springboot,shiro跨域CORS请求,拿不到headers中的token值解决

最新推荐文章于 2023-05-05 20:30:01 发布
最新推荐文章于 2023-05-05 20:30:01 发布
阅读量1.3k 收藏 5
点赞数 3
分类专栏: java 文章标签: spring boot java mybatis 网络协议 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67402774/article/details/126516150
版权

项目背景:

最近在做一个后台用Spring boot、Shiro、Mybatis plus 、Oauth2,前台用layui的项目.前端在调后台接口的时候需要在浏览器中的headers头中添加token和userId的值(根据业务不同可能传值不一样),后台有一个过滤器,获取到headers中的token和userId,并去验证token是否在有效期内,在进行其他操作,在这个过程中,shiro的过滤器中一直接收不到token和userId的值,并且前端会报跨域问题

前端错误信息
在这里插入图片描述

后端拦截器一直接收不到token和userId信息
在这里插入图片描述

但这个时候尝试用postman(postman不会出现跨域问题)发送试试,结果可以收到值,WTF,开始考虑的原因可能是token和userId没有放入headers中,后来通过仔细看了下没问题啊(下图)

在这里插入图片描述
在这里插入图片描述

为什么不发送值呢。仔细又去看了CROS的介绍。原来CROS复杂请求时会先发送一个OPTIONS请求,来测试服务器是否支持本次请求,这个请求时不带数据的,请求成功后才会发送真实的请求。所以前面那个只发送key的问题是要确认服务器支不支持接收这个headers。所以每次获取不到数据的请求都是OPTIONS请求。所以我们要做的就是把所有的OPTIONS请求统统放行。

做法是在 StatelessAuthcFilter(自定义的过滤器) 中继承AccessControlFilter(Shiro自带的过滤器) 并重写其中的 preHandler 方法。 代码如下:

    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpRequest = WebUtils.toHttp(request);
        HttpServletResponse httpResponse = WebUtils.toHttp(response);
        if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpResponse.setHeader("Access-control-Allow-Origin", httpRequest.getHeader("Origin"));
            httpResponse.setHeader("Access-Control-Allow-Methods", httpRequest.getMethod());
            //  httpResponse.setHeader("Access-Control-Allow-Methods", "POST, GET, PATCH, DELETE, PUT");
            httpResponse.setHeader("Access-Control-Allow-Headers", httpRequest.getHeader("Access-Control-Request-Headers"));
            httpResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
     }?

这个时候还没有完全解决问题,上面步骤完成后,第一次OPTIONS请求成功,第二次真实请求也发送成功(状态为200),但是response里面没有数据,此时需要再次添加一个CrosFilter类,如下

package com.welsee.shiro;

import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class CorsFilter implements Filter {


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        httpResponse.setHeader("Access-Control-Allow-Origin", httpRequest.getHeader("Origin"));
        httpResponse.setHeader("Access-Control-Allow-Methods", httpRequest.getMethod());
        httpResponse.setHeader("Access-Control-Max-Age", "3600");
        httpResponse.setHeader("Access-Control-Allow-Headers", httpRequest.getHeader("Access-Control-Request-Headers"));
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {

    }
}

再次调试,可以了

前端的哭
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨域问题获取不到响应头headertoken
P_ning的博客
03-07 2711
产生 使用SpirngSecurity的时候,生成token返回给客户端,用postman测试的时候可以发现token是有发送过去的,但是前端却没有获取到这个token请求头。 这个问题是因为跨域产生的。 解决方法 在返回tooken的后面加上一句response.setHeader("Access-Control-Expose-Headers","名称");,例如我的 //返回token给用户 response.addHeader("Authorization", "Bearer "
springboot前后端分离跨域问题之Request header参数取不到
Mint6的博客
05-17 6044
背景:前后端分离项目,前端vue,后端springboot,本地调试时设置了跨域处理,前端生成的uuid后端从header里面取不到解决办法:如下是允许跨域,设置corsConfiguration.addExposedHeader("uuid"); 放行uuid参数,这样后端就可以获取到了。 @Configuration public class CorsConfig { private CorsConfiguration buildConfig() { CorsCon.
拦截器响应头配置“Access-Control-Expose-Headers”实现跨域请求暴露token
热门推荐
hkl_Forever的博客
10-20 1万+
2】关键代码 response.setHeader("Access-Control-Expose-Headers", "token");和前端同事联调接口前端同事反映说在跨域请求的情况下无法获取token,后来找到解决办法。1】在登录拦截器处理类的响应对象,把token对象暴露出来即可。
Springboot 笔记
myaijarvis notebook
12-02 1392
文件上传 // 参考路径 // file文件真实路径:C:\\Users\\Jarvis\\upload\\实拍CG结合 重点参考3.mp4 // file文件访问路径:http://localhost:8080/upload/实拍CG结合 重点参考3.mp4 @PostMapping("/upload") public Result upload(@RequestParam("file") MultipartFile uploadFile, HttpServle
Springboot 前后端分离项目使用拦截器获取不到token或者token为空的问题(OPTION请求被拦截问题)
weixin_45609613的博客
05-05 2484
目是前后端分离的,并且springboot也配置了跨域功能。但是配置了JWT功能、以及验证器验证之后却出现了获取不到jwt的问题。获取参数为 null。并且全局异常拦截失效,前端响应为cors跨域问题获取不到数据。使用postman可以正常请求获取数据,考虑到是不是因为自己headerjwt字段不是标准的header字段,尝试放到Authorization也是null,并且全局拦截也是失效的。
解决Vue前端 请求 SpringBoot 后台跨域 session 为空的问题!!!(踩坑经验)
weixin_44665047的博客
06-17 2204
前后端分离,就没有会话(session)这个概念了!!! 每次请求都是一个新的会话。 业务场景 在写登陆接口的时候,用户登陆验证完用户信息后使用jwt生成token,将token 存入session并返回给前端,让前端在后面的请求过程(请求)都带着token请求接口。 而我将使用过滤器拦截所有的请求获取前端传过来的token,进行验证(1,验证token是否有效,2,验证token 是否与session token 一致)。 这时问题就出现了,获取session token 为 null。
SpringBoot基于Shiro处理ajax请求代码实例
08-19
SpringBoot基于Shiro处理ajax请求代码实例详解 本文将详细介绍SpringBoot基于Shiro处理ajax请求代码实例,通过示例代码,详细地介绍了Shiro的配置和使用方法,对大家的学习或者工作具有一定的参考学习价Shiro...
springboot shiro pac4j cas jwt认证心sso完整项目
09-11
本项目基于SpringBoot框架,结合Shiro、pac4j和CAS,构建了一个完整的JWT认证心,旨在实现高效、安全的SSO解决方案。 1. **SpringBoot**: SpringBootSpring框架的一个扩展,它简化了Spring应用的初始搭建以及...
springboot整和jwtshiro、redis实现token自动刷新
08-19
下面将详细介绍如何在Spring Boot整合JWTShiro和Redis实现Token自动刷新。 JWT是一种轻量级的身份验证机制,它通过在客户端存储一个包含用户信息的令牌,每次请求时都将这个令牌发送到服务器进行验证。JWT由三...
SpringBoot实现前后端分离的跨域访问(CORS
01-27
CORS实现跨域访问并不是一蹴而就的,需要借助浏览器的支持,从原理题图我们可以清楚看到,简单的请求(通常指GET/POST/HEAD方式,并没有去增加额外的请求信息)直接创建了跨域请求的XHR对象,而复杂的请求则要求先...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合ShiroJWT和Redis实现token登录授权验证以及token刷新
05-14
​ 在微服务我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不...
requet.getHeader(“token“) 为null
u014212540的博客
07-28 4691
request.getHeader("token") 为null
前后端分离 后端获取不到header解决方案
我认不到你的博客
11-25 3244
除了登录的请求,其他的每次请求都通过设置Token到头标签(headers)里面,后端做拦截,判断Token是否合法,实现代码安全
关于前后端分离情况request获取不到token
Du虎虎的博客
10-28 2534
最近写项目遇到前端请求拦截器将token加到请求头之,但是在java页面怎么样也获取不到的问题作以记录,以便遇见之后方便查找。 原因:(百度出来的)在前后端分离项目前端请求据说会先发送一个与请求,这个请求不能加入自定义元素,据说可以改已有的,但我试了,没管用。所以需要在后端拦截器将这个预请求给放过,处理真正的请求。 下面是将需要的代码进行CV大法 前端需要的代码 在vue脚手架的main函数结尾加上请求拦截器,将token放在请求头之 axios.interceptors.reques
vue、nginx、springboot、域名 获取不到 head 自定义的
毛卡人的博客
08-06 670
vue 前端项目访问nginx域名接口 head传,后台request接收不到自定义参数的问题1、说明2、'_'符号在 nginx 是关键字 说明: 1、前端 vue 2、后台 springboot 3、接口访问 使用 nginx 1、说明 1、前端 vue 2、后台 springboot 3、接口访问 使用 nginx 启动项目后,后台一直取不到放在 request head 里的sessionId,我的key是这样的 __PC_LOGIN_SESSION_ID String sessionId
前后端分离项目,请求包含Authorizaton:XX,但是后端getHeader(Authorizaton) 获取不到
qq_34370249的博客
04-12 816
前端请求头 后台校验 结果是 request = null; 原因是因为,在发起跨域请求时,会发送事先发送一个OPTIONS请求,可以在浏览器的NETWORK看到发起了两个名字一样的请求。 第一个请求,可以看到,是携带token的,并且是一个post请求,和我们写的post方法是一致的。 第二个请求,则是一个option请求,并且请求,不携带token,所以,在发起该请求时,就会出现,拦截该请求。 OPTIONS请求,是一个嗅探请求,主要 用于获取服务器支持的请求方法,用来检查服务器的性能。
同源、跨域、cookie\seesion\token学习笔记
不想当脚本小子的脚本小子
01-22 463
同源:如果两个页面的协议(如https和http),端口(如80和80)和域名都相同,则两个页面具有相同的源。——一种安全机制。 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。如防止CSRF 如果非同源,就会有三种行为受到限制: 1) Cookie、L
springboot 使用过滤器解决跨域问题和无法获取header 的问题
wxw1997a的博客
06-05 3690
/** * 解决跨域问题 */ public class AccessControlAllowOriginFilter implements Filter { public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpSer.
SpringBoot+Shiro解决跨域问题
dwhhome的博客
03-21 5315
第一步: package com.guangjutx.config; import lombok.extern.slf4j.Slf4j; import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import ja...
springboot shiro 配置跨域
最新发布
06-09
Spring BootShiro ,可以通过自定义过滤器来解决跨域问题。具体步骤如下: 1. 创建自定义跨域过滤器 创建一个类,继承 org.apache.shiro.web.filter.authc.FormAuthenticationFilter,实现 doFilterInternal 方法。代码如下: ```java public class CorsAuthenticationFilter extends FormAuthenticationFilter { @Override protected void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException { HttpServletResponse httpServletResponse = (HttpServletResponse) response; HttpServletRequest httpServletRequest = (HttpServletRequest) request; // 允许跨域访问的域名 String[] allowedOrigins = {"http://localhost:8080"}; // 允许的请求类型 String allowedMethods = "GET,POST,PUT,DELETE,OPTIONS"; // 允许的头信息 String allowedHeaders = "Content-Type, Authorization"; httpServletResponse.setHeader("Access-Control-Allow-Origin", String.join(",", allowedOrigins)); httpServletResponse.setHeader("Access-Control-Allow-Methods", allowedMethods); httpServletResponse.setHeader("Access-Control-Allow-Headers", allowedHeaders); // 如果是预检请求,直接返回成功 if (httpServletRequest.getMethod().equalsIgnoreCase("OPTIONS")) { httpServletResponse.setStatus(HttpServletResponse.SC_OK); return; } super.doFilterInternal(request, response, chain); } } ``` 这里的 allowedOrigins 配置是允许的跨域地址,allowedMethods 配置是允许的 HTTP 方法,allowedHeaders 配置是允许的 HTTP 头信息。如果收到的请求是预检请求,直接返回成功即可。 2. 在 Shiro 配置添加自定义过滤器 在 Shiro 的配置文件添加自定义过滤器。例如: ```java @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean(); // ... Map<String, Filter> filters = new LinkedHashMap<>(); filters.put("corsAuthenticationFilter", new CorsAuthenticationFilter()); filterFactoryBean.setFilters(filters); // ... return filterFactoryBean; } ``` 这里将自定义过滤器 CorsAuthenticationFilter 添加到了 Shiro 的过滤器链。 3. 配置 Spring Boot跨域设置 在 Spring Boot 的配置文件添加 CORS 的配置,跟上面的一样。 这样配置完后,就可以跨域访问 Shiro 的接口了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值