Spring Boot+Vue+Spring Security OAuth2的前后端分离项目实现研究

最新推荐文章于 2024-05-28 08:25:45 发布
最新推荐文章于 2024-05-28 08:25:45 发布
阅读量1.7w 收藏 43
点赞数 3
分类专栏: Spring 文章标签: Spring Security OAuth2 前后端分离 Vue Spring Boot axios
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/icarusliu/article/details/90045871
版权
业余在开发一个Spring Boot+Vue+Spring Security OAuth2的一个前后端分离项目,其中遇到不少如跨域、OPTIONS请求处理、PreAuthorize注解无效、Token失效处理等问题,记录如下。在此项目中,资源服务与授权服务在同一应用中,使用端口8081;前端应用使用端口8080。前端使用axios进行ajax调用。关于Spring Security OAuth...
摘要由CSDN通过智能技术生成

业余在开发一个Spring Boot+Vue+Spring Security OAuth2的一个前后端分离项目,其中遇到不少如跨域、OPTIONS请求处理、PreAuthorize注解无效、Token失效处理等问题,记录如下。

在此项目中,资源服务与授权服务在同一应用中,使用端口8081;前端应用使用端口8080。前端使用axios进行ajax调用。
关于Spring Security OAuth2相关内容,可参考:http://liumoran.cn/topic/detail?id=1

1. 后端处理跨域请求问题

如果前后端部署在不同应用服务器上,后端需要配置跨域访问才成。如未配置跨域访问,浏览器F12打开高度页面的Console界面中,可以看到以下信息:

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://localhost:8081/getLoginUser. (Reason: CORS header ‘Access-Control-Allow-Origin’ missing)

Spring Boot中配置跨域请求,可以通过定义Filter的方式实现:

@Component
public class MyCorsFilter implements Filter {
   
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
   
        HttpServletResponse response = (HttpServletResponse) res;

        response.setHeader("Access-Control-Allow-Origin","http://localhost:8080");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, PATCH, DELETE, PUT, OPTIONS");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Content-Type, x-requested-with, X-Custom-Header, Authorization");
        chain.doFilter(req, res);
    }

    @Override
    public void init(FilterConfig filterConfig) {
   }

    @Override
    public void destroy() {
   }

}

2. OPTIONS报401问题

为什么在正常的请求前要发送OPTIONS请求?

用户登录成功后,当前端往后端发送的请求中包含有Authorization头,并且是跨域请求时,浏览器将会往后端发送对应的OPTIONS请求,以确认后台服务是否支持对受保护资源的跨域访问。

由于OPTIONS请求中并不带有Token,因此请求被Spring Security OAuth2拦截到后,检查发现没有Token,直接返回401给前端页面了。

如何配置?

可以在Spring Security的配置类中配置允许所有OPTIONS请求访问,如下所示:

    @Override
    public void configure(HttpSecurity http) throws Exception {
   
        http
                .anonymous()
                .and()
                .authorizeRequests()
                .antMatchers(HttpMethod.OPTIONS, "**").permitAll()
                .anyRequest().authenticated();
    }

其中省略掉了其它的资源访问授权配置。

但在配置后前端访问仍旧报401!!经过排查,按前面所说,我是在Spring Security的配置类中添加这个配置的,但实际上,资源服务器中对请求是否有权限访问的处理,是在资源服务器的配置中进行的,因此在单独的Spring Security配置类中进行配置并不会生效!必须在继承自ResourceServerConfigurerAdapter的配置类中进行该项配置。

在资源服务中,实际上是不需要单独的Spring Security的配置类的,直接使用ResourceServerConfigurerAdapter即可完成对各类资源的授权配置。此时的配置类如下:

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends ResourceServerConfigurerAdapter {
   
    @Autowired
    private RealAuthenticationProvider authenticationProvider;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
   
        resources.resourceId("testResource")
                .stateless(true);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
   
        http
                .authorizeRequests()
                    .antMatchers(HttpMethod.OPTIONS, "**").permitAll()
                    .antMatchers("/*", "/css/**/*", "/js/**/*", "/icons/**/*", "/upload/*",
                            "/h2-console/", "/h2-console/**/*", "/topic/**/*").permitAll()
                    .anyRequest().authenticated()
                .and()
最低0.47元/天 解锁文章
icarusliu81
关注
  • 3
    点赞
  • 43
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
基于SpringBoot整合oauth2实现token认证
08-25
主要介绍了基于SpringBoot整合oauth2实现token 认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
基于Spring Cloud、OAuth2.0、Vue前后端分离的系统
12-11
基于Spring Cloud、OAuth2.0、Vue前后端分离的系统。 通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动态路由、灰度发布、 支持常见登录方式, 多系统SSO登录
Spring Security + OAuth2】前后端分离
weixin_43676950的博客
05-16 907
跨域全称是跨域资源共享(Cross-Origin Resources Sharing,CORS),它是浏览器的保护机制,只允许网页请求统一域名下的服务,同一域名指=>协议,域名,端口号都要保持一致,如果有一项不同,那么就是跨域请求,在前后端分离项目中,需要解决跨域的问题。当访问一个需要认证之后才能访问的接口的时候,Spring Security会使用 AuthenticationEntryPoint 将用户请求跳转到登录页面,要求用户提供登录凭证。在WebSecurityConfig,加入注销配置。
基于spring security实现vue2前后端分离的双token刷新机制(完整代码详解,含金量拉满!)
qq_60614034的博客
03-27 3529
网上许多博主,放张图片讲讲双token原理就发出来,没有含金量,还耽误大伙的时间。但是我不一样,我将会把代码的每一步骤都讲明白,并把详细代码放出来,让每一位看到的人都能跟着一步步自己搞,弄明白每一步的执行流程。要是觉得我跟那些博主一样,也是水文章,互相抄袭,请在评论区直接开骂。如果是第一次接触security请看这篇spring security单token前后端分离详细配置。
SpringBoot搭建OAuth2
最新发布
m0_60681411的博客
05-28 1516
本文描述了通过SpringBoot从无到有的搭建OAuth2服务器的一系列实践过程。其中包括OAuth2的授权方式介绍,测试场景,过程中遇到的困难等,对新接触OAuth2的人有较大帮助。
Vue + SpringBoot 简单实现Oauth2.0登录
MaoSLv的博客
01-11 663
Vue + SpringBoot 简单实现Oauth2.0登录
基于SpringSecurityOAuth2实现单点登录, 简单示例用于学习SpringSecurityOAuth2. 解决了遇到的所有SpringSecurityOAuth2的坑
神尐破
09-11 1403
OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。这是一个标准, spring也推荐也默认采用这种登录授权的模式, 所以跟着spring来,方向不会错。OAuth 的核心就是向第三方应用颁发令牌,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。OAuth 2.0 规定了四种获得令牌的流程:authorization code(授权码模式)implicit(简化模式)
Spring Cloud实战 | 最八篇:Spring Cloud +Spring Security OAuth2+ Vue前后端分离模式下无感知刷新实现JWT续期
竹林幽深
10-08 1284
https://blog.51cto.com/u_12386660/4909242
Spring Boot + Vue前后端分离登录授权、动态权限路由、页面缓存
LEEMER
10-07 1108
趁着国庆小长假写了个前后端分离登录授权、动态路由权限的Demo。 本项目后端使用Java8,使用OAuth2认证流程,主要使用了Spring Boot2.4、MyBatis-Plus3.4、Spring Security OAuth2等框架; 前端基于vue-admin-template模板开发,主要实现了用户登录Vue动态路由和按钮权限等功能;使用PostgreSQL数据库。在线预览http://119.91.80.127/ ...
spring-cloud-oauth2+jwt+vue前后端分离的权限管理系统
weixin_40749647的博客
04-28 2399
这里写自定义目录标题设计理念技术栈后端前端项目结构最终效果项目地址欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 设计理念 一般springboot类型项目的权限系统shiro或者sprin
SpringSecurityOauth2实现前后端分离的token服务,app登录
一点光辉的博客
02-09 6450
图解认证服务器和资源服务器 用户通过认证服务器获取到token之后,在通过token访问服务器的资源(接口) 认证服务器 授权码模式 第一步:在@configuration配置类中 @Configuration //加上这个注解就实现了一个认证服务器 @EnableAuthorizationServer public class AuthorizationServerConfig ...
SpringBoot3+Vue3】一【基础篇】
春天的波菜
11-13 5157
Spring BootSpring提供的一个子项目,用于快速构建Spring应用程序发送邮件为例@AutoConfiguration//表示当前类是一个自动配置类@Bean@Bean//扫描的包:启动类所在的包及其子包//扫描的注解。
SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 9184
了解OAUTH2统一认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目中, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
基于spring boot + vue 的宿舍管理系统源码.zip
05-23
这是一个基于Spring BootVue.js构建的宿舍管理系统源代码项目,旨在提供一套完整的从前端到后端,再到数据库的解决方案。让我们深入探讨这个系统的各个组成部分及其关键知识点。 首先,Spring Boot是Java开发的一...
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权.doc
04-01
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
基于Spring Boot+Vue+ElementUI的人力资源管理系统.zip
05-12
- 采用前后端分离的架构,Spring Boot提供RESTful API,Vue.js负责前端页面的渲染和交互。 - 代码版本控制使用Git,协同开发时需遵循良好的代码提交和合并策略。 - 利用Docker进行服务容器化,方便部署和扩展。 ...
Java+spring boot+vue 前后端分离(员工签到请假管理系统)
08-18
本文将深入探讨一款基于Java+Spring Boot+Vue技术栈的前后端分离实现的员工签到请假管理系统,旨在为读者提供一个全面的技术参考。 首先,Java作为后端开发的主流语言,以其稳定性和强大的生态系统受到开发者们的...
SpringBoot 如何使用 OAuth2 进行认证和授权
it_xushixiong的博客
06-23 4931
在本文中,我们介绍了如何在 SpringBoot 中使用 OAuth2 进行认证和授权。我们首先介绍了 OAuth2 的基本概念和 Spring SecuritySpring OAuth2 的相关知识,然后详细讲解了在 SpringBoot 中如何配置 Spring SecurityOAuth2,以及如何创建控制器来处理 OAuth2 相关请求。通过本文的讲解,相信读者已经掌握了在 SpringBoot 中使用 OAuth2 进行认证和授权的。
springboot 3 + spring security 6 + oauth2 +vue
12-27
综上所述,Spring Boot 3、Spring Security 6、OAuth2和Vue是一组强大的技术栈,通过它们的集成和配合使用,开发者可以快速构建出安全可靠的前后端分离的Web应用程序。由于它们具有良好的兼容性和灵活性,可以满足...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值