基于Spring实现可跨域访问的REST服务

最新推荐文章于 2024-10-07 10:54:23 发布
最新推荐文章于 2024-10-07 10:54:23 发布
阅读量9.6k 收藏 3
点赞数 2
分类专栏: Restful

Web应用中前端JavaScript访问后端的REST服务默认是不能跨域的,这里的域英文中叫Origin,有时也叫Domain,包含了协议(HTTP/HTTPS),域名和端口号。不能跨域指的是,如果来自http://abc.com:80的JavaScript代码只能访问http://abc.com:80中的资源(HTTP默认端口号为80,注意端口号不同也是不同的域)。大家不妨试一试在自己的JavaScript代码中去访问Google搜索的URL,代码是不能正常运行的。

Same Origin Policy(SOP)是浏览器默认的安全模型,为什么需要SOP呢? 因为如果允许JavaScript代码访问非相同域资源的话,那么安全性将变得完全不可控。举个例子,如果另外一个网址中包含的恶意脚本就可以没有任何防备的加载进来,那就就能随意获取或者恶意修改页面元素Cookie信息等。SOP则保证了所有你访问的资源和服务是来自于你自己的服务器,外部的脚本就不能没有任何障碍得攻击你了。当然这只是基本的安全模型,通过XSS等技术,如果你的代码有漏洞的话,还是可能受到来自不同域的恶意代码的攻击,这里就不展开啦。

但是有时候我们就是希望自己的服务是可以被跨域访问的,我们知道要访问的不同域的远程资源是安全的,这时候SOP反而给我们带来了限制。所以又出现了一些跨域访问的技术,比如JSONP。今天我们就来介绍如何基于Spring来实现可跨域访问的REST服务。

准备工作

今天我们来创建一个接收HTTP GET请求的REST服务,访问地址是http://localhost:8080/greetin),返回的格式为:

{
    "id": 1,
    "content": "Hello, World!"
}

如果请求中包含name参数,则会将默认的World替换为name的值。比如http://localhost:8080/greeting?name=User请求则返回:

{
    "id": 1,
    "content": "Hello, User!"
}

开发环境:

  • IDE+Java环境(JDK 1.7或以上版本)
  • Maven 3.0+(Eclipse和Idea IntelliJ内置,如果使用IDE并且不使用命令行工具可以不安装)

POM文件:

pom.xml

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>

  <groupId>com.tianmaying</groupId>
  <artifactId>cross-origin-demo</artifactId>
  <version>0.0.1-SNAPSHOT</version>
  <packaging>jar</packaging>

  <name>cross-origin-demo</name>
  <description>Demo of enabling Cross Origin Requests for a RESTful Web Service</description>

  <parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>1.2.5.RELEASE</version>
    <relativePath/>
  </parent>

  <properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <java.version>1.8</java.version>
  </properties>

  <dependencies>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
    </dependency>  
    <dependency>
      <groupId>com.fasterxml.jackson.core</groupId>
      <artifactId>jackson-databind</artifactId>
    </dependency>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-test</artifactId>
      <scope>test</scope>
    </dependency>
  </dependencies>

  <build>
    <plugins>
      <plugin>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-maven-plugin</artifactId>
      </plugin>
    </plugins>
  </build>

</project>

REST服务的实现

Greeting JSON格式的信息对应的模型类为Greeting类,非常简单。

Greeting.java

package com.tianmaying.crossorigin;

public class Greeting {

    private final long id;
    private final String content;

    public Greeting(long id, String content) {
        this.id = id;
        this.content = content;
    }

    public long getId() {
        return id;
    }

    public String getContent() {
        return content;
    }
}

Controller的实现我们应该也是轻车熟路了。

GreetingController.java

package com.tianmaying.crossorigin;

import java.util.concurrent.atomic.AtomicLong;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
public class GreetingController {

    private static final String template = "Hello, %s!";
    private final AtomicLong counter = new AtomicLong();

    @RequestMapping("/greeting")
    public @ResponseBody Greeting greeting(
            @RequestParam(value="name", required=false, defaultValue="World") String name) {
        return new Greeting(counter.incrementAndGet(),
                            String.format(template, name));
    }
}

@RequestMapping标注将/greeting请求映射到greeting()方法。

提示

上面的例子中没有指定URL对应的HTTP方法,比如GETPUTPOST或者DELETE,这表示所有HTTP方法都映射到这个URL上。如果希望指定特定的方法,可以这样设置@RequestMapping(method=GET)

@RequestParam将请求参数绑定到greeting()方法中的参数,该参数不是必须的,如果没有提供,则使用默认值World

方法的实现创建并返回了一个Greeting对象,id通过AtomicLong来设置,content则通过一个简单的字符串模板来生成。

REST服务和传统的MVC控制器的一个关键区别在于,REST服务通常并不依赖于一种模板技术(比如JSP、Velocity等)来生成HTML,REST服务只是填充好对象的信息,然后将对象信息转换为JSON字符串直接写入HTTP的响应中。而@ResponseBody正是来做这件事情的!

而对象转为为JSON这件事情,有了Spring的HTTP消息转换(HTTP Message Converter)的支持可以自动化的完成。只要Jackson 2在类路径中,Spring的MappingJackson2HttpMessageConverter会自动启用将Greeting对象转为JSON。

跨域支持

接下来是最关键的时候了,之前我们已经实现了一个普通的REST服务,如何支持跨域就在此一举了:)我们只需要增加一个Filter,在HTTP响应中增加一些头信息,我们通过SimpleCORSFilter来实现。

SimpleCORSFilter.java

package com.tianmaying.crossorigin;

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;
import org.springframework.stereotype.Component;

@Component
public class SimpleCORSFilter implements Filter {

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
        chain.doFilter(req, res);
    }

    public void init(FilterConfig filterConfig) {}

    public void destroy() {}

}

SimpleCORSFilter在响应中增加了一些Access-Control-*头。在上面的例子中,设置的头信息表示允许来自任何域的客户端访问POSTGETOPTIONS和 DELETE请求,请求的结果将缓存至多3600秒。当然,这只是一个很简单的跨域支持filter,大家可以根据需要进行更多的设置,比如只支持来自特定域的请求访问特定的资源。

测试

最后我们通过main()函数将这个SpringBootApplication Run起来:

App.java

package com.tianmaying.crossorigin;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class App {

    public static void main(String[] args) {
        SpringApplication.run(App.class, args);
    }
}
版权声明本文由 David创作,转载需署名作者且注明文章出处参考代码要获取本文的参考代码,请访问:  http://tianmaying.com/tutorial/cross-origin-rest-service/repo
Spring Boot 跨域访问实现方式最全汇总
oscar999的专栏
05-12 552
在基于Spring Boot框架的应用中, 需要跨域访问的场景有很多, 比如: * 应用内部: 在前后端分离的框架中, Spring Boot 提供后端服务 * 应用外部: 作为微服务,提供对外的Rest服务接口 Spring Boot应用中实现跨域访问的方式也有多种。
浅析基于Spring-Cloud的分布式微服务开发
js_codex的博客
11-15 1106
为什么要使用分布式|微服务的架构体系因为目前开发的应用同时使用的用户越来越多,数量上亿,而且遍布全世界,在天南地北的高并发环境下,既要迅捷无比又要安全稳定,于是诞生了分布式微服务这样的架构体系。本文在此体系下主要就Spring-Cloud的架构体系做一些详细的阐述。一、分布式微服务的开发模式分布式微服务的这种开发模式,是将一个完整的项目,划分成多个独立的组件,这些组件分布在不同的网络或者地域,彼此之间通过网络来通信和协调,在天南地北的用户面前,体验上如同一个系统。
解决JS访问Rest跨域问题和数据格式问题
07-16
1、基于wcf框架对Rest架构的web服务实现; 2、支持javascript的多种方式跨域访问(GET/POST/PUT/DELETE); 3、解决服务调用参数传递的动态设计数据格式(Xml/Json);
spring实现跨域访问rest服务
小小代码狩猎者
10-19 101
基于Spring实现跨域访问REST服务_Black Monkey-CSDN博客
Spring开发最佳实践之跨域处理
最新发布
shg的博客
10-07 894
浏览器为了安全,默认会遵循同源策略。即:请求要去的服务器和当前项目(当前项目就理解成前端项目)所在的服务器必须是同一个源。如果不是,请求就会被拦截。那么什么是同一个源呢?什么不是同一个源呢?相同的源指的是 协议、域和端口号要完全相同,这三个地方有任何一处不一样,就是不同源。
REST服务支持跨域访问
丘色果
07-09 149
方法一: Spring Framework 4.2 GA为CORS提供了支持,@CrossOrigin 方法二: 全局CORS配置 @Configuration @EnableWebMvc public class WebConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMappi...
rest架构+跨域访问+JWT校验
Cowboy
03-27 4711
非常感谢OAuth 2.0技术学习 https://www.itkc8.com   一套基于前后端分离架构的企业级的商户网站。为什么要采用前后端分离技术,很简单,目的是为了让后端人员专注做服务接口设计,前端人员专注用户体验设计,不像ERP系统那样禁锢与一贯的页面风格。项目具体采用以下技术:服务框架: jersey+mybaties     这个框架一般用的不多,但是作为rest框架而言,与SP...
php rest框架实现跨域交互,Thinkphp5中实现Restful接口ajax发起PUT或DELETE无法跨域
weixin_35034088的博客
03-10 323
问题一:在Thinkphp5中实现Restful接口规范,根据官方文档在 route.php 中设置了路由:Route::resource('Rest','api/Rest');因为接口都需要跨域调用,也设置了跨域响应头:header('Access-Control-Allow-Origin:*');header('Access-Control-Allow-Methods:POST, GET, O...
基于SpringSpring MVC实现跨域访问REST服务
06-08
这篇博客“基于SpringSpring MVC实现跨域访问REST服务”深入探讨了如何使用这两个流行的Java框架来创建这样的服务Spring作为核心框架提供依赖注入和整体架构支持,而Spring MVC作为其Web模块,专门用于构建...
RestHotel:使用 Spring Boot 和 Spring Data-JPA 演示 REST-HATEOAS Web 服务
06-11
这是一个使用 Sring Boot、Spring Data-JPA 和 Spring Data-REST 的 HATEOAS 风格的 RESTful Web 服务的简单演示。 它包括一个简单的跨域请求过滤器 (CORS),以便可以从任何域访问它。 它包括一个使用 HTML5 和 ...
基于js+springboot+mybatis+mysql的在线问卷系统,采用前后端分离技术,支持跨域访问
06-14
这是个前后端分离的、支持跨域访问REST风格的Vue.js+Spring Boot项目,开发工具为IDEA,数据库为MySQL。 API 编码方式均为UTF-8 1.管理员相关 1.1 注册 接口地址 domain/api/v1/register 请求方式 HTTP POST ...
springboot-发布与调试REST服务02--实现跨域
fhzheng for c java javascript sql html css
05-28 440
发布与调用REST服务 可以用SOAP 也可以用REST,本例仍然以REST为例 表述性状态转移===REST 是一种架构风格 也是一种轻量级的基于HTTP协议的Web Service风格 是一种设计原则 也是一种设计思想 整体示例搭建思路 搭建服务器 发布并提供REST服务,用8080,即默认端口 发布REST服务,仍然用@RestController注解,响应的是JSON格式的数...
spring rest cors解决跨域问题
乘龙再现的博客
11-04 915
spring rest cors解决跨域问题
Spring后端解决跨域问题
qq_31665011的博客
07-27 711
晚上补充
SpringBoot解决跨域的方法详细教程
一步一个脚印,踏实努力,向着目标前进
06-16 7102
}通过使用WebMvcConfigurer配置类,可以灵活地定制跨域访问的规则,适应各种复杂的跨域场景。同时,需要注意安全性和细粒度控制,避免不必要的风险。使用Filter过滤器是一种常见的解决跨域问题的方法。通过创建一个实现javax.servlet.Filter接口的过滤器类,并在Web应用程序的配置中进行注册,可以拦截所有请求,并在请求头中添加跨域相关的信息。
探索Spring Rest Shell:一款强大的REST API交互工具
gitblog_00007的博客
04-18 371
探索Spring Rest Shell:一款强大的REST API交互工具 rest-shell 项目地址: https://gitcode.com/gh_mirrors/res/rest-shell 是一...
@CrossOrigin:一个Controller层的注解,轻松解决跨域问题
沉默王二
01-30 8760
今天帮助同学解决了一个跨域问题:使用uni-app的时候,Ajax无法访问远程服务器上的API。 怎么解决呢? 在controller上添加@CrossOrigin注解,如下: @RestController @RequestMapping(&amp;quot;course&amp;quot;) @CrossOrigin public class CourseController extends BaseController { ...
Ajax访问Restful API跨域解决方案
热门推荐
luosijin123的专栏
08-26 1万+
最近开发API接口时,用Ajax调用远程服务上API的接口时,出现以下错误 : XMLHttpRequest cannot load http://192.168.1.101:8080/CDHAPI/bond/quote/minutely/1m/112188.SZ. No 'Access-Control-Allow-Origin' header is present on the reque
spring boot项目如何设置全局跨域配置
qq_43411729的博客
07-07 1156
跨域配置
Spring MVC教程:快速搭建RESTful服务
REST(Representational State Transfer,表述状态转移)是一种流行的设计模式,它基于HTTP协议,旨在简化Web服务的开发和扩展性。RESTful服务强调通过统一接口(URI)来访问资源,并通过HTTP方法(如GET、POST、PUT...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值