Spring-Curity 前后端分离 - 跨域处理

最新推荐文章于 2023-05-15 20:23:41 发布
最新推荐文章于 2023-05-15 20:23:41 发布
阅读量323 收藏
点赞数
分类专栏: Spring-Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gang123123123/article/details/84956766
版权

各种问题卡了一段时间,下面正文开始

前端
  • 配置axios,使其允许携带Cookie
// 创建axios实例
const service = axios.create({
  // api 的 base_url
  baseURL: process.env.BASE_API,
  // 请求超时时间
  timeout: 60000,
  //允许携带Cookie
  withCredentials: true
})
  • 跨域设置
dev: {
  ... ...
  proxyTable: {
    '/': {
      //后端地址
      target: 'http://localhost:9000',
      changeOrigin: true,
      pathRewrite: {
        '^/': ''
      }
    }
  },
  ... ...
}
后端配置
  • 实现WebMvcConfigurer接口,重写addCorsMappings方法,如下图所示
  /**
   * 添加跨域支持
   */
  override fun addCorsMappings(registry: CorsRegistry) {
    if ("dev".equals(env)) {
      registry.addMapping("/**")
              .allowedOrigins("*")
              .allowCredentials(true)
              .allowedMethods("*")
              .exposedHeaders("Access-Control-Allow-Origin:$vueHost",
                      "Access-Control-Allow-Headers:$vueHost",
                      "Authorization",
                      "X-Requested-With")
              .maxAge(1728000)
    }
  }

vueHost的值为前端的地址,如http://localhost:9090,不要配置成*,前端会有错误,类似于:

Failed to load http://localhost:9090/user/list: The value of the ‘Access-Control-Allow-Origin’ header in the response must not be the wildcard ‘*’ when the request’s credentials mode is ‘include’. Origin ‘http://localhost:9000’ is therefore not allowed access. The credentials mode of requests initiated by the XMLHttpRequest is controlled by the withCredentials attribute.

  • 继承WebSecurityConfigurerAdapter类,重写configure(HttpSecurity http)方法,添加如下代码
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    AuthenticationSuccessHandler succHandler = (httpServletRequest, httpServletResponse, authentication) -> {
      if ("dev".equals(env)) {
        httpServletResponse.setHeader("Access-Control-Allow-Origin", vueHost);
      }

      this.writeResponseJson(httpServletResponse, new ObjectMapper().writeValueAsString(new MySecurityResponse(HttpCodeUtil.SUCCESS.getCode(), "", null)));
    };
    AuthenticationFailureHandler failHandler = (httpServletRequest, httpServletResponse, authenticationException) -> {
      if ("dev".equals(env)) {
        httpServletResponse.setHeader("Access-Control-Allow-Origin", vueHost);
      }
      this.writeResponseJson(httpServletResponse,
              new ObjectMapper().writeValueAsString(new MySecurityResponse(HttpCodeUtil.FAILURE.getCode(), "用户名或密码错误", null)));
    };
    LogoutSuccessHandler logoutSuccHandler = (httpServletRequest, httpServletResponse, authentication) -> {
      if ("dev".equals(env)) {
        httpServletResponse.setHeader("Access-Control-Allow-Origin", vueHost);
      }
      this.writeResponseJson(httpServletResponse,
              new ObjectMapper().writeValueAsString(new MySecurityResponse(HttpCodeUtil.SUCCESS.getCode(), "登出成功", null)));
    };
    
    if ("dev".equals(env)) {
      http.cors().and().csrf().disable();
    }
    http
            //所有的预请求都直接通过
            .authorizeRequests()
            .requestMatchers(CorsUtils::isPreFlightRequest).permitAll()
            .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
            ... ...
            
            .and()
            .formLogin()
            ...
            .successHandler(succHandler)
            .failureHandler(failHandler)

            .and()
            .logout()
            ...
            .logoutSuccessHandler(logoutSuccHandler)            

            //权限不足自定义处理器
            .and()
            .exceptionHandling().accessDeniedHandler(new MyAccessDeniedHandler())
  • 实现AccessDeniedHandler接口的handle方法:
@Override
  public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
    logger.info("[Access denied] {} --- {}", request.getRequestURL(), SecurityContextHolder.getContext().getAuthentication());
    logger.info("", response);

    response.setContentType("application/json;charset=utf-8");
    try (PrintWriter out = response.getWriter()) {
      out.write(new ObjectMapper().writeValueAsString(new MySecurityResponse(HttpCodeUtil.ACCESSDENDIE.getCode(), HttpCodeUtil.ACCESSDENDIE.getCodeDesc(), null)));
    } catch (IOException e) {
      logger.error("MyAccessDeniedHandler: ", e);
    }

  }

此配置是为了在访问权限不足的资源时,直接返回一个302状态的response(这些也可以交给前端去维护。)

爱xxxxxx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
authenticator-maven-archetype:Curity Authenticator Maven原型
04-16
该项目提供了Maven原型,以帮助您快速创建可与Curity Identity Server一起使用的插件框架。 当前,可以使用以下原型: 警报处理程序 验证者: 香草 基于OAuth或OpenID-Connect 验证动作 索赔提供者 同意者: ...
Spring Security 详解
qq_22075913的博客
06-06 10万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Spring Security详解
JAVA_KX的博客
05-15 2万+
AuthenticationManager进行认证时,将该认证管理器中的所有认证提供器遍历一遍,遍历过程中,首先检测认证提供器是否支持认证的票据类型,如果支持,则认证提供器开始进行认证。用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。
spring security——基本介绍(一)
热门推荐
随笔记
01-16 40万+
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式...
SpringSecurity超详细入门介绍
波波烤鸭的博客
12-02 2万+
  权限管理是我们项目中必不可少的一环,实际项目中我们可以自己设计权限管理模块,也可以使用市面上成熟的权限管理框架,比如 shiro或者 SpringSecurity等,前面已经详细的介绍过了 shiro 的使用,本文开始就给大家详细的来介绍下SpringSecurity的使用。 内容包括 spring+springmvc基于配置的方式详细介绍SpringSecurity springboot整...
SpringSecurity详解
我认不到你的博客
06-08 2632
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。...
react-assisted-token-website:React JS的辅助令牌网站示例
05-06
为了加快重建速度,Webpack只处理src内部的文件。 您需要将任何JS和CSS文件放入src ,否则Webpack将看不到它们。 只有内部文件public可以从使用public/index.html 。 阅读下面的说明,以使用JavaScript和HTML中的...
NIST SP800-41.pdf
02-18
Most importantly, organizations should strive to maintain all systems in a secure manner and not depend solely on the firewall to stop se-curity threats. Organizations need backup plans in case the ...
elixir-client-demo:一个简单的Elixir客户端演示应用程序
04-07
Elixir客户演示应用 这是一个非常简单的应用程序,可以使用客户端库在Curity Identity Server中测试客户端凭据流。运行示例在config/config.exs设置配置以匹配您的Curity Identity Server部署运行mix deps.get下载...
网络安全知识基础培训.pptx
05-13
网络安全知识基础培训,信息安全知识,安全基础知识,网络安全态势分析,网络安全分析,网络安全防范意识,安全培训,安全基础培训。
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
Spring Security学习总结一
06-06
Spring Security学习总结
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 3839
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来
springcurity前后端分离,使用动态请求url做鉴权及session共享
小猪奋斗
08-29 722
前言: 首先springcurity集成是不能直接适配前后端分离的, 需要简单的修改。 1.前后端分离登录接口需要返回登录成功或失败标识 2.无权限时,也需要返回无权限标识,而不是请求重定向 3.跨域处理 如何集成 增加maven依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifac
Spring Security 学习使用
weixin_42385438的博客
08-29 135
SpringBoot+Spring Security+Thymeleaf
跟着燕青学Spring Security认证授权05--Spring Security快速入门
传智燕青
10-09 1109
1 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码...
SpringCloud】Spring Security解决跨域问题、自定义校验方法
See_Star的博客
04-03 1813
SpringSecurity前后端解决跨域问题、权限校验方法等
Springsecurity使用浏览器登录失败返回302(跨域问题),前后端分离
scmagic的博客
06-24 8017
问题: 在使用Springsecurity时使用postman访问登录失败能得到自定义错误信息401,但是使用浏览器访问的时候,当登录成功时能正常进入自定义配置类,但是失败是直接给浏览器返回一个状态码302,并且通过查看断点并不能进入配置类 原因: springsecurity对未认证的访问会默认重定向一个接口,因前后端分离,所以不能实现前端自定义跳转到登陆页面的逻辑,实际修改方案就是后台修改springsecurity框架默认的302执行逻辑。 解决方法: 实现AuthenticationEntryPoi
SpringSecurity配置类--常用配置
qq_52211542的博客
10-07 3209
SpringSecurity配置类--常用配置
ctf签到题解法misc base64和base32 LJWXQ2C2GNZXQWSUKF4FU2SVGRGWSMLMJV5EKMKMKRJGYTKUKF2E6VDDPJNGSMLLLFWVKNKNK5DGQTKEMN4E2VCKHE======
最新发布
05-22
这是一个 base32 编码的字符串,需要先将其解码为二进制数据,再对其进行 base64 解码即可得到 flag。 以下是 Python 代码实现: ```python ...输出结果为:`flag{b@se32_&_b@se64_1s_n0t_s3curity}`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值