shiro学习分享(三)——解决跨域问题时遇到的坑

最新推荐文章于 2024-04-17 07:09:42 发布
最新推荐文章于 2024-04-17 07:09:42 发布
阅读量1.8w 收藏 25
点赞数 6
分类专栏: shiro 跨域 spring-boot 文章标签: 跨域 shiro spring-boot spring-boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/madonghyu/article/details/80027387
版权
spring-boot 同时被 3 个专栏收录
12 篇文章 4 订阅
订阅专栏
shiro
8 篇文章 0 订阅
订阅专栏
跨域
1 篇文章 0 订阅
订阅专栏

跨域问题的解决

使用springboot整合了shiro框架,springboot解决跨域的方法也是网上的到处都是的配置CORS解决跨域问题。

出现的问题:

使用了shiro框架,开启了shiro的登陆验证过滤器时,即filterChainDefinitionMap.put("/**","user");,代表要登陆过才能进行访问,但是经过一番测试,发现当ajax请求为复杂请求时,cookie无法被携带传输到服务器的,导致一直无法访问。

在网上找了很久,大部分网友说复杂请求时若要带cookie则allowedOrigins不能配置为“*”,而要是访问的地址,虽然可以通过配置过滤器来实现,当是本地的html还是访问不了,一直报跨域错误,而布置在不同端口的html虽然能够访问,当是cookie依旧传不了。。。

最后发现之所以传不了cookie是因为shiro的权限控制,由于复杂请求要传两次,第一次验证请求(OPTIONS)是没有带cookie的所以验证不通过,导致接下来的真实请求无法继续,因为上面的请求被拒绝了啊。。。

解决思路:

  1. 可以自定义shiro的UserFilter来让OPTIONS请求无条件通过(shiro的自带的fliter都是可以通过继承来进行重写)
    样例如下:
/**
 * 重写shiro的UserFilter,实现通过OPTIONS请求
 * UserFilter会过滤掉所有没有登录cookie的请求
 * PathMatchingFilter则不会
 * @author MDY
 */
public class ShiroUserFilter extends UserFilter {

    /**
     * 在访问过来的时候检测是否为OPTIONS请求,如果是就直接返回true
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            setHeader(httpRequest,httpResponse);
            return true;
        }
        return super.preHandle(request,response);
    }

    /**
     * 该方法会在验证失败后调用,这里由于是前后端分离,后台不控制页面跳转
     * 因此重写改成传输JSON数据
     */
    @Override
    protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
        saveRequest(request);
        setHeader((HttpServletRequest) request,(HttpServletResponse) response);
        PrintWriter out = response.getWriter();
        out.println(JSONObject.toJSONString(ResultUtil.error(ExceptionEnum.IS_NOT_LOGIN)));
        out.flush();
        out.close();
    }

    /**
     * 为response设置header,实现跨域
     */
    private void setHeader(HttpServletRequest request,HttpServletResponse response){
        //跨域的header设置
        response.setHeader("Access-control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Methods", request.getMethod());
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
        //防止乱码,适用于传输JSON数据
        response.setHeader("Content-Type","application/json;charset=UTF-8");
        response.setStatus(HttpStatus.OK.value());
    }

}
  1. 接下来记得将写好的filter配置到shiro的filter链里面,下面为实现的简单代码
@Configuration
public class ShiroConfiguration {
    /**
     * 配置过滤器
     *
     * @param manager 装载shiro的安全管理器
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilter(SecurityManager manager) {
        // shiro的过滤器
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        // 自定义拦截器的配置
        Map<String, Filter> filter = new HashMap<>();

        filter.put("custom", new ShiroUserFilter());

        bean.setFilters(filter);
        // 安全管理器
        bean.setSecurityManager(manager);
        // 过滤器链配置
        // 配置访问权限
        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 使用该过滤器过滤所有的链接
        filterChainDefinitionMap.put("/**","custom");
        // 登出
        filterChainDefinitionMap.put("/logout", "logout");
        bean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return bean;
    }
}
  1. 最后加上在网上找到的springboot解决跨域问题的代码即可
/**
 * 解决跨域问题springboot所需配置
 */
@Configuration
public class CORSConfiguration {
    @Bean
    public WebMvcConfigurer CORSConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**")
                        .allowedOrigins("*")
                        .allowedMethods("*")
                        .allowedHeaders("*")
                        //设置是否允许跨域传cookie
                        .allowCredentials(true)
                        //设置缓存时间,减少重复响应
                        .maxAge(3600);
            }
        };
    }
}

PS:博主发现sprinboot配置之后前端不用特殊的配置就能进行跨域,不知是不是浏览器的问题还是,但为了保险起见,ajax请求时还是加上crossDomain:true,xhrFields: { withCredentials: true },比较好。如果要带上cookie跨域,则必须加上上面两句。
js请求样例:

$.ajax({  
    async:true,  
    type:"post",  
    url:"", 
    data:JSON.stringify(params),  
	contentType: "application/json; charset=utf-8",

    crossDomain:true,
    xhrFields: {  withCredentials: true  },
    
    dataType:"json",  
    success:function(data){  
	console.log(params);
           console.log(data);
    },  
    error:function(data){  
        console.log(data)  
    }  
      
})
-madongyu-
关注
  • 6
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 26
    评论
专栏目录
Geoserver跨域问题解决方案
12-06
在IT行业中,尤其是在Web开发领域,跨域问题是一个常见的挑战,尤其当涉及到GIS(地理信息系统)服务,如Geoserver。Geoserver是一个开源的、基于Java的服务器,用于发布和管理地理空间数据。当从一个源(如浏览器...
shiro1.13.0解决IniSecurityManagerFactory过期问题
12-29
通过分析这个项目,开发者可以学习到如何在实际应用中解决 `IniSecurityManagerFactory` 过期的问题。建议查看项目的源代码,尤其是与 Shiro 相关的配置文件和初始化代码,以便了解如何进行迁移。
springboot+shiro 跨域解决(OPTIONS)
最新发布
2401_84048467的博客
04-17 898
由于篇幅原因,就不多做展示了《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!8969517)][外链图片转存中…(img-oyPDtrkC-1713308969517)]由于篇幅原因,就不多做展示了《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
springboot集成shiro+前端vue,前后端分离项目遇到跨域以及sessionid拿不到等问题
qq_50595984的博客
01-16 1304
近期在写前后端分离的项目,由于前后端分离导致原来使用的shiro配置无法满足现有系统要求。同在前后端分离项目中存在的一些问题。例如,一些用户信息需要存储在后端方便进行安全性判断,但这些存储在后端的session前端却获取不到(特别奇怪),以及浏览器访问后端接口出现的跨域问题
php套用Iframe访问导致cookie跨域session失效问题
qq_39634880的博客
07-24 632
2.Chrome的(这个要注意php版本,低版本是没有ini_set('session.cookie_samesite'这个的,当搞了半天,最后才发现我这边php版本过低(我这边php版本是5.4.16)导致不生效,可以参考php运行配置。a网站(www.aa.com)嵌入b网站 (www.bb.com) 网站,因为跨域原因,其实如果b网站是以aa.com后缀结尾的话是正常的。1.上面的试了这个IE的没什么用(有可能是我这边版本低导致)
Shiro框架在CORS跨域访问中遇到的问题及解决
weixin_30278237的博客
10-17 447
背景 最近做一个前后端分离的项目,使用shiro做权限管理遇到跨域问题,这里做一下记录。 原因 后端通过Shiro配置URL过滤, shiroFilterFactoryBean.setLoginUrl("/unauth"); 默认对于没有授权的访问请求会redirect至LoginUrl.但在跨域访问,redirect失败.原因是基于安全考虑,redirec...
springboot+shiro前后端分离过程中跨域问题、sessionId问题、302鉴权失败问题
wmy_0707的博客
08-28 6344
近期项目需要前后端分离,由于前后端分离后原来的适用的shiro配置无法满足现有系统要求。同在前后端项目分离的项目中存在的跨域问题cookies不再使用,通过token方式实现用户登陆鉴权。 下面记录在整个过程中涉及的几个大问题:1、跨域问题 2、sessionId问题 3、302鉴权问题 1、springboot跨域问题解决 package net.sino...
Spring Boot 自定义 Shiro 过滤器无法使用 @Autowired问题及解决方法
08-25
在 Spring Boot 中集成 Shiro 并使用 JWT 进行接口认证,可能会遇到自定义 Shiro 过滤器无法使用 @Autowired 问题。下面将详细介绍该问题及解决方法。 一、问题描述 在使用 Spring Boot 集成 Shiro ,需要...
shiro多验证登录代码实例及问题解决
08-25
Shiro 多验证登录代码实例及问题解决 Shiro 是一个 Java security framework,它提供了许多有用的功能来帮助开发者保护应用程序的安全。Shiro 多验证登录是指在一个应用程序中使用多种身份验证方式来验证用户身份。...
关于shiro中部分SpringCache失效问题的解决方法
08-27
本文主要介绍了shiro中部分SpringCache失效问题的解决方法,通过示例代码详细介绍了问题的解决思路,具有较高的参考学习价值。 一、问题抛出 在使用Springboot和shiro集成,发现部分service的缓存和事务失效,...
SpringBoot+Shiro解决跨域问题
dwhhome的博客
03-21 5330
第一步: package com.guangjutx.config; import lombok.extern.slf4j.Slf4j; import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import ja...
springboot 整合shiro出现的跨域cors问题解决
王威振的博客
07-29 1326
如果你在后端配置好了跨域配置。还是不生效的。来到这里希望会帮到你! 其实想快速追踪到问题的话。就从打断点开始。 我的猜想是。shiro的过滤器过滤优先级>cors的过滤器,所以才导致的此类问题 结果,果然是这样(以下图片,是我调整后的。所以corsFilter在shiroFilterFactoryBean之上) 所以要想解决这个问题,就要把cors的过滤器的优先级提升。 代码如下: @Bean public FilterRegistrationBean filterRe..
前后端分离使用shiro登录认证cookie跨域问题
不定时分享最优质的网络技术与教程,满满的干货。
07-09 960
设置好后,再次请求,你会发现又报了如下错误。你明明设置了cookie,但是就是找不到,请求的候也带不上,查看Set-Cookie这一行,可以发现有个黄色的叹号,鼠标放到叹号上可以看到chrome给我们的提示,因为SameSite设置的原因,chrome认为这个cookie不应该被跨越携带,所以没有设置,自然也就无法携带cookie。具体解决方式就不写了,可以自己搜索一下。charset=utf-8"的请求,会首先发送一次预检请求,然后再发送正式的post请求,这,在POST请求我们可能会有如下错误。
Spring boot + shiro 解决跨域登陆问题
热门推荐
爱吃大西瓜的博客
08-01 1万+
在@Configuration注解类下面定义: @Bean @Order(Integer.MAX_VALUE-1) public FilterRegistrationBean filterRegistrationBean() { // 对响应头进行CORS授权 MyCorsRegistration corsRegistration = new M
springboot+shiro登录验证 跨域+重定向踩集合
Andanc的博客
05-08 3384
在写shiro登录验证的候,按照预估的想法,在没有进行登录的情况下,是无法进入到页面的并且会给他转发到登录页面。 但是很明显效果跟现实差距太大了。 这发现在没有登录的情况下进入到了页面,并没有进行转发,但是页面确黑了变成302。 但是使用postman却是另一种情况。 在postman没有登录的情况下直接进页面,发现被shiro阻止了并且返回到我想要的登录页面了。可是前台。。。。。 ...
shiro 前后端分离跨域问题
web15536243458的博客
08-24 474
但是由于跨域的问题,浏览器是禁止的,这个候你会在返回的header浏览器的setcookie 那个属性那边看到一个黄色的警告,这代表跨域问题还在,所以浏览器不会让你携带上后端返回的cookie里的jssessionid,这个配置的意思就是,后端shiro认证成功后,返回的sessionId在浏览器里,会被浏览器自动的添加到header里携带。最后我发现由于是开发环境,我前端的域名有问题,用127.0.0.1访问,才能免去跨域的问题。axios 是下面这样配置的。
解决SpringBoot整合Shiro 跨域问题及前端报错401问题解决——亲测有效!
qq_54502508的博客
02-20 2606
解决SpringBoot整合Shiro 跨域问题及前端报错401问题解决——亲测有效!
shiro实现免密登录,解决方登录问题
07-28
对于实现免密登录和解决方登录问题,你可以使用 Apache Shiro 来帮助你完成。Apache Shiro 是一个强大的开源安全框架,提供了身份认证、授权、会话管理等功能。下面是一些步骤来帮助你实现免密登录和解决方登录问题: 1. 引入 Shiro 依赖:在你的项目中引入 Shiro 的相关依赖,可以通过 Maven 或者 Gradle 进行配置。 2. 配置 Shiro:在你的项目中添加一个 Shiro配置文件,一般为 shiro.ini 或者 shiro.yml。在配置文件中,你可以定义 Shiro 的认证器、授权器、过滤器链等。 3. 实现免密登录:免密登录一般可以通过记住我功能来实现。你可以在用户登录成功后生成一个记住我 token,并将该 token 存储在用户的浏览器 cookie 中。下次用户访问Shiro 会自动根据 cookie 中的 token 进行自动登录。 4. 解决方登录问题:对于方登录,你可以使用 Shiro 的 OAuth2 功能来实现。首先,你需要配置 OAuth2 相关的客户端信息,包括 client id、client secret、授权地址、token 地址等。然后,你可以使用 Shiro 提供的 OAuth2Filter 来处理方登录的请求和响应。 需要注意的是,以上只是一个简单的概述,实际的实现过程可能会更加复杂。你可以参考 Shiro 的官方文档和示例代码来帮助你完成具体的实现。希望能对你有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 26
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值