SpringMVC的Interceptor和Cors冲突

最新推荐文章于 2024-03-25 18:42:23 发布
最新推荐文章于 2024-03-25 18:42:23 发布
阅读量8.9k 收藏 7
点赞数 5
分类专栏: ♚java♚ 文章标签: cors spring interceptor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bingospunky/article/details/80136164
版权

转载请标明出处:
https://blog.csdn.net/bingospunky/article/details/80136164
本文出自马彬彬的博客

现象

项目中前后端分离部署,所以需要解决跨域的问题。
我们使用cookie存放用户登录的信息,在spring拦截器进行权限控制,当权限不符合时,直接返回给用户固定的json结果。
当用户登录以后,正常使用;当用户退出登录状态时,出现了跨域的现象。

跨域

我们处理跨域的方式是继承WebMvcConfigurerAdapter,添加Cors的支持,代码如下:

Code1 

@Configuration
public class WebMvcConfig extends WebMvcConfigurerAdapter {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**").allowedOrigins("*").allowedMethods("GET", "POST", "PUT", "OPTIONS", "DELETE", "PATCH").allowCredentials(true).maxAge(3600);
    }
}
用户权限

我们把用户登录的信息存放在cookie里,使用拦截器+注解的方式处理

当用户访问一个controller的方法时,会在拦截器里获取该方法的注解,通过注解判断该方法是否需要登录才能访问。如果需要登录才能访问的接口,获取cookie里的值,判断用户是否登录了,如果该用户没有登录,说明他没有访问该接口的权限,那么直接返回需要登录的信息给用户。代码如下:

Code2

@Configuration
public class WebMvcConfig extends WebMvcConfigurerAdapter {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new HandlerInterceptorAdapter() {
            @Override
            public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
                if (handler instanceof HandlerMethod) {
                    HandlerMethod mHandler = (HandlerMethod) handler;
                    String token = CookieUtil.getCookieValue(request, Cookies.USER_COOKIE);
                    //如果有用户cookie,尝试获取用户信息
                    ItBaseUser user = tryToLoadAccount(mHandler, request, token);
                    //如果要求做登录校验,检查信息是否正确
                    if (mHandler.hasMethodAnnotation(LoginRequired.class) && user == null) {
                        if (logger.isDebugEnabled())
                            logger.debug("[addCheckLoginInterceptor] Login required function without login message, token -> {}, url -> {}",
                                    token, request.getRequestURI());
                        response.setCharacterEncoding(StandardCharsets.UTF_8.name());
                        Response resp = BaseController.statusResponse(ResponseCode.NOT_LOGIN);
                        response.getOutputStream().write(GsonUtils.format(resp).getBytes());
                        return false;
                    }
                }
                return true;    //always true
            }
        });
    }
}

1.对于已经登录的用户,可以正常的使用。2.对于那么不需要登录的接口,也可以正常使用。3.对于需要登录的接口,如果用户没有登录,应该在Code2第19、20行进行处理,直接返回需要登录的json字符串。但是实际的情况是,浏览器遇到跨域问题。

情况1、2都可以使用,没有跨域问题,情况3有跨域问题,这说明是否明跨域和我们的业务相关了。

这是为什么呢?

原因

这里很明显会猜测应该是我们的权限拦截器和处理跨域的方式起了冲突。

cors实现跨域,就是在http的response里添加适当的header来实现的。那这部分功能在哪里呢?答案是在拦截器里。对于我们的代码,一共有4个拦截器,我们的权限拦截器在第一个位置,cors拦截器在第4个位置。当请求遇到Code2第14行代码返回true时,会直接给客户端返回值,并且在Code2第21行返回true。拦截器是责任链模式,第21行返回了true,后面的拦截器将不会再执行,所以cors拦截器不会被执行,header不会被赋值。我们在浏览器里就会出现跨域。

如何解决

调整拦截器顺序

首先想到的方法是改变拦截器的顺序,让cors拦截器在最前面。
很遗憾,这点做不到。
为什么做不到呢?
拦截器有这几种组成。1.我们自定义的拦截器,比如Code2第5行代码所添加的,这里添加的拦截器我们可以控制他们的顺序。2.ConversionServiceExposingInterceptorResourceUrlProviderExposingInterceptor,他们的顺序在我们自定义拦截器后面,代码在Code3。3.根据请求是否是cors请求,决定是否添加cors拦截器。代码在Code4

Code3
org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport

protected final Object[] getInterceptors() {
        if (this.interceptors == null) {
            InterceptorRegistry registry = new InterceptorRegistry();
            this.addInterceptors(registry);
            registry.addInterceptor(new ConversionServiceExposingInterceptor(this.mvcConversionService()));
            registry.addInterceptor(new ResourceUrlProviderExposingInterceptor(this.mvcResourceUrlProvider()));
            this.interceptors = registry.getInterceptors();
        }
        return this.interceptors.toArray();
    }

Code3第4行先添加了自定义拦截器,第5、6行添加了那两个拦截器。

Code4
org.springframework.web.servlet.handler.AbstractHandlerMapping

    protected HandlerExecutionChain getCorsHandlerExecutionChain(HttpServletRequest request, HandlerExecutionChain chain, CorsConfiguration config) {
        if (CorsUtils.isPreFlightRequest(request)) {
            HandlerInterceptor[] interceptors = chain.getInterceptors();
            chain = new HandlerExecutionChain(new AbstractHandlerMapping.PreFlightHandler(config), interceptors);
        } else {
            chain.addInterceptor(new AbstractHandlerMapping.CorsInterceptor(config));
        }
        return chain;
    }

当请求是跨域请求时,在构造HandlerExecutionChain的过程中,会添加cors拦截器,cors拦截器在最后。

使用filter来完成cors的工作

我们知道一个http请求,先走filter,到达servlet后才进行拦截器的处理,如果我们把cors放在filter里,就可以优先于权限拦截器执行。代码如下:

Code5 

@Configuration
public class CorsConfig {
    @Bean
    public CorsFilter corsFilter() {
        CorsConfiguration config = new CorsConfiguration();
        config.addAllowedOrigin("*");
        config.setAllowCredentials(true);
        config.addAllowedMethod("*");
        config.addAllowedHeader("*");
        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
        configSource.registerCorsConfiguration("/**", config);
        return new CorsFilter(configSource);
    }
}

去掉WebMvcConfigurerAdapter中关于cors的配置。

参考

when interceptor preHandler throw exception, the cors is broken #9595
SpringBoot 实现前后端分离的跨域访问(CORS)

binbin_civil1
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
浅谈SpringMVCInterceptor和Filter区别
08-26
主要介绍了浅谈SpringMVCInterceptor和Filter区别,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
拦截器解决跨域问题
weixin_45155235的博客
03-03 7903
拦截器解决跨域问题 注:本文是用SpringBoot + Dubbo搭建的分布式工程,前后端分离,前端工程和后端工程的端口号不同,所以产生了前端请求跨域问题。 拦截器定义 注意,前端的请求域名如果是80端口,直接指定为"http://localhost",其他端口才具体指定。 如果你的项目有多个客户端域名,那么可以指定一个数组,如下: // 设置允许多个域名请求 String[] allowDomains = {"http://localhost:8081","http://localhost:80
CorsInterceptor解决跨域问题
qq_56127002的博客
12-16 112
【代码】CorsInterceptor解决跨域问题。
Spring MVC(四)— CORS、HTTP缓存及MVC配置
最新发布
KEEP CODING
03-25 619
Spring CORS 允许开发者配置哪些域可以访问其Web应用的资源。HTTP缓存是提高Web应用程序性能的一种重要技术。通过实现WebMvcConfigurer接口来对MVC容器进行配置。
SpringMVC拦截器Interceptor导致跨越cors失效,Header获取不到
wejack的专栏
07-14 375
项目原来cors正常,但是在加了 token拦截器以后cors就又不正常了
Spring MVC拦截器(Interceptor
m0_53698336的博客
11-03 1万+
在系统中,经常需要在处理用户请求之前和之后执行一些行为,例如检测用户的权限,或者将请求的信息记录到日志中,即平时所说的“权限检测”及“日志记录”。当然不仅仅这些,所以需要一种机制,拦截用户的请求,在请求的前后添加处理逻辑。 Spring MVC 提供了 Interceptor 拦截器机制,用于请求的预处理和后处理。 在开发一个网站时可能有这样的需求:某些页面只希望几个特定的用户浏览。对于这样的访问权限控制,应该如何实现呢?拦截器就可以实现上述需求。在 Struts2 框架中,拦截器是其重要的组成部分,Spr
SpringMVCInterceptorCors冲突【优先级配置】
z69183787的专栏
11-04 2021
现象 项目中前后端分离部署,所以需要解决跨域的问题。 我们使用cookie存放用户登录的信息,在spring拦截器进行权限控制,当权限不符合时,直接返回给用户固定的json结果。 当用户登录以后,正常使用;当用户退出登录状态时,出现了跨域的现象。 跨域 我们处理跨域的方式是继承WebMvcConfigurerAdapter,添加Cors的支持,代码如下: Code1 @Configuration public class WebMvcConfig extends WebMvcConfigurer
SpringMVC CORS跨域测试包
02-10
SpringMVC CORS跨域测试包
java+springmvc和mybatis框架
05-15
java+springmvc和mybatis框架
SpringMVC和Swagger整合方法
08-29
Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。下面通过本文给大家分享SpringMVC和Swagger整合方法,感兴趣的朋友一起看看吧
详解SpringMVC中使用Interceptor拦截器
08-31
SpringMVC 中的Interceptor 拦截器也是相当重要和相当有用的,它的主要作用是拦截用户的请求并进行相应的处理,这篇文章主要介绍了详解SpringMVC中使用Interceptor拦截器,有兴趣的可以了解一下。
@CrossOrigin及其实现跨域原理
cristianoxm的博客
05-18 8870
一、关于什么是跨域及解决方法看这篇文章 文章 二、关于@CrossOrigin 简单请求和非简单请求 对于简单请求(GET,HEAD,POST),浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。 非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为预检请求 (preflight) @Cro
自定义Mybatis拦截器 与PageHelper插件冲突问题
weixin_49294542的博客
04-28 1628
拦截器失效
Spring web开发之使用REST和使用Interceptor和使用Cors
zy199701的博客
02-17 325
Spring提供了一个@RestController注解,使用@RestController替代@Controller后,每个方法自动变成API接口方法 Interceptor: 步骤1 实现HandlerInterceptor接口,可以选择实现preHandle()、postHandle()和afterCompletion()方法。 步骤2:使拦截器生效: @Bean WebMvcConfigurer createWebMvcConfigurer(@Autowired HandlerInterceptor
SpringMVC拦截器Interceptor导致跨越cors失效
weixin_34289454的博客
04-12 2211
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringBoot-拦截器和addCorsMappings冲突问题
东京易冷
08-01 7639
  项目中最开始跨域问题是通过自定义过滤器CorsFilter对request处理的,可以很好的解决问题。      最近,新项目中准备通过如下代码解决跨域问题,结果发现登录超时的错误会出现跨域问题,其他问题都不会。 @Configuration public class WebConfig extends WebMvcConfigurerAdapter { @Override ...
SpringMVC开启CORS支持
z69183787的专栏
11-09 5370
前言 浏览器出于安全考虑,限制了JS发起跨站请求,使用XHR对象发起请求必须遵循同源策略(SOP:Same Origin Policy),跨站请求会被浏览器阻止,这对开发者来说是很痛苦的一件事,尤其是要开发前后端分离的应用时。 在现代化的Web开发中,不同网络环境下的资源数据共享越来越普遍,同源策略可以说是在一定程度上限制了Web API的发展。 简单的说,CORS就是为了AJAX能够安全跨
【开发技巧】--SpringBoot使用CORS实现跨域访问
muzi木子
01-12 312
1.1 什么是CORSCORS的英文全称为(Cross-Origin Resource Sharing,跨站资源访问),它是跨域名资源访问解决方案的一种。 1.2 能够使用JSONP解决跨域为什么还要使用CORS解决跨域访问? 首先JSONP只支持Get请求,而CORS对所有HTTP请求方法(GET、POST、PUT、DELETE、OPTIONS、HEAD、TRACE)都能够支持,并且CORS...
CORS 几种解决方案
热门推荐
制心入境
08-26 1万+
CORS背后的基本思想是使用自定义的HTTP头部允许浏览器和服务器相互了解对方,从而决定请求或响应成功与否. Access-Control-Allow-Origin:指定授权访问的域 Access-Control-Allow-Methods:授权请求的方法(GET, POST, PUT, DELETE,OPTIONS等) 一:简单的自定义CORSFilter / Intercepto
springmvc interceptor
04-10
SpringMVC拦截器。拦截器是一种处理器,它在请求到达控制器之前或在响应返回客户端之前执行某些操作。SpringMVC拦截器可以用于实现认证、授权、日志记录、跨站点请求伪造(CSRF)防护等功能。它可以拦截特定的URL模式、请求方法、会话等。拦截器可以重复使用,可以与其他框架集成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值