Shiro框架之接受前端发送的OPTIONS预检请求

最新推荐文章于 2023-11-30 10:51:31 发布
最新推荐文章于 2023-11-30 10:51:31 发布
阅读量531 收藏 3
点赞数
分类专栏: BUG 文章标签: java shiro
原文链接:https://blog.csdn.net/qq_29296005/article/details/88664464
版权

由于OPTIONS预检请求时没有携带token或cookie,shiro认为是未登录状态,则直接重定向到登录路径,前端控制台抛出Redirect is not allowed for a preflight request预检请求不允许重定向,导致我一直认为时跨域问题,参考大佬博客之后得知需要重写shiro的登录认证过滤器,放行所有的OPTIONS请求,现已解决该问题,在此记录一下,

import com.java.fang.common.utils.R;
import org.apache.shiro.web.filter.authc.UserFilter;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

public class ShiroUserFilter extends UserFilter {

    /**
     * 在访问过来的时候检测是否为OPTIONS请求,如果是就直接返回true
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            setHeader(httpRequest,httpResponse);
            return true;
        }
        return super.preHandle(request,response);
    }

    /**
     * 该方法会在验证失败后调用,这里由于是前后端分离,后台不控制页面跳转
     * 因此重写改成传输JSON数据
     */
    @Override
    protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException, IOException {
        saveRequest(request);
        setHeader((HttpServletRequest) request,(HttpServletResponse) response);
        PrintWriter out = response.getWriter();
        //自己控制返回的json数据
        out.println(R.error(10000,"认证失败"));
        out.flush();
        out.close();
    }

    /**
     * 为response设置header,实现跨域
     */
    private void setHeader(HttpServletRequest request, HttpServletResponse response){
        //跨域的header设置
        response.setHeader("Access-control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Methods", request.getMethod());
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
        //防止乱码,适用于传输JSON数据
        response.setHeader("Content-Type","application/json;charset=UTF-8");
        response.setStatus(HttpStatus.OK.value());
    }

}

重写过滤器后需要把自定义的过滤器添加到shiro中

// 在shiro配置文件中添加一下代码

    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(){
        ShiroFilterFactoryBean factoryFilter = new ShiroFilterFactoryBean();

        Map<String, Filter> map = factoryFilter.getFilters();
        map.put("authc",new ShiroUserFilter());
        factoryFilter.setFilters(map);

		//以下是其他配置
		........
		
	}
FangWenJuno
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot + Vue + shiro 实现前后端分离、权限控制
KHOST的博客
05-19 5222
本文总结自实习中对项目的重构。原先项目采用Springboot+freemarker模版,开发过程中觉得前端逻辑写的实在恶心,后端Controller层还必须返回Freemarker模版的ModelAndView,逐渐有了前后端分离的想法,由于之前,没有接触过,主要参考的还是网上的一些博客教程等,初步完成了前后端分离,在此记录以备查阅。 一、前后端分离思想 前端从后端剥离,形成一个前端工程,前...
shiro ajax跨域,shiro(14)- 跨域预检请求进行权限认证
weixin_30915487的博客
08-06 299
跨域问题系列文章本文重点:对于复制的跨域请求,浏览器会发送一个OPTIONS预检请求shiroFilter应如何处理该预检请求?由于浏览器都实行了“同源策略”,限制从一个源加载的文档或脚本去另外一个源进行资源交互。这就会导致前后端分离的架构,前端服务器与后台服务器之间存在着跨域问题。1. CORS解决跨域解决跨域问题的核心:允许两个源之间进行资源共享(CORS-跨域资源共享),也就是说,在响应中...
shiro-cas处理请求的流程
最新发布
dong__CSDN的博客
11-30 208
javashiro-cas处理请求的过程,及登录成功或失败的拦截处理。
springboot整合shiro前端支持shiro标签的方法
weixin_42203158的博客
07-17 996
第一步:两个依赖 <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring --> <!-- springboot 集成shiro依赖--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring&lt
Shiro认证和授权(下)Shiro+JWT在前后端分离项目中实现认证授权
蜗牛学院重庆校区的博客
05-17 529
传统Session认证的弊端 在上节课中我们使用的Shiro进行用户认证,内部通过是Session识别Subject,服务器识别依赖JSESSIONID的Cookie。但是在前后端分离的项目中,前端项目会单独运行挂载另外一个服务器中和后端项目的服务器不同。前端向后端发送请求时是跨域的无法携带JSESSIONID的Cokie的,就会导致每一个请求都是一个新的Session。问题的根源在传统的会话跟踪技术(Session+Cookie)存在弊端: 1.跨域问题 2.集群问题 那么必须找一个新的技术来实现会话跟踪
X-Frame-Options(点击劫持)
热门推荐
weixin_42728957的博客
04-17 5万+
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个iframe中的...
点击劫持漏洞:使用X-Frame-Options 解决方法(应用tomcat)
huangbaokang的博客
02-14 3154
发现项目中存在 X-Frame-Options 低危漏洞: 使用 X-Frame-Options X-Frame-Options 有三个值: DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri:表示该页面可以在指定来源的 frame 中展示。 换一句话说,...
安全提示"X-Frame-Options头未设置"解决方法
weixin_41996632的博客
05-21 2029
在服务器下面的过滤器中配置 public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterch) throws IOException, ServletException { request.setCharacterEncoding("utf-8"); response....
axios中为什么会有OPTIONS请求
csdnyp的博客
01-23 2155
axios中为什么会有OPTIONS请求
前后分离后端获取不到Token
mclt2017的博客
07-01 1572
跨域问题。 如果项目涉及到跨域,浏览器访问服务端会先后发送两次请求, 第一次请求OPTIONS请求,作用是查看服务端是否支持跨域,该请求中不会携带我们需要的token信息; 如果支持跨域,那么就会发出第二次请求,这第二次请求才是我们常用的GET/POST请求,才会携带我们的token。 如果不支持跨域,那么第二次请求就不会发了。 所以我们在拦截器里,直接放行OPTIONS请求即可 ,加上这一段代码 //如果是OPTIONS请求 直接放行 String me
Java:“目标服务器没有返回一个X-Frame-Options头”的解决方案
IT老兵的驿站
07-29 3782
原帖位于IT老兵博客,沉淀着一个IT老兵对于这个行业的认知。 Java:“目标服务器没有返回一个X-Frame-Options头”的解决方案。 前言 在涉及网站安全时遇到一个问题,“目标服务器没有返回一个X-Frame-Options头”,找了网上的帖子,说的都不是太清楚,所以研究总结一下,方便后人。 正文 问题描述 以下摘录一下对于安全网站这个问题的描述和建议解决方案: ...
Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny'.
menghuannvxia的专栏
01-29 2897
springmvc 在整合spring security时,浏览器发送请求,出现 解决:在继承WebSecurityConfigurerAdapter的子类的覆盖方法configure(HttpSecurity)里面添加: http.headers().frameOptions().sameOrigin(); 百度查找原因: 既然是在浏览器端发送请求时出的问题,那么先看一下请求信息,如图,...
shiro 前后端分离框架 用户登录解决方案
在北京
01-17 2万+
介绍 最近公司要原本springmvc+shiro 权限控制的一个项目,改为前后端分离的,使前端人员能有更多时间来做前端的交互工作,提升用户体验。 但是这个问题就来了,原来没有分离的情况下,shiro 权限是通过凭证来登录的,现在需要更改前端ajax提交登录信息来登录,于是更改shiro的登录方式,这里做一个记录。 @RequestMapping(value="/userLogin"...
第十讲 shiro (5)前端所需要的网页
jintingbo的专栏
06-08 881
---------------------------index.jsp文件如下:随便写一个都行,反正它会自动跳转到登录页-----------------------&lt;html&gt;&lt;body&gt;&lt;h2&gt;Hello World!&lt;/h2&gt;&lt;/body&gt;&lt;/html&gt;------------------------------log...
预检请求
GrowthHacker的博客
12-20 1683
前端项目中通过 POST 方式访问后端的 REST 接口
Shiro之前后端分离时获取请求头Authorization中的token
china_hdy的博客
04-26 2万+
重写DefaultWebSessionManager(org.apache.shiro.web.session.mgt.DefaultWebSessionManager)类中的getSessionId方法,代码如下:public class CustomDefaultWebSessionManager extends DefaultWebSessionManager  { /**  * 获取se...
拦截器拦截options请求,导致无法获得自定义的请求头
qq_41835813的博客
01-31 2238
package com.qyc.interceptor; import com.qyc.cfg.SpringContextUtils; import com.qyc.service.Varifcation; import org.apache.ibatis.plugin.Intercepts; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Compo.
一次跨域请求出现 OPTIONS 请求的问题及解决方法
weixin_33953249的博客
08-26 3577
问题背景 浏览器从一个域名的网页去请求另一个域名的资源时,域名、端口、协议任一不同,都是跨域 在前后端开发过程经常会遇到跨域问题。网上也都有解决方案。 写这篇文章时,我们碰到的一个场景是:要给s系统做一个扩展,前端的html、js放在s系统里,后端需要做一个单独的站点N.B.com。这就导致了跨域问题,大多数时候 前后端用一个CORS方案 解决跨域问题就可以了。但是我这次有点特别。 前端这边是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值