分布式shiro单点登录跨域、请求等相关问题

最新推荐文章于 2024-06-10 19:34:41 发布
最新推荐文章于 2024-06-10 19:34:41 发布
阅读量1.5k 收藏 2
点赞数 1
文章标签: 分布式 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37928046/article/details/121899952
版权

先讲一下此次项目的基本架构 使用springcloudalibaba 做的分布式项目shiro实现单点登录,前后端分离,前端使用vue。

使用shiro结合redis存储session信息登录之后返回token字符串,前端请求携带在header里以Authorization携带到后台。

1跨域问题

在gateway进行统一配置

@Configuration
public class CorsConfig {
    @Bean
    public CorsWebFilter corsWebFilter() {
        CorsConfiguration cfg = new CorsConfiguration();
        cfg.setAllowCredentials(true);
        cfg.addAllowedOrigin("*");
        cfg.addAllowedMethod("*");
        cfg.addAllowedHeader("*");
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", cfg);
        return new CorsWebFilter(source);
    }
}

另外在yml配置

routes:
  - id: com-lepu-his-adapter
    uri: lb://com-lepu-his-adapter
    predicates:
      - Path=/his/**
    filters:
      - StripPrefix=1
      - DedupeResponseHeader=Access-Control-Allow-Credentials Access-Control-Allow-Origin

主要是最后DedupeResponseHeader 意思是去除响应头中重复的值。

2 前后端分离之后需要放过OPTIONS请求

在gateway中配置

@Component
public class LoginFilter implements GlobalFilter, Ordered {
    @Override
    public int getOrder() {
        return -1;
    }

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest request = exchange.getRequest();
        ServerHttpResponse response = exchange.getResponse();
        if (CorsUtils.isCorsRequest(request)) {
            HttpHeaders requestHeaders = request.getHeaders();
            HttpMethod requestMethod = requestHeaders.getAccessControlRequestMethod();
            HttpHeaders headers = response.getHeaders();
            //放过OPTIONS请求
            if (request.getMethod() == HttpMethod.OPTIONS) {
                response.setStatusCode(HttpStatus.OK);
                return Mono.empty();
            }
        }

        boolean containsKey = exchange.getRequest().getHeaders().containsKey("Authorization");
       
        if(!containsKey){
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            DataBuffer wrap = response.bufferFactory().wrap("token22 can not be null".getBytes());
            return response.writeWith(Mono.just(wrap));
        }
        return chain.filter(exchange);
    }
}

一方面是配置放过OPTIONS请求,另外一方面在gateway只做了认证请求头不能为空的限制。

3 前后端分离之后shiro等未登录、未授权等问题不能通过配置重定向页面来解决。

3.1未登录问题 继承FormAuthenticationFilter

@Slf4j
public class ShiroFormAuthenticationFilter extends FormAuthenticationFilter {

    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {

        if (this.isLoginRequest(request, response)) {
            if (this.isLoginSubmission(request, response)) {
                if (log.isTraceEnabled()) {
                    log.trace("Login submission detected.  Attempting to execute login.");
                }

                return this.executeLogin(request, response);
            } else {
                if (log.isTraceEnabled()) {
                    log.trace("Login page view.");
                }
                return true;
            }
        } else {
            HttpServletRequest req = (HttpServletRequest)request;
            HttpServletResponse resp = (HttpServletResponse)response;
            if (req.getMethod().equals(RequestMethod.OPTIONS.name())) {
                resp.setStatus(HttpStatus.OK.value());
                return true;
            } else {
                if (log.isTraceEnabled()) {
                    log.trace("Attempting to access a path which requires authentication.  Forwarding to the Authentication url [{}]" ,this.getLoginUrl());
                }
                /**
                 * 在这里实现自己想返回的信息,其他地方和源码一样就可以了
                 */
                resp.setHeader("Access-Control-Allow-Credentials", "true");
                resp.setContentType("application/json; charset=utf-8");
                resp.setCharacterEncoding("UTF-8");
                PrintWriter out = resp.getWriter();
                out.println(JSON.toJSONString(ResultBean.reponse(Constant.ERROR_401)));
                out.flush();
                out.close();
                return false;
            }
        }
    }

}

3.2未授权问题

@Slf4j
@ControllerAdvice
public class BaseExceptionHandler {

    @ExceptionHandler(value = Exception.class)
    @ResponseBody
    public ResultBean error(HttpServletRequest request, HttpServletResponse response, Exception e) {
        log.error("系统错误", e);
        return ResultBean.reponse(Constant.ERROR_500);
    }

    @ExceptionHandler(value = AuthorizationException.class)
    @ResponseBody
    public ResultBean error(HttpServletRequest request, HttpServletResponse response, AuthorizationException e) {
        return ResultBean.reponse(Constant.ERROR_402);
    }
}

在公共异常里面配置未授权异常的捕获类

九翎扶摇
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【重点】springcloud分布式中gateway+shiro+jwt认证流程(思路)
HD243608836的博客
03-06 2710
---> userService查询userInfo,放入上下文中SimpleAuthenticationInfo(便于ShiroUtils.getProfile()获取当前登录的用户信息),返回。----> 去验证(username,password) + accountService.generateToken()---> userService查询role,role查询permission,返回。--> 其它不需要登录的业务模块。--> 不合法已过期,重新登录。--> 合法未过期,放过。
ims_cloud_gateway+shiro完成认证权限、日志等-Euraka版.rar
06-09
开箱即用的微服务认证授权架构 Eureka作为注册中心; 方案一: spring-gateway作为网关,具备熔断,负载,限流,统一操作日志,认证权限拦截等功能 ,过滤器统一异常捕获; shiro+redis作为认证授权服务 oaa,提供为网关feign接口,用来验证权限 。 方案二: zuul作为网关,具备熔断,负载,统一操作日志。整合shiro+redis为网关进行认证权限拦截,过滤器统一异常捕获 ; 两种网关底层实现不同,各有取舍,zuul可以作为一个web,实现功能起来更简单,后期也能和sentinel结合做限流熔断;而gateway则更注重性能,WebFlux 非阻塞式web框架,性能是zuul的1.7倍。
Spring Boot + Vue + Shiro 实现前后端分离,写得太好了!
最新发布
2401_85123379的博客
06-10 792
三套“算法宝典”算法刷题LeetCode中文版(为例)人与人存在很大的不同,我们都拥有各自的目标,在一线城市漂泊的我偶尔也会羡慕在老家踏踏实实开开心心养老的人,但是我深刻知道自己想要的是一年比一年有进步。最后,我想说的是,无论你现在什么年龄,位于什么城市,拥有什么背景或学历,跟你比较的人永远都是你自己,所以明年的你看看与今年的你是否有差距,不想做咸鱼的人,只能用尽全力去跳跃。祝愿,明年的你会更好!
zuul/gateway怎么集成shiro或者jwt进行认证和鉴权
热门推荐
龙ygl龙的博客
05-15 1万+
zuul的: zuul集成jwt: https://blog.csdn.net/weixin_38003389/article/details/83654721 zuul集成shiro,我采用的是将shiro写成一个独立的服务,然后再使用springsession将session共享到redis中。可以看我上一篇博客。同时推荐一篇好文: https://blog.csdn.net/u01...
Spring-gateway+shiro实现分布式认证权限架构/zuul+shiro实现分布式认证权限架构
weixin_44828808的博客
06-09 1893
Eureka版: https://download.csdn.net/download/weixin_44828808/19517694?spm=1001.2014.3001.5503 Nacos版: https://download.csdn.net/download/weixin_44828808/19516996?spm=1001.2014.3001.5503
shiro源码分析篇5:结合redis实现session跨域
samll leaf
10-22 1565
相信大家对session跨域也比较了解了。以前单台服务器session本地缓存就可以了,现在分布式后,session集中管理,那么用redis来管理是一个非常不错的选择。在结合redis做session缓存的时候,也遇到了很多坑,不过还算是解决了。和上篇讲述一样,实现自定义缓存,需要实现两个接口Cache,CachaManager。 RedisCache.javapackage com.share
跨域点单登录源码SSO_cross_domain
07-24
跨域点单登录源码SSO_cross_domain是一个用于实现单点登录(Single Sign-On, SSO)的项目,主要解决了用户在多个域名之间切换时无需重复登录的问题。在这个项目中,我们将探讨三个核心概念:跨域、点单登录以及SSO。...
civism-sso:基于springmvc+redis+shiro 实现的分布式单点登录系统
05-14
civism-sso基于springmvc+redis+shiro 实现的分布式单点登录系统,继承了登录验证以及数据接口鉴权, 能很好的帮助其他项目做前后端分析,并且不需要其他子系统关心权限,并且该项目支持跨域请求 功能介绍 * sso登录...
SSM+shiro+redis
09-11
7. 单点登录实现通常需要额外的票据(Token)管理,Shiro提供了一套完整的解决方案,包括跨域问题处理。 在实际开发中,SpringMVC-Mybatis-Shiro-redis-0.2-master可能是一个已经整合好的项目模板,包含了所有必要...
ylogin:分布式登录系统
03-20
这种系统通常采用单点登录(Single Sign-On, SSO)机制,允许用户在一个系统中登录后,无需再次认证即可访问其他关联系统。SSO通过共享认证信息,使得用户在整个企业或平台内能够顺畅地切换不同服务。 在Java环境下...
cas +shiro集成
08-01
CAS是一个开源的单点登录(Single Sign-On,SSO)协议实现,它允许用户通过一个认证服务器进行一次登录,然后就能访问所有支持CAS的系统,无需再次输入凭证。这大大提升了用户体验并简化了身份验证的管理。 Shiro是...
spring cloud + shiro集成方案
01-15
手把手教你集成spring cloud + shiro微服务框架;用最少的工作量,改造基于shiro安全框架的微服务项目,实现spring cloud + shiro 框架集成。博客地址:https://blog.csdn.net/weixin_42686388/article/details/103084289
ims_nacos_gateway+shiro完成认证权限、日志等-Nacos版.rar
06-09
开箱即用的微服务认证授权框架 基本功能: 1.Nacos作为注册中心和配置中心(包括logback配置) ; 2.spring-gateway作为网关,具备熔断,负载,限流,统一操作日志,认证权限拦截等功能 ; 3.shiro+redis作为认证授权服务 oaa,提供为网关feign接口,用来验证权限 。 注意: 1.nacos1.1.4的安装包和naocs的配置文件也在压缩包内; 2.项目中有建表sql;
解决SpringBoot整合Shiro 跨域问题及前端报错401问题解决——亲测有效!
qq_54502508的博客
02-20 2611
解决SpringBoot整合Shiro 跨域问题及前端报错401问题解决——亲测有效!
跨域 以及 shiro解决
RealGUO的博客
04-13 3633
跨域 以及 shiro解决 同源策略:协议、域名、端口 作用:能帮助阻隔恶意文档,减少可能被攻击的媒介。 # 但也导致了跨域问题的出现:前后端分离 # 前端访问后端,不满足同源策略,所以不能访问 1、反向代理解决 # 配置反向代理来实现跨域 # 前端访问代理 # 代理访问后端 # 代理将结果返回给前端 # 从而实现了跨域 2、CORS跨域 CORS(Cross-Origin Resource Sharing)跨域资源共享,定义了必须在访问跨域资源时,浏览器与服务器应该如何沟通。CORS的基本思想就
【原创】OPTIONS请求跨域请求被阻止(原因:CORS预检通道未成功)解决方案 超神!牛逼!
RubyXun's-Blog
06-02 4498
前后端交互:OPTIONS请求跨域失败问题
SpringCloud + Oauth2.0 + ShiroRedis + JWT + Gateway + Nacos + Nginx + ant-design-vue 电商 java 项目
年少有为
08-11 1575
java saas电商小程序
Shiro+Cas+Spring+Vue 前后端分离单点登录实现
qq_35167373的博客
12-29 9870
要实现单点登录的重点其实就是将  账号密码的验证 给独立出来当做一个独立的项目,只需要在此项目上一次通过验证即可。 而此项目不需要自己从头来写,已经有很多开源的实现。这里使用的是CAS 使用 CAS+Shiro 之前一定要,搞明白运行原理,可以少出和解决问题 去网上下载 cas-server-webapp-4.2.6.war 这个war(版本随意,4.2后配置文件可能有差别),修改为cas....
shiro 跨域登录_六个高Star开源项目,让你更懂OAuth和单点登录
weixin_39646706的博客
01-23 194
现在大部分的网络应用,登录、注册、密码加密保存、token 管理等功能都是必要的。为了让用户的隐私更能得到保障,使用起来更方便,OAuth 协议和单点登录系统也就应运而生。今天 Gitee 介绍的六款开源项目就是针对开发者的此类需求,通过学习开源项目,来让自己的技术更精进。1.oauth2-shiro项目作者:monkeyk7开源许可协议:Apache-2.0项目地址:https://gitee....
shiro 单点登录
07-28
Shiro 是一个强大且易于使用的 Java 安全框架,它提供了身份验证、授权、加密和会话管理等功能,可以用于实现单点登录(Single Sign-On,简称 SSO)。 在 Shiro 中实现单点登录,你可以使用 Shiro 提供的集成模块或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值