问题进行解决。此文为我在改造springboot+shiro整合适用前后端分离项目中的记录,如果有错误的地方,还请及指出。
SpringBoot 配置跨域
一个95后开发者,热爱编程,喜欢玩游戏. 希望可以结识更多的小伙伴...
06-29 192
Springcloud gateway 跨域解决方案
爱吃肉的洋
05-10 1039
Springcloud gateway 跨域解决方案 将传统的多个springboot 改造成 微服务的过程中,前端请求提示跨域,因为前端统一请求gateway网关,再由网关进行分发请求,所以我们在gateway网关服务做跨域策略就可以了; spring: cloud: gateway: # 全局的跨域配置 globalcors: # 解决options请求被拦截问题 add-to-simple-url-handler-mapping:
PHP关于IE下的iframe跨域导致session丢失问题解决方法
12-19
此外,描述中还提到这个问题可能与登录页面使用JavaScript的location跳转有关,但未进一步测试和研究。这暗示着,可能在某些情况下,由于JavaScript的限制或者IE对跨域Cookie的处理方式,导致了Session无法正常工作...
Apache Shiro教程
12-30
在本文中,我们将详细探讨Shiro的核心概念、主要功能和常见用法。 1. **核心概念** - **身份验证(Authentication)**:确认用户的身份,即验证用户提供的凭证(如用户名和密码)是否正确。 - **授权...
shiro
04-30
从给定的标签"源码"和"工具"来看,我们将深入探讨 Shiro 的源码架构以及它在实际开发中的应用。 **Shiro 框架的核心组件** 1. **身份认证(Authentication)**:这是验证用户身份的过程,确保登录的用户确实是他们...
shiro实现单点登录(一个用户同一刻只能在一个地方登录)
09-01
在本文中,我们将深入探讨如何使用 Shiro 实现单点登录(Single Sign-On, SSO),确保一个用户在同一刻只能在一个地方登录。 单点登录是一种常见的安全机制,它允许用户在一次登录后访问多个相互关联的应用系统,...
JSP使用ajaxFileUpload.js实现跨域问题
01-08
废话不多说了,直接给大家贴代码了。 jsp代码如下 $.ajaxFileUpload ( { url:'http://lh.abc.com:8080/gap/gap/fileUpload.do',//用于文件上传的服务器端请求地址(本机为fxb.abc.com) secureuri:false,//一般设置为false fileElementId:'file',//文件上传空间的id属性 <input type=file id=file name=file /> dataType: 'jsonp',//返回值类型 一般设置为json jsonp: 'jsoncallback',
跨域问题&jspon解决
m0_65912225的博客
04-12 2453
什么是跨域?解决跨域的办法有哪些? 1.同源策略 是浏览器的安全策略,保证浏览器能够安全运行 要求网页的协议名、域名、端口号必须完全一致 2.跨域 违背了同源策略就会产生跨域 在开发的候会有不同服务器提供不同的需求,一个项目通常由不同服务器提供 3.解决跨域 jspon cors 服务器代理模式 等 jspon是需要前后台一起设置,cors和服务器代理只需要后台进行设置 4.jspon在前端中如何实现跨域 (1)创建script标签 var script = document.c
SpringBoot 网关gateway配置请求跨域3种方式
dj1955的博客
07-21 2481
CorsWebFilter和WebCorsConfig 网关配置全局统一跨域处理
解决Spring Boot跨域问题(配置JAVA类)
c__chong的博客
01-16 911
跨域问题指的是不同端口之间,使用 ajax 无法相互调用的问题。跨域问题本质是浏览器的一种保护机制,它是为了保证用户的安全,防止恶意网站窃取数据。比如前端用的端口号为8081,后端用的端口号为8080,后端想接收前端发送的数据就会出现跨域问题
浏览器跨域访问操作(用JSP实现)
m0_47575110的博客
11-07 1871
什么是跨域问题 在页面中使用js访问其他网站的数据,就会出现跨域问题,比如在网站中使用ajax请求其他网站的天气、快递或者其他数据接口,以及hybrid app中请求数据,浏览器会提 示一下错误: XMLHttpRequest cannot load http://你请求的域名. No ‘Access-Control-Allow-Origin’ header is present on the requested resource. Origin ‘http://当前页的域名’ is therefore
spring-boot,java 微服务,跨域配置
yuanbo_520的博客
10-30 228
只需要在启动类下面与run方法同级加上下面那串代码即可 public static void main(String[] args) { SpringApplication.run(ApplicationService.class, args); } @Override public void run(String... args) { } /** *解决访问跨域问题 */ @Bean @ConditionalO
JSP ajax跨域问题
Jc0803kevin的专栏
03-18 612
原因:CORS 头缺少 ('Access-Control-Allow-Origin')。 你写Ajax的是页面一,而请求的是页面二, 在页面二里面写header("Access-Control-Allow-Origin:*");即可。 //“*”号表示允许任何域向我们的服务端提交请求:  //也可以设置指定的域名,如域名 http://www.test2.com , //那么就允许来自这个
原创:JSP解决跨域问题
共享区域
07-31 4298
由于项目在FTL下的弹出层在本地能获取到数据,但是部署到WWW下无法获取到相应的数据,以及无权限进行操作。 解决方案:在FTL的弹出层下建立Ifram,里面嵌套需要获取参数的action方法,这样可以获取到相应的数据,最主要的是当用户输入完数据后,要进行提交操作。操作完成后,数据库里会有相应的数据,同当提交完提示“操作成功”,然后关闭ftl下的弹出层。这页面会提示“没有操作权限”: ...
springboot整合shiroshiro实现跨域
08-30
1. 配置ShiroFilterFactoryBean:在您的Shiro配置类中,使用`ShiroFilterFactoryBean`来配置Shiro的过滤器链。在这个配置中,您可以添加一个`cors`过滤器,并设置允许的跨域资源共享规则。 ```java @Bean public ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值