Springboot整合Shiro前后端分离跨域问题

最新推荐文章于 2022-08-12 13:44:39 发布
最新推荐文章于 2022-08-12 13:44:39 发布
阅读量637 收藏 8
点赞数 2
分类专栏: SpringBoot 文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forever_xw_/article/details/116856308
版权

Springboot整合Shiro前后端分离跨域问题

前言:SpringBoot整合shiro进行前后端分离开发时(前端是Vue),项目做了跨域配置,但还是前端请求会出现cros err–显示的跨域问题(Access-Control-Allow-Origin )。后端没有任何报错显示,逐步分析才慢慢理解。
解决:如下是我的跨域配置:
package com.carshow.data.config;

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpStatus;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @Author xw
 * @Description  跨域访问控制, 做前后分离的话,这个也是必配的
 * @Date 2021/4/12  13:07
 */
@Configuration
public class CorsConfig implements Filter {

    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        // 允许任何域名使用
        corsConfiguration.addAllowedOriginPattern("*");
        // 允许任何头
        corsConfiguration.addAllowedHeader("*");
        // 允许任何方法(post、get等)
        corsConfiguration.addAllowedMethod("*");
        //允许cookie
        corsConfiguration.setAllowCredentials(true);// 是否支持安全证书(必需参数)
        corsConfiguration.setMaxAge(3600L);// 预检请求的有效期,单位为秒。
        corsConfiguration.addExposedHeader("set-cookie");
        corsConfiguration.addExposedHeader("access-control-allow-headers");
        corsConfiguration.addExposedHeader("access-control-allow-methods");
        corsConfiguration.addExposedHeader("access-control-allow-origin");
        corsConfiguration.addExposedHeader("access-control-max-age");
        corsConfiguration.addExposedHeader("X-Frame-Options");

        return corsConfiguration;
    }


    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        // 对接口配置跨域设置
        source.registerCorsConfiguration("/**", buildConfig());
        return new CorsFilter(source);
    }



    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;

        response.setHeader("Access-control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
        response.addHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT");
        if ("OPTIONS".equals(request.getMethod())) {
            response.setStatus(HttpStatus.NO_CONTENT.value());
            return;
        } else {
            filterChain.doFilter(request, response);
        }
    }

    @Bean
    public FilterRegistrationBean replaceTokenFilter(){
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setDispatcherTypes(DispatcherType.REQUEST);
        registration.setFilter( new CorsConfig ());
        registration.addUrlPatterns("/*");
        registration.setName("crosFilter ");
        registration.setOrder(1);
        return registration;
    }
}
原因:浏览器会在发送真正请求之前,先发送一个方法为OPTIONS的预检请求 Preflighted requests 这个请求是用来验证本次请求是否安全的,而且并不是所有请求都会发送,需要符合以下条件:
  1. 请求方法不是GET/HEAD/POST
  2. POST请求的Content-Type并非application/x-www-form-urlencoded, multipart/form-data, 或text/plain
  3. 请求设置了自定义的header字段
后端使用了shiro安全框架,每次请求需要在header中携带自定义的字段(Authorization),所以浏览器会多发送一个OPTIONS请求,但是OPTIONS请求不会携带Authorization,后端验证不通,所以会产生跨域问题。
解决问题关键点:使用拦截器解决跨域问题,并且针对OPTIONS请求做放行处理
 @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;

        response.setHeader("Access-control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
        response.addHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT");
        if ("OPTIONS".equals(request.getMethod())) {
            response.setStatus(HttpStatus.NO_CONTENT.value());
            return;
        } else {
            filterChain.doFilter(request, response);
        }
    }

    @Bean
    public FilterRegistrationBean replaceTokenFilter(){
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setDispatcherTypes(DispatcherType.REQUEST);
        registration.setFilter( new CorsConfig ());
        registration.addUrlPatterns("/*");
        registration.setName("crosFilter ");
        registration.setOrder(1);
        return registration;
    }

OK!

夕夕夕兮
关注
专栏目录
SpringBoot 集成 Shiro 实现前后端分离
进阶的球儿
09-27 4908
近期,工作需求也是涉及到 Shiro 权限的问题,而且目前项目是前后端分离的,所以要求做到实现前后端分离。作为一个攻城狮,自然不能推辞。 鉴于之前未接触过 SpringBoot 中 用 ShIro 做授权和认证,然后去各大网站上搜了一番,果然,还和以前一样,千篇一律,Copy的居多,而且即使 GitHub 上有 demo 的,下载之后也是跑步不起来,无计可施。 ...
cas shiro 前后端分离 登录_SpringBoot+Shiro前后端分离项目通过JWT实现自动登录-阿里云开发者社区...
weixin_39866487的博客
12-19 313
SpringBoot+Shiro前后端分离项目通过JWT实现自动登录虽然 Shiro 本身可以支持扩展 RememberMe 功能,但仅限于传统项目因为 Shiro 的用户信息是基于 Session 进行管理,在前后端分离的项目中无法实现 Session 状态的前后统一所以本文通过 JWT 对 Shiro 原生的 Session 控制进行替换,从而实现用户信息的前后传递及判断更多精彩涉及资料导入项...
shiro整合springboot前后端分离
08-25
主要介绍了shiro整合springboot前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
springboot+shiro+vue前后端分离跨域问题
ldcaws的专栏
09-29 361
工程为前后端分离模式,后端为springboot+shiro、前端为vue;前端部署在nginx中; 在此前提条件为项目正常,配置正常,不再赘述。 前端调用后端接口服务时报跨域问题:Response to preflight request doesn’t pass access control check: Redirect is not allowed for a preflight request. 解决方案: @Configuration public class CorsConfig implem
shiro 前后端分离跨域问题
多凡的博客
02-07 1148
解决跨域问题shiro springboot vue
shiro跨域问题
m0_37634363的博客
04-09 896
在后台使用shiro权限框架的时候,如果前后端分离,则每个请求都是跨域请求,shiro对跨域请求每次都是生成一条session。这样会导致很多bug,比如在登录的时候,获取验证码和登录用的不是同一个session,所以验证就无法比较,在登录的session里面获取验证码会一直获取到一个空值。解决方案是如果后台要进行跨域配置,然后前端的请求配置里面一定一定要加上 withCredentials: ...
SpringBoot之vue访问shiro时出现的跨域问题的解决(前后端分离项目)
编程学习者的博客
04-13 2643
1.声明 当前的内容用于记录当前前后端分离的vue项目,并且在SpringBoot中开启了Shiro进行权限控制,此时出现的跨域的问题,以及当前的解决方法 2.一般的跨域请求 1.基于WebMvcConfigurer是实现的 @Configuration public class CorsConfig implements WebMvcConfigurer { private Log log...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不...
Springboot2.x 整合shiro JWT redis 前后端分离
weixin_43223929的博客
10-28 3125
前言 原文地址:Springboot2.x 整合shiro JWT redis 前后端分离 如果你还对Shiro不太了解,请先看完上个教程:springboot2.x 整合shiro 本文整合shiro与JWT,其中数据库采用 用户->角色->权限 三层,JWT有token和refreshToken,其中refreshToken存储用的是redis,下面我们会一一介绍。 正文 流程 我...
springboot+vue前后端分离整合shiro+jwt
weixin_45803046的博客
04-26 985
0.实现逻辑 1.导入依赖 导入shiro-redis的starter包:还有jwt的工具包 <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter</artifactId> <version>3.2.1</version> </dependency> <!-
前后端分离Shiro + springboot跨域问题
东哥他爸的博客
11-06 1162
前后端分离Shiro + springboot跨域问题问题- 修改请求头后请求两次:解决办法-跳过检测请求: 前后端分离项目 前端VUE 后台 springboot+shiro+mybatis 问题- 修改请求头后请求两次: 请求携带请求头后 VUE发送请求两次 , 第一次OPTIONS检测服务器状态后 , 再发送正常请求, 此时 shiro 会拦截不再白名单中的URI 的 OPTIONS请求...
前后端分离(vue springboot)时候,后端集成权限框架(shiro security)遇到的跨域问题
我的博客
04-13 1354
前后端分离跨域问题,以vue + springBoot 为例 如果在后端springBoot 配置跨域,可以解决问题,但是如果后端集成权限框架(shiro、security)的时候会出现新的跨域问题、csrf问题和sessionId丢失问题,很难解决; 所以前后端分离的时候,跨域问题一定要在前端配置解决,用前端代理解决(开发环境proxy代理,生产环境nginx代理),千万不要放在后端...
SpringBoot2.x整合Shiro出现Cors跨域问题
Mrloserc的博客
03-22 541
1. Springboot如何跨域? 最简单的方法是: 定义一个配置CorsConfig类即可(是不是简单且无耦合到令人发指) import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springfra
Shiro过滤器导致的前端跨域
沐晨的博客
04-19 1432
问题背景 公司项目是前后端分离的,最近要求在请求时都要在请求头加入自定义的 token,在做接口调试时,前端总是请求不通,然而自己用 POSTMAN 等工具时都可以,这就出现了问题,也就是 复杂请求 的跨域问题。 问题分析 部分文段摘自 跨域资源共享 CORS 详解 复杂请求 浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple req...
CORS跨域问题原因和解决方案
热门推荐
蔚然成风
06-21 1万+
Springboot跨域问题,是当前主流web开发人员都绕不开的难题。但我们首先要明确以下几点 - 跨域只存在于浏览器端,不存在于安卓/ios/Node.js/python/ java等其它环境 - 跨域请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。 - 之所以会跨域,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。 浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是跨域的HTT
spring boot 2.4.x 跨域配置
杯具一族
02-26 351
spring boot 2.4.x 跨域配置 @Bean public CorsFilter corsFilter() { // 1.添加CORS配置信息 CorsConfiguration config = new CorsConfiguration(); // 放行哪些原始域 config.addAllowedOriginPattern("*"); // 是否发送Cookie信息 config.setAllowCredentials(true); // 放行哪些原始域(
使用CORS解决跨域问题
熊诗言的博客
02-21 3276
后端接口和前端分离的时候,很多情况下会遇到跨域问题。这是浏览器的同源策略导致的,同源策略是为了Web安全提出的,说的是两个不同源的网址默认是不能请求对方的接口的。不同源包含:协议(http|https)、ip/域名、端口之一不同就是不同源。不同源的网页请求接口都要遵循浏览器的同源策略。 解决跨域问题有两种方案,都需要服务端支持才可以。 一种是JSON...
解决Springboot+vue前后端分离跨域问题
nice_chao的博客
04-21 730
1.@CrossOrigin注解 springmvc提供了@CrossOrigin注解在controller层加上注解@CrossOrigin注解进行前后端的跨域问题的解决,代码如下: @CrossOrigin @PostMapping("/findAll2") public Map findAll2(){ Map map=new HashMap(); List<Studentinfo> studentinfos = studenti
Spring 中关于CORS 跨域配置
Lyndon的专栏
08-12 365
登录 实现一个Ajax请求
springboot整合shiro前后端分离
最新发布
03-16
Spring Boot整合Shiro可以实现前后端分离的安全认证和授权功能。前端通过Ajax请求后端接口,后端接口通过Shiro进行安全认证和授权,返回相应的结果给前端。 具体实现步骤如下: 1. 引入ShiroSpring Boot相关依赖。 2. 配置Shiro的安全管理器和过滤器链。 3. 实现自定义Realm,用于认证和授权。 4. 实现登录接口,接收前端传来的用户名和密码,通过Shiro进行认证,返回认证结果给前端。 5. 实现权限接口,接收前端传来的请求,通过Shiro进行授权,返回授权结果给前端。 6. 前端通过Ajax请求后端接口,接收后端返回的认证和授权结果,根据结果进行相应的操作。 通过以上步骤,就可以实现Spring Boot整合Shiro前后端分离安全认证和授权功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值