彻底解决Shiro跨域访问(简单http请求或复杂http请求)

最新推荐文章于 2024-08-17 14:07:10 发布
最新推荐文章于 2024-08-17 14:07:10 发布
阅读量6k 收藏 5
点赞数 1
分类专栏: web标准开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fycghy0803/article/details/90700328
版权

由于shiro使用redirect进行url的跳转,在遇到前端界面与后台业务处理不在一个域名下时,会遇到跨域问题,我们在使用springBoot时,一般会增加一个configuration类的问题允许进行跨跨请求,代码如下所示:

@Configuration
public class WebConfig extends DefaultWebMvcConfig {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")
                .allowedHeaders("*")
                .allowCredentials(true).maxAge(3600);
    }
}

但实际上这只解决简单http请求的跨域问题,遇到method=delete/put等非简单请求时,由于浏览器在访问后台服务前,会先发priflight请求(method=options),这时仍然会遇到跨域问题,为了解决priflight的请求问题,我们需要定义一个filter,对priflight的请求直接返回200,表示服务器允许priflight请求;对应的filter如下(使用该filter后,上面的configuration可以省略):
     

@Order(-100)
@Component
@ServletComponentScan
@WebFilter(urlPatterns = "/*",filterName = "shiroLoginFilter")
public class ShiroLoginFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        // 允许哪些Origin发起跨域请求
        String orgin = request.getHeader("Origin");
        // response.setHeader( "Access-Control-Allow-Origin", config.getInitParameter( "AccessControlAllowOrigin" ) );
        response.setHeader( "Access-Control-Allow-Origin", orgin );
        // 允许请求的方法
        response.setHeader( "Access-Control-Allow-Methods", "POST,GET,OPTIONS,DELETE,PUT" );
        //多少秒内,不需要再发送预检验请求,可以缓存该结果
        response.setHeader( "Access-Control-Max-Age", "3600" );
        // 表明它允许跨域请求包含xxx头
        response.setHeader( "Access-Control-Allow-Headers", "x-auth-token,Origin,Access-Token,X-Requested-With,Content-Type, Accept" );
        //是否允许浏览器携带用户身份信息(cookie)
        response.setHeader( "Access-Control-Allow-Credentials", "true" );
        //prefight请求
        if (request.getMethod().equals( "OPTIONS" )) {
            response.setStatus( 200 );
            return;
        }
        chain.doFilter( servletRequest, response );
    }

    @Override
    public void destroy() {

    }
}
ross
关注
专栏目录
Zuul,Shiro跨域CORS请求踩坑实录
ajax_yan的博客
05-28 837
前言:前后端分离,业务分离,网关路由等已经成为当下web application开发的流行趋势。前端以单页面路由为核心的框架为主体,可以单独部署在nodejs或nginx上。后端以springboot为代表的分布式微服务框架为主体,可以独立运行在任何端口上。相互通过符合restful规范的接口访问或数据交换。在这样的开发模式下,首先需要解决的就是由于跨域而引起的访问,cookie传递以及权限...
跨域每次请求sesseionid不同_解决Springboot+ajax跨域及每次请求sessionId不一样的问题...
weixin_39564368的博客
01-17 673
1、问题复现:项目中后端使用Springboot搭建,使用Shiro做安全管理。前后端分离后,前端使用ajax访问服务端程序。在未做任何处理前,ajax报错:Access to XMLHttpRequest at 'http://127.0.0.1:8080/login/checkLogin' from origin'http://localhost:63342' has been blocked...
springboot+shiro 跨域解决(OPTIONS)
梓鸿
12-20 2422
拦截器判断 拦截器截取到请求先进行判断,如果是OPTIONS请求的话,则放行 import com.alibaba.fastjson.JSON; import com.zp.demo.util.JwtHelperUtil; import org.apache.commons.lang.StringUtils; import org.apache.shiro.SecurityUtil...
shiro权限校验跨域问题
呆萌小新@渊洁的博客
05-09 967
1.背景 起初解决Springboot跨域问题的方法是直接在Controller上添加@CrossOrigin注解,实现了前后端分离中的跨域请求。但随着业务代码的编写,做了token会话保持的检验,添加了拦截器后,再次出现了跨域问题。很纳闷,讲理说后台已经允许了跨域请求,之前的测试也证明了这一点,那为什么又突然出现了跨域拦截问题呢? 2.分析及解决方案 在登录拦截器中作了校验,对于需要登录后才能访问的接口,如果请求头中没有携带token,则是非法请求,直接返回404码。然后由于一直有对拦截到的请求中的请求
springboot+shiro前后端分离过程中跨域问题、sessionId问题、302鉴权失败问题
最新发布
DN金猿的博客
08-17 99
2、sessionId问题,因前后端分离无法使用cookie,所以修改为登陆校验后返回sessionId给前端,前端拿到sessionId后放在请求头中,后端重写 DefaultWebSessionManager 中的 getSessionId 方法,从请求头中获取对应的sessionId。前端调用后台接口后,发现没有鉴权的请求,直接302错误,并没有对应的返回值,所以下面针对302问题进行解决。此文为我在改造springboot+shiro整合适用前后端分离项目中的记录,如果有错误的地方,还请及时指出。
Shiro跨域问题
Myy7504的博客
04-01 555
shiro过滤器 springMvc过滤器(CorsFilter)的执行先后顺序 所以在springMvc里面的跨域配置无效, 需要自定义一个过滤器优先级比shiro的过滤器更高 下面是跨域配置: 1.springMvc过滤器的跨域配置 @Configuration public class CrossOriginConfig { @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSourc
springboot shiro 跨域问题
09-04 529
1.跨域的问题是浏览器的原因,允不允许跨域是服务端来决定的。 2.整个跨域请求,包括两个步骤,首先是浏览器发起跨域请求,即option,看看服务端的意思,如果不允许,那就算了,直接报跨域错误,如果允许,那就不客气了,第二步就发起真正的请求。 2.1完成第一步有三种方式 //1.局部允许 在Controller 的方法中使用 @CrossOrigin @CrossOrigin //允许跨域 @RequestMapping(value ="/getLabelContents.do",
springboot(shiro)+vue(axios)跨域问题记录
王小禾
10-31 1146
1. 通用设置 一旦前后端分离,就涉及到跨域问题(域名、端口、协议(http或https等)其一不一样就是跨域)。 在涉及到跨域问题时,浏览器发送请求前,会优先发送一个OPTION请求。 所以,对于springboot项目,只需要自定义一下web过滤器即可。 /** * 解决跨域问题 */ @Configuration public class WebConfig extends WebMvc...
解决Shiro跨域问题
热门推荐
u010042669的博客
06-22 1万+
由于项目需要springboot项目接入了shiro进行登录验证。做法是在在每一个接口的heards部分增加token,后台拿到token后进行验证。在postman测试没问题。但是,前端却一直报options500错误。 原来,是浏览器的同源策略引起的。 什么是同源策略? 源(origin)就是协议、域名和端口号。同源策略是浏览器的一种安全功能,不同源(协议或域名或端口不同)之间不能相...
shiro跨域请求两次
11-16
前台发送请求必须将token放到request header中,而请求头中携带自定义参数,浏览器就认为请求是复杂跨域请求,所以浏览器在真正请求之前会发送一次预检请求,检测服务器是否支持真实请求进行跨域访问。 解决方案...
SpringBoot实现前后端分离的跨域访问(CORS)
01-27
而对于复杂的请求(如PUT、DELETE或带有自定义头部),浏览器会先发送一个预检请求(OPTIONS),询问服务器是否允许这样的跨域请求。预检请求包含的信息有: 1. `Origin`:请求的源,即前端所在域名。 2. `Access-...
shiro 同时实现url和按钮的拦截_Shiro是如何拦截未登录请求的(一)
weixin_32183427的博客
12-29 606
问题描述之前在公司搭项目平台的时候权限框架采用的是shiro,由于系统主要面向的是APP端的用户,PC端仅仅是公司内部人员在使用,而且考虑到系统的可用性和扩展性,服务端首先基于shiro做了一些改造以支持多数据源认证和分布式会话(关于分布式session可查看{% post_link SpringBoot集成Shiro实现多数据源认证授权与分布式会话(一)%}).我们知道在web环境下http是一...
跨域 以及 shiro解决
RealGUO的博客
04-13 3731
跨域 以及 shiro解决 同源策略:协议、域名、端口 作用:能帮助阻隔恶意文档,减少可能被攻击的媒介。 # 但也导致了跨域的问题的出现:前后端分离 # 前端访问后端,不满足同源策略,所以不能访问 1、反向代理解决 # 配置反向代理来实现跨域 # 前端访问代理 # 代理访问后端 # 代理将结果返回给前端 # 从而实现了跨域 2、CORS跨域 CORS(Cross-Origin Resource Sharing)跨域资源共享,定义了必须在访问跨域资源时,浏览器与服务器应该如何沟通。CORS的基本思想就
Springboot集成shiro,登录重定向跨域问题
Lee的博客
04-08 789
现在核心问题,当登录失效之后就不返回状态码302,而是直接调用退出登录接口,这样也能达到重新登录的目的。后来思考了下,跨域是重定向和父页面不同的地址出现的,这个时候在后端怎么配置其实已经没有用了。:判断用户是否登录,如果登陆了直接返回了,如果没有登录就会执行第二个方法。的源码如何来判断用户登录过期的,并且返回302重定向到新接口的。从这里可以看出,如果我们想自己定义返回值的话就要重写这两个方法。这个问题在网上找了很多解决的办法都是通过解决跨域,比如使用注解。项目采用了前后端分离的结构,前端使用的是。
springboot集成shiro+前端vue,前后端分离项目遇到跨域以及sessionid拿不到等问题
qq_50595984的博客
01-16 1477
近期在写前后端分离的项目,由于前后端分离导致原来使用的shiro配置无法满足现有系统要求。同时在前后端分离项目中存在的一些问题。例如,一些用户信息需要存储在后端方便进行安全性判断,但这些存储在后端的session前端却获取不到(特别奇怪),以及浏览器访问后端接口出现的跨域问题。
shiro跨域CORS问题处理
Mint6的博客
03-02 3732
前言 跨域问题的基本处理查看上一篇文章:https://blog.csdn.net/Mint6/article/details/104468530,这个可以解决大部分问题。 如果是使用的shiro以上步骤都试过了,还有如下问题,请看本文章的解决办法。 问题 把主要提示拷贝出来 A cookie associated with a cross-site resource at htt...
shiro ajax跨域,shiro(14)- 跨域预检请求进行权限认证
weixin_30915487的博客
08-06 303
跨域问题系列文章本文重点:对于复制的跨域请求,浏览器会发送一个OPTIONS预检请求,shiroFilter应如何处理该预检请求?由于浏览器都实行了“同源策略”,限制从一个源加载的文档或脚本去另外一个源进行资源交互。这就会导致前后端分离的架构,前端服务器与后台服务器之间存在着跨域问题。1. CORS解决跨域解决跨域问题的核心:允许两个源之间进行资源共享(CORS-跨域资源共享),也就是说,在响应中...
关于shrio的跨域问题
分享日常bug
05-29 196
不想解释太多,太累 代码是第一步,下面图片是第二步。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值