SpringBoot+Shiro解决跨域问题

已于 2022-12-12 17:58:35 修改
阅读量5.3k 收藏 20
点赞数 10
分类专栏: springcloud 文章标签: spring boot servlet java
于 2020-03-21 16:44:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dwhdome/article/details/105012417
版权

第一步:

由于shiro是基于过滤器的,所以我们这里继承Filter ,进行跨域处理

package com.guangjutx.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Component;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @Title:CorsFilter
 * @Author wenhao.ding
 * @Date 2020/3/21 13:03
 */
@Component
@Slf4j
public class CORSFilter implements Filter {

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain){
        HttpServletResponse response = (HttpServletResponse) res;
        HttpServletRequest request = (HttpServletRequest) req;
        //放行所有,类似*,这里*无效
        response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Credentials", "true");
        //允许请求方式
        response.setHeader("Access-Control-Allow-Methods", "POST,PUT, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        //需要放行header头部字段 如需鉴权字段,自行添加,如Authorization
        response.setHeader("Access-Control-Allow-Headers", "content-type,x-requested-with,token,Authorization,authorization");
        try {
            chain.doFilter(request, response);
        } catch (Exception e) {
            log.error("CORS过滤器放行异常:",e);
        }
    }

    public void init(FilterConfig filterConfig) {
    }

    public void destroy() {
    }
}

第二步:

在shiro拦截时,若未登录等,将会自动重定向到登录或无权限,会出现跨域失效问题,继承BasicHttpAuthenticationFilter 重写preHandle方法,处理跨域

package com.guangjutx.config;

import org.apache.shiro.web.filter.authc.BasicHttpAuthenticationFilter;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @ClassName AuthenticationFilter
 * @Author dwhhome@163.com
 * @Date 2020-03-21 16:23
 * @Version 1.0
 **/
public class AuthenticationFilter extends BasicHttpAuthenticationFilter {

    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        //无条件放行OPTIONS
        if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            setHeader(httpRequest, httpResponse);
            return true;
        }
        return super.preHandle(request, response);
    }

    /**
     * 为response设置header,实现跨域
     */
    private void setHeader(HttpServletRequest request, HttpServletResponse response) {
        response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods","POST,PUT,GET,OPTIONS,DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "content-type,x-requested-with,token,Authorization,authorization");
        response.setHeader("Content-Type", "application/json;charset=UTF-8");
        response.setStatus(HttpStatus.OK.value());
    }
}

第三步:

将第二步自定义的AuthenticationFilter注册到shiro中,这一步在shiro配置工厂的地方配置即可

Map<String, Filter> filters = filterFactory.getFilters();
filters.put("authc", new AuthenticationFilter());

叮叮丶
关注
  • 10
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
uniapp和springboot微信小程序开发实战:后端架构搭建之使用shiro和jwt实现登录认证
xuemeng2016的专栏
06-19 2108
认证就是要核验用户的身份,比如说通过用户名和密码来检验用户的身份。说简单一些,认证就 是登陆。登陆之后Shiro要记录用户成功登陆的凭证。授权是比认证更加精细度的划分用户的行为。比如说一个教务管理系统中,学生登陆之后只能查 看信息,不能修改信息。而班主任就可以修改学生的信息。这就是利用授权来限定不同身份用户 的行为。修改配置文件,增加如下内容jwt:#密钥#令牌过期时间(天)expire: 5#令牌缓存时间(天数)
管理系统系列--SpringBoot+Shiro权限管理系统脚手架.zip
02-25
SpringBoot+Shiro权限管理系统脚手架】是基于Spring Boot和Apache Shiro框架构建的高效、便捷的企业级权限管理解决方案。Spring Boot以其简洁的配置和快速开发的特点,已经成为Java Web开发的主流选择,而Shiro则...
springboot集成shiro+前端vue,前后端分离项目遇到跨域以及sessionid拿不到等问题
qq_50595984的博客
01-16 1360
近期在写前后端分离的项目,由于前后端分离导致原来使用的shiro配置无法满足现有系统要求。同时在前后端分离项目中存在的一些问题。例如,一些用户信息需要存储在后端方便进行安全性判断,但这些存储在后端的session前端却获取不到(特别奇怪),以及浏览器访问后端接口出现的跨域问题
跨域 以及 shiro解决
RealGUO的博客
04-13 3634
跨域 以及 shiro解决 同源策略:协议、域名、端口 作用:能帮助阻隔恶意文档,减少可能被攻击的媒介。 # 但也导致了跨域的问题的出现:前后端分离 # 前端访问后端,不满足同源策略,所以不能访问 1、反向代理解决 # 配置反向代理来实现跨域 # 前端访问代理 # 代理访问后端 # 代理将结果返回给前端 # 从而实现了跨域 2、CORS跨域 CORS(Cross-Origin Resource Sharing)跨域资源共享,定义了必须在访问跨域资源时,浏览器与服务器应该如何沟通。CORS的基本思想就
springboot+shiro 跨域解决(OPTIONS)
最新发布
2401_85763569的博客
06-18 244
/可以用response.getWriter()返回json或你想要的格式,同时设置header: Content-Type:text/json。logger.info(“token过期返回403”);logger.info(“token有效放行”);
解决SpringBoot整合Shiro 跨域问题及前端报错401问题解决——亲测有效!
qq_54502508的博客
02-20 2617
解决SpringBoot整合Shiro 跨域问题及前端报错401问题解决——亲测有效!
springboot+springScurity+JWT+uni-app实现微信小程序登录
秋收的麦穗的博客
03-24 2077
文章目录一.技术以及框架选择二.功能需求三.功能具体实现1.登录流程2.代码实现2.1 小程序登录事件2.2 登录逻辑2.3 后台登录逻辑实现2.3.1 登录接口 最近接到小程序毕设业务业务,记录下开发过程,UI实现这些就没必要写了 记录一下登录功能实现,虽然很简单不值一提. 一.技术以及框架选择 后台开发框架:springboot 权限框架:spring Security 小程序开发:uni-app 二.功能需求 1.点击登录,后台签发token,之后每次请求都携带这个token以此鉴权,没有相关权限不给
springboot 整合shiro出现的跨域cors问题解决
王威振的博客
07-29 1327
如果你在后端配置好了跨域配置。还是不生效的。来到这里希望会帮到你! 其实想快速追踪到问题的话。就从打断点开始。 我的猜想是。shiro的过滤器过滤优先级>cors的过滤器,所以才导致的此类问题 结果,果然是这样(以下图片,是我调整后的。所以corsFilter在shiroFilterFactoryBean之上) 所以要想解决这个问题,就要把cors的过滤器的优先级提升。 代码如下: @Bean public FilterRegistrationBean filterRe..
Vue+Springboot+shiro的登录案例.rar
09-27
这是一个Vue+Springboot+shiro的登录...后端采用Springboot,数据持久化工具采用Mybatis,对于返回的数据进行了封装,对于JSON进行了封装,实现了跨域请求等,目录结构清晰明了。安全框架采用shiro。数据库采用MySQL。
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
通过以上步骤,我们可以构建出一个基于Springboot+Vue+Shiro的前后端分离应用,实现了权限控制,同时解决跨域问题。这种架构不仅提高了开发效率,也使得前后端可以独立迭代,便于维护和扩展。
Vue+Springboot+shiro+QQ邮箱验证码的登录案例.rar
09-28
后端采用Springboot,数据持久化工具采用Mybatis,对于返回的数据进行了封装,对于JSON进行了封装,实现了跨域请求等,目录结构清晰明了。安全框架采用shiro。后端实现了QQ邮箱发送验证码的功能,代码简洁,一看就...
解决springboot实现跨域session共享问题
01-25
解决springboot实现跨域session共享问题,防止sql注入。可以更有效的解决token问题,欢迎下载,有问题可以再评论下方留言,及时解答!!加群:687942640
解决 springboot跨域请求问题
05-11
springboot做前后端分离,ajax跨域请求问题 前后端分离:即将后端服务层与前端展示层分别开发和部署,因而产生两个需要打包发布的项目, 将两个分别部署后,前端再去请求后端就会产生跨域请求的问题。 两种解决方案
Shiro权限控制-区分Ajax请求
07-19
Shiro对权限的处理,并没有区分是否是Ajax请求,需要我们自己写过滤器来实现。在实现时通过获取请求头X-Request-with是否有值来区分,区分开来以后,对于普通请求直接跳转到没有权限的页面,对于AJax请求返回一个没有权限的JSon数据
SpringBoot + Shiro前后端分离权限
08-25
为了解决这个问题,我们需要自定义Shiro的SessionManager,以便它可以识别前端传递的sessionID。在上述代码中,我们创建了一个名为`PowerShiroSessionManager`的类,继承自`DefaultWebSessionManager`。在这个类中,...
uniapp+Springboot实现简单登录
m0_66403070的博客
05-10 1506
uniapp+Springboot实现简单登录
shiro-自定义登录过滤器控制转发路径
qq_31856061的博客
01-27 509
引文:shiro自带有多种过滤器,但是在一些场景中,需要登录页面有多种展现形式,通常需要用一些字段参数来控制,这个时候shiro的过滤不能满足需求,需要注入自定过滤器来满足需求 1.自定义过滤器,实现 public class LoginFilter extends AuthenticationFilter { /** 用户没登录时操作 */ @Override protected boolean onAccessDenied(ServletRequest servletReque
springboot+shiro登录验证时 跨域+重定向踩坑集合
Andanc的博客
05-08 3393
在写shiro登录验证的时候,按照预估的想法,在没有进行登录的情况下,是无法进入到页面的并且会给他转发到登录页面。 但是很明显效果跟现实差距太大了。 这时发现在没有登录的情况下进入到了页面,并没有进行转发,但是页面确黑了变成302。 但是使用postman却是另一种情况。 在postman没有登录的情况下直接进页面,发现被shiro阻止了并且返回到我想要的登录页面了。可是前台。。。。。 ...
springboot实现跨域的五种方式
weixin_48581386的博客
02-16 6707
springboot跨域的5种方法
springboot+shiro+jwt
06-28
### 回答1: springboot+shiro+jwt 是一种常见的后端技术组合,其中 springboot 是一个基于 Spring 框架的快速开发框架,shiro 是一个安全框架,用于身份验证、授权和加密等功能,jwt 是一种基于 token 的身份验证机制,可以用于前后端分离的应用中。这种技术组合可以帮助开发者快速搭建安全可靠的后端服务。 ### 回答2: Springboot是一个开源的Java开发框架,是基于Spring框架的远程服务器控制技术方案,是现代化的全栈框架,集成丰富,提供了大量的开箱即用的组件,可以大大简化开发人员的开发工作。 Shiro是一个强大的轻量级安全框架,支持用户身份识别、密码加密、权限控制、会话管理等一系列安全功能,被广泛应用于JavaWeb开发中。 JWT(JSON Web Token)是一种开放标准(RFC 7519),定义了一种简洁的、自包含的方式,用于通信双方之间以JSON对象的形式安全地传递信息。JWT可以用于状态管理和用户身份认证等场景。 在使用SpringBoot开发Web应用过程中,Shiro与JWT可以同时用于用户身份认证和权限控制。Shiro提供了一系列的身份识别、密码加密、权限控制、会话管理等功能,而JWT则可以实现无状态的身份认证。使用Shiro和JWT,可以有效地保护Web应用的安全,避免被恶意攻击者利用。 具体而言,使用Shiro和JWT可以将用户认证的主要逻辑统一在一起,实现更加优雅的认证和授权过程。同时,这样的组合也可以避免一些常见的安全漏洞,比如会话劫持、XSS攻击、CSRF等。 在实际开发中,使用SpringBoot Shiro JWT可以方便地进行二次开发,进一步优化开发成本和提高开发效率。同时,使用这个组合可以让开发者更好地专注于业务逻辑的开发,而无需关注安全问题,从而提高开发质量和开发人员的工作效率。 ### 回答3: Spring Boot是一种基于Spring框架的快速开发微服务的工具,能够使开发者可以快速构建基于Spring的应用程序。而Shiro是一个强大易用的Java安全框架,可用于身份验证、权限控制、加密等。JWT(JSON Web Token)是一种基于JSON的安全令牌,可用于在客户端和服务器之间传递信息。 在使用Spring Boot开发Web应用程序时,通常需要进行用户身份验证和访问控制,这时候就可以使用Shiro来实现这些功能。同时,由于Web应用程序需要跨域访问,因此使用JWT可以方便地实现身份验证和授权的管理。 在使用Spring BootShiro时,可以使用JWT作为身份验证和授权的管理工具。此时,需要进行以下几个步骤: 1.添加Shiro和JWT的依赖 在Spring Boot项目中,可以通过Maven或Gradle等工具添加Shiro和JWT的依赖。例如,可以添加以下依赖: <!-- Shiro依赖 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.7.0</version> </dependency> <!-- JWT依赖 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> 2.配置ShiroSpring Boot项目中,可以通过在application.properties或application.yml文件中进行Shiro的配置。例如,可以配置以下内容: # Shiro配置 shiro: user: loginUrl: /login # 登录页面URL jwt: secret: my_secret # JWT加密密钥 expiration: 1800000 # JWT过期时间,单位为毫秒,默认30分钟 3.创建Shiro的Realm 在Shiro中,Realm是用于从应用程序中获取安全数据(如用户、角色和权限)的组件。因此,需要创建Shiro的Realm,用于管理用户的认证和授权。 例如,可以创建一个自定义的Realm,其中包括从数据库中获取用户和角色的方法: public class MyRealm extends AuthorizingRealm { @Autowired private UserService userService; /** * 认证,验证用户身份 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { String username = (String) token.getPrincipal(); User user = userService.findByUsername(username); if (user == null) { throw new UnknownAccountException("用户名或密码错误"); } String password = user.getPassword(); return new SimpleAuthenticationInfo(user.getUsername(), password, getName()); } /** * 授权,验证用户的访问权限 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { String username = (String) principals.getPrimaryPrincipal(); User user = userService.findByUsername(username); SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); Set<String> roles = user.getRoles(); authorizationInfo.setRoles(roles); Set<String> permissions = user.getPermissions(); authorizationInfo.setStringPermissions(permissions); return authorizationInfo; } } 4.使用JWT进行身份验证和授权管理 在Spring Boot应用程序中,使用Shiro和JWT来进行身份验证和授权管理的流程大致如下: 4.1 前端用户进行登录操作,将用户名和密码发送到后台服务。 4.2 后台服务进行身份验证,将用户身份信息生成JWT并返回给前端。 4.3 前端保存JWT,并在后续的请求中将其发送到后台服务。 4.4 后台服务验证JWT的有效性,并根据用户的角色和权限信息进行访问控制。 综上所述,Spring BootShiro和JWT可以很好地配合使用,实现Web应用程序的身份验证和授权管理。这种组合方案可以提高开发效率和系统安全性,同时也适用于微服务架构中对身份验证和授权的需求。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值