SpringBoot2.x整合Shiro出现Cors跨域问题

最新推荐文章于 2022-05-27 10:38:50 发布
最新推荐文章于 2022-05-27 10:38:50 发布
阅读量507 收藏
点赞数
分类专栏: Java学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrloserc/article/details/115084109
版权

1. Springboot如何跨域?

最简单的方法是:

定义一个配置CorsConfig类即可(是不是简单且无耦合到令人发指)

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
//import org.springframework.web.servlet.config.annotation.CorsRegistry;
//import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**  
 * @ClassName: CorsConfig
 * @Description: TODO(解决shiro过滤器在跨域处理之前失效)
 * 		也可以使用过滤器的方法
 * 
 * @author issuser
 * @date 2021-02-03 03:48:13 
 */
@Configuration
public class CorsConfig {
//	implements WebMvcConfigurer{
//
//	public void addCorsMapping(CorsRegistry registry) {
//		registry.addMapping("/**")
//		.allowedOrigins(new String[] { "*" })
//		 //设置是否允许跨域传cookie
//		.allowCredentials(true)
//		.allowedMethods(new String[] { "GET", "POST", "PUT", "DELETE", "OPTIONS" })
//		//设置缓存时间,减少重复响应
//		.maxAge(3600L).allowedHeaders("*").allowCredentials(true);
//	}

	private CorsConfiguration buildConfig() {
		CorsConfiguration corsConfiguration = new CorsConfiguration();
		//允许任何域名访问
		corsConfiguration.addAllowedOrigin("*");
		//允许任何header访问
		corsConfiguration.addAllowedHeader("*");
		//允许任何方法访问
		corsConfiguration.addAllowedMethod("*");
		corsConfiguration.setMaxAge(3600L);         // 预检请求的有效期,单位为秒。
        corsConfiguration.setAllowCredentials(true);// 是否支持安全证书(必需参数)
		return corsConfiguration;
	}
	
	@Bean
	public CorsFilter corsFilter() {
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		source.registerCorsConfiguration("/**", buildConfig());
		return new CorsFilter(source);
	}
}

不要用WebMvcConfigurerAdapter继承的方法了,因为已经过时了,Springboot2.0已经不推荐此方法

此处有一个比较坑的地方就是:

corsConfiguration.setMaxAge(3600L);         // 预检请求的有效期,单位为秒。
corsConfiguration.setAllowCredentials(true);// 是否支持安全证书(必需参数)

这两句务必要加上,不然无论前端怎么做,也无论后台你对shiro的过滤器怎么重写,response请求返回状态都是302。

网络上大家的代码都是copy来copy去,往往没有这2句,所以这个坑真是眼泪汪汪。

我注释掉的代码就是继承的webMvcConfigurerAdapter,换成新的代码后就解决了跨域的问题。

2、自定义ShiroFilter

 

import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang.StringUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.web.filter.authc.AuthenticatingFilter;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.RequestMethod;

import com.dh.common.util.HttpContextUtils;
import com.google.gson.Gson;


/**  
 * @ClassName: OAuth2Filter
 * @Description: TODO(shiro的拦截器:需要认证的api被调用前执行的拦截器也叫过滤器)
 * @author issuser
 * @date 2021-01-29 04:39:43 
 */
public class OAuth2Filter extends AuthenticatingFilter{

	private final Logger log = LoggerFactory.getLogger(OAuth2Filter.class);
	/**  
	 * @Title: createToken
	 * @Description: TODO(描述)
	 * @param request
	 * @param response
	 * @return
	 * @throws Exception 
	 * @author issuser
	 * @date 2021-01-29 04:43:38 
	 */
	@Override
	protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) 
			throws Exception {
		String token = getRequestToken((HttpServletRequest)request);
		if(StringUtils.isBlank(token)) {
			return null;
		}
		return new OAuth2Token(token);
	}
	/**  
	 * @Title: isAccessAllowed
	 * @Description: TODO(解决OPTIONS请求跨域问题,如果是OPTIONS请求则放行)
	 * @param request
	 * @param response
	 * @param mappedValue
	 * @return 
	 * @author issuser
	 * @date 2021-02-03 02:42:39 
	 */
	protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue){
		if (((HttpServletRequest)request).getMethod().equals(RequestMethod.OPTIONS.name())) {
			System.out.println("CROS发送的OPTIONS请求,不带数据,放行!");
			return true;
		}
		return false;
	}
	
	/**  
	 * @Title: onAccessDenied
	 * @Description: TODO(鉴权失败)
	 * @param request
	 * @param response
	 * @return
	 * @throws Exception 
	 * @author issuser
	 * @date 2021-01-29 04:43:38 
	 */
	@Override
	protected boolean onAccessDenied(ServletRequest request, ServletResponse response) 
			throws Exception {
		String token = getRequestToken((HttpServletRequest)request);
		//判断token是否为空
		if(StringUtils.isBlank(token)) {
			HttpServletResponse httpResponse = (HttpServletResponse) response;
	        //是否允许浏览器携带用户身份信息(cookie)
			httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
	        // 允许哪些Origin发起跨域请求
			httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());
			
			Map<String, Object> map = new HashMap<>();
			map.put("401", "invalid(无效的) token");
			//令牌无效
			String json = new Gson().toJson(map);
			httpResponse.getWriter().print(json);
			
			return false;
		}
		return executeLogin(request, response);
	}
	
	/**  
	 * @Title: getRequestToken
	 * @Description: TODO(获取token)
	 * @param request
	 * @return String
	 * @throws
	 * @author issuser
	 * @date 2021-01-29 04:56:08 
	 */  
	private String getRequestToken(HttpServletRequest request) {
		String token = request.getHeader("ddkj_token");
		log.info("获取请求头中的Authorization属性!");
		if(StringUtils.isBlank(token)) {
			token = request.getParameter("ddkj_token");
		}
		return token;
	}

	/**  
	 * @Title: onLoginFailure
	 * @Description: TODO(登录失败)
	 * @param token
	 * @param e
	 * @param request
	 * @param response
	 * @return 
	 * @author issuser
	 * @date 2021-02-03 02:45:15 
	 */
	protected boolean onLoginFailure(AuthenticationToken token, 
			AuthenticationException e, ServletRequest request, ServletResponse response){
		HttpServletResponse httpResponse = (HttpServletResponse)response;
		httpResponse.setContentType("application/json;charset=utf-8");
		httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
		httpResponse.setHeader("Access-Control-Allow-Origin", HttpContextUtils.getOrigin());
		try{
			Throwable throwable = e.getCause() == null ? e : e.getCause();
			Map<String, Object> map = new HashMap<>();
			map.put("401", throwable.getMessage());

			String json = new Gson().toJson(map);
			httpResponse.getWriter().print(json);
		}catch (IOException localIOException) {
		}
		return false;
	}

}

 

3、将shiro注入到spring容器中

/**  
 * @ClassName: ShiroConfig
 * @Description: TODO(集成shiro到spring容器中)
 * @author issuser
 * @date 2021-01-27 06:01:41 
 */
@Configuration
public class ShiroConfig {


	/**  
	 * @Title: sessionManagerr管理着Session的创建、操作以及清除等
	 * @Description: TODO(shiro-会话管理器  sessionManager)
	 * 
	 * Shiro提供的Session和Servlet中的Session其实是一样的作用,
	 * 只是Shiro中的Session不需要再依赖于WEB容器存在。
	 * Shiro中提供了基于内存和基于缓存的两种方式来存储Session
	 * 
	 * @return SessionManager
	 * @throws
	 * @author issuser
	 * @date 2021-01-28 09:55:13 
	 */  
	@Bean({"sessionManager"})
	public SessionManager sessionManager() {
		DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
		//manager.setCacheManager(cacheManager);// 加入缓存管理器
		//	    manager.setSessionFactory(shiroSessionFactory());//设置sessionFactory
		//	    manager.setSessionDAO(shiroSessionDao());// 设置SessionDao
		//	    manager.setDeleteInvalidSessions(true);// 删除过期的session
		//	    manager.setGlobalSessionTimeout(shiroSessionDao().getExpireTime());// 设置全局session超时时间

		sessionManager.setSessionValidationSchedulerEnabled(true); // 是否定时检查session
		sessionManager.setSessionIdCookieEnabled(true);
		return sessionManager;
	}

	/**  
	 * @Title: securityManager
	 * @Description: TODO(权限管理,配置主要是Realm的管理认证)
	 * @param sessionManager
	 * @return SecurityManager
	 * @throws
	 * @author issuser
	 * @date 2021-01-28 05:56:42 
	 */  
	@Bean({"securityManager"})
	public SecurityManager securityManager(OAuth2Realm oAuth2Realm, SessionManager sessionManager) {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		securityManager.setRealm(oAuth2Realm);
		securityManager.setSessionManager(sessionManager);

		return securityManager;
	}

	/**  
	 * @Title: shiroFilter
	 * @Description: TODO(Filter工厂,设置对应的过滤条件和跳转条件)
	 * @param securityManager
	 * @return ShiroFilterFactoryBean
	 * @throws
	 * @author issuser
	 * @date 2021-02-03 02:50:05 
	 */  
	@Bean({"shiroFilter"})
	public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
		ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();
		shiroFilter.setSecurityManager(securityManager);

		Map<String, Filter> filters = new HashMap<>();
		filters.put("oauth2", new OAuth2Filter());
		shiroFilter.setFilters(filters);

		//登录
		//		shiroFilter.setLoginUrl("/login");
		//首页
		//		shiroFilter.setSuccessUrl("/index");
		//错误页面,认证不通过跳转
		//		shiroFilter.setUnauthorizedUrl("/error");
		Map<String, String> filterMap = new LinkedHashMap<>();
		// <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
		//默认的过滤器还有:anno、authc
		//配置不会被拦截的连接  顺序判断
		filterMap.put("/webjars/**", "anon");
		filterMap.put("/druid/**", "anon");
		filterMap.put("/app/**", "anon");
		filterMap.put("/sys/login", "anon");
		filterMap.put("/swagger/**", "anon");
		filterMap.put("/v2/api-docs", "anon");
		filterMap.put("/swagger-ui.html", "anon");
		filterMap.put("/swagger-resources/**", "anon");
		filterMap.put("/captcha.jpg", "anon");
		filterMap.put("/ddkjApi/**", "anon");
		filterMap.put("/chain/**", "anon");
		//主要这行代码必须放在所有权限设置的最后,不然会导致所有 url 都被拦截 剩余的都需要认证
		filterMap.put("/**", "oauth2");
		shiroFilter.setFilterChainDefinitionMap(filterMap);

		return shiroFilter;
	}

	@Bean({"lifecycleBeanPostProcessor"})
	public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){
		return new LifecycleBeanPostProcessor();
	}

	/**  
	 * @Title: defaultAdvisorAutoProxyCreator
	 * @Description: TODO(利用注解配置权限)
	 * 
	 * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,
	 * 并在必要时进行安全逻辑验证
	 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此功能
	 * 
	 * @return DefaultAdvisorAutoProxyCreator
	 * @throws
	 * @author issuser
	 * @date 2021-02-03 03:29:22 
	 */  
	@Bean
	public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
		DefaultAdvisorAutoProxyCreator proxyCreator = new DefaultAdvisorAutoProxyCreator();
		proxyCreator.setProxyTargetClass(true);
		return proxyCreator;
	}

	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
		AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();
		advisor.setSecurityManager(securityManager);
		return advisor;
	}

 

参考文章:https://my.oschina.net/u/4397001/blog/3421625

Mrloserc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot shiro vue造成的跨域问题
n009ww的博客
04-24 1569
复杂请求 造成复杂请求的原因就是在请求头部添加了token等信息,浏览器会认为是复杂请求。复杂请求的执行过程是有两步的,浏览器会提前发送一个探针请求(也叫预请求)到服务端,这个请求通过以后才会将真正的请求带着header的信息发送出去 预请求被拦截 预请求直接被shiro拦截了,所以真正的请求永远也到不了后台,这个就是问题的关键。此时需要...
springboot+shiro处理shiro中的异常
大海无量的博客
04-12 6421
1.自定义realm中抛出异常信息 /** * @description:自定义Realm * @author: Administrator * @date: 2019-03-27 13:30 */ @Component public class MyRealm extends AuthorizingRealm { public static Log log = LogFacto...
springbootshiro跨域CORS请求,拿不到headers中的token值解决
热门推荐
一勺菠萝丶的博客
01-04 1万+
项目背景: 最近在做一个后台用Spring boot、Shiro、Mybatis plus 、Oauth2,前台用layui的项目.前端在调后台接口的时候需要在浏览器中的headers头中添加token和userId的值(根据业务不同可能传值不一样),后台有一个过滤器,获取到headers中的token和userId,并去验证token是否在有效期内,在进行其他操作,在这个过程中,shiro的过...
跨域过滤器相关问题整理
10040241031的博客
05-27 338
1.过滤器添加的方法 SpringBoot的注解@CrossOrigin @RestController @CrossOrigin @RequestMapping("") public class TestController { } 处理跨域请求的Configuration @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMap
springboot 整合shiro出现的跨域cors问题解决
王威振的博客
07-29 1241
如果你在后端配置好了跨域配置。还是不生效的。来到这里希望会帮到你! 其实想快速追踪到问题的话。就从打断点开始。 我的猜想是。shiro的过滤器过滤优先级>cors的过滤器,所以才导致的此类问题 结果,果然是这样(以下图片,是我调整后的。所以corsFiltershiroFilterFactoryBean之上) 所以要想解决这个问题,就要把cors的过滤器的优先级提升。 代码如下: @Bean public FilterRegistrationBean filterRe..
Apache Shiro框架在CORS跨域访问中遇到的问题及解决
全能程序员Tony
04-10 778
背景 最近做一个前后端分离的项目时,遇到了一系列跨域访问的相关问题,这里做一下总结,也希望能对遇到同样问题的同学有所帮助. 后端主要采用技术体系: SpringBoot 2.0.1.RELEASE Shiro 1.4.0 Spring Data JPA 2.0.6.RELEASE 前端采用技术体系: ReactJS Ant Design 问题 1. redirect问题 现象: 后端通过Shi...
shiro跨域CORS问题处理
Mint6的博客
03-02 3503
前言 跨域问题的基本处理查看上一篇文章:https://blog.csdn.net/Mint6/article/details/104468530,这个可以解决大部分问题。 如果是使用的shiro以上步骤都试过了,还有如下问题,请看本文章的解决办法。 问题 把主要提示拷贝出来 A cookie associated with a cross-site resource at htt...
跨域 以及 shiro解决
RealGUO的博客
04-13 3530
跨域 以及 shiro解决 同源策略:协议、域名、端口 作用:能帮助阻隔恶意文档,减少可能被攻击的媒介。 # 但也导致了跨域的问题的出现:前后端分离 # 前端访问后端,不满足同源策略,所以不能访问 1、反向代理解决 # 配置反向代理来实现跨域 # 前端访问代理 # 代理访问后端 # 代理将结果返回给前端 # 从而实现了跨域 2、CORS跨域 CORS(Cross-Origin Resource Sharing)跨域资源共享,定义了必须在访问跨域资源时,浏览器与服务器应该如何沟通。CORS的基本思想就
springboot2.x整合shiro权限框架的使用
09-08
主要介绍了springboot2.x整合shiro权限框架的使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于SpringBoot2.x的JavaWeb敏捷开发框架设计源码
04-10
本项目是一个基于SpringBoot2.x的JavaWeb敏捷开发框架设计源码,共包含1312个文件,其中包括368个Java源文件、274个JavaScript文件等。系统采用了Layui、Thymeleaf、MybatisPlus、Shiro、MySQL等框架,为用户提供了...
shiro+springboot2.x+redis注解方式完整项目
07-03
shiro+springboot2.x+redis注解方式完整项目,包括自定义realm,整合redis缓存管理器,自定义sessionId,自定义session等等,sql文件就在resource文件夹下
基于springboot2.x+layui+shiro+redis整合前后端分离的权限管理系统
06-19
本系统基于springboot+mybatisplus+shiro+layui+redis整合开发的前后端分离权限管理系统,主要功能有: 权限管理、日志管理、角色管理、用户管理,是一个非常不错的后台管理脚手架。 项目在线预览地址:...
springboot2.X+maven+mybatis+shiro+redis
04-02
之前看的一哥们的springboot整合shiro的demo,springboot是1.X,自己改成了2.X,其他基本相同,部署请看https://blog.csdn.net/xiaoxufox/article/details/88965235
基于Springboot+Vue的墙绘产品展示交易平台毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
99-青海大学大数据中心建设分享.pptx
04-27
99-青海大学大数据中心建设分享.pptx
TD-LTE载波聚合方案.docx
04-27
5G通信行业、网络优化、通信工程建设资料。
10份网络优化创新案例.zip
最新发布
04-27
SA语音回落与切换流程冲突解决.pdf 计费模式错误导致SA语音承载建立失败,pdf BSF网元bug导致SA用户VOLTE业务故障,pdf SA基站SCTP偶联IP配置不规范导致切换失败的问题处理,pdf 第一医院SA+NSA双模基站方案保障5G查房车应用,pdf SA未配置互操作场景下终端语音业务研究案例,pdf SA站点天馈隔离度问题导致上行速率不及预期,pdf SA组网下微信小视频卡顿影响感知案例,pdf 基于八步法定位SA掉线问题.pdf SA站点测试宏微切换异常事件,pdf
施工监理费计算依据.doc
04-27
5G通信行业、网络优化、通信工程建设资料。
java热部署实现shiro,SpringBoot2.x+shiro+redis+jwt+swagger+mybatis 前后端分离实战脚手架(一)...
05-14
2. 使用Spring Boot DevTools。Spring Boot DevTools是一个开发工具包,可以在不需要重启应用程序的情况下自动重新加载类。 3. 使用JRebel。JRebel是一个商业软件,可以在不需要重启应用程序的情况下重新加载类。它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值