shiro 无法传递及接收cookie信息

最新推荐文章于 2022-11-10 00:20:25 发布
最新推荐文章于 2022-11-10 00:20:25 发布
阅读量5.2k 收藏 4
点赞数 1

转载自:http://www.cnblogs.com/helloyy/p/6109665.html

Ajax跨域请求action方法,无法传递及接收cookie信息(应用于系统登录认证及退出)解决方案

  最近的项目中涉及到了应用ajax请求后台系统登录,身份认证失败,经过不断的调试终于找到解决方案。

应用场景:

  项目测试环境:前端应用HTML,js,jQuery ajax请求,部署在Apache服务器;后端业务系统应用spring mvc,mybatis,部署在tomcat服务器。当在一个系统需要调用另一个系统的时候,就会出现跨域的问题,即本次我们遇到了ajax请求的跨域问题。

  系统权限安全框架使用shiro,系统登录时发送ajax请求调用springmvc action方法进行系统登录及身份认证,角色权限授权等。由于ajax请求时,浏览器会认为携带Cookie是不安全请求,将限制其携带Cookie信息,导致登录action方法无法获取并响应相应的Cookie(JSESSIONID),身份认证及角色权限授权、退出等都操作都无法正常使用。

解决方案:

  1、当发送ajax请求时,查看浏览器调试信息中Headers和Cookies,发现发送到后端的跨域请求并没有携带 cookie 信息,可见Request Headers不包含Cookie属性,Response Headers中也不包含Set-Cookie属性,导致无法得到后台业务系统的认证。

  解决:在ajax里添加withCredentials的配置,允许其请求携带cookie信息。通过设置withCredentials=true,发送Ajax时,Request header中便会带上 Cookie 信息。

复制代码
$.ajax({
type: “post”,
url:url,
async:false,
data:datatosend,
dataType:”json”,
beforeSend: function(xhr) {
xhr.withCredentials = true;
}
crossDomain:true,
success: function (data) {
var a=JSON.stringify(data);
if(data.result==true){
  ………..
   }else{
       ………..
     }
},
error:function (data) {
var a=JSON.stringify(data);
alert(a);
}
});

复制代码

  注意:<踩过的坑>我们在beforeSend方法里设置withCredentials=true;在上述代码情境下,如果使用xhrFields:{ withCredentials:true }方法,则允许携带cookie信息的配置并不生效。(原因:ajax中添加了async:false,即修改为同步了,在窗口上下文的同步模式中,已不再支持使用XMLHttpRequest的withCredentials属性)。当保持异步模式时,我们可以更换对应的方法。注意2种方法的区分。

  2、服务器server端要配置Access-Control-Allow-Credentials

  我们在客户端设置了withCredentials=true 参数,对应着,服务器端要通过在响应 header 中设置Access-Control-Allow-Credentials = true来运行客户端携带证书式的访问。通过对Credentials参数的设置,就可以保持跨域Ajax时传递的Cookie。

response.setHeader(“Access-Control-Allow-Credentials”, “true”);

  3、服务器server端要配置Access-Control-Allow-Origin

  到以上配置为止,发送ajax请求,我们发现还会出现一个错误,提示我们 Access-Control-Allow-Origin 不能用 * 通配符。原因是:当服务器端 Access-Control-Allow-Credentials = true时,参数Access-Control-Allow-Origin 的值不能为 ‘*’ 。

  我们重新设置Access-Control-Allow-Origin的值,当服务器端接收到请求后,在返回响应时,把请求的域Origin填写到响应的Header信息里(即谁访问我,我允许谁),代码如下:

response.setHeader(“Access-Control-Allow-Origin”, request.getHeader(“Origin”));

  ok,到目前问题搞定了,经过测试,可成功传递及响应cookie信息,浏览器调试信息如下图所示:

LinkcOne
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决ShiroHttpServletRequest文件上传的问题
lixiaoyi01的博客
01-10 2087
  如果controller带有request参数不存在下面问题。   前提是要规范代码,controller中不带有request参数,所以request通过上下文去获取 ((ServletRequestAttributes)RequestContextHolder.currentRequestAttributes()).getRequest() 本来想转成 CommonsMultipa...
shiro拦截导致跨域,文件上传不成功
qq_27275851的博客
04-26 1004
先上解决办法 package com.mengruan.webbackage.config; import org.apache.shiro.web.filter.authc.FormAuthenticationFilter; import org.springframework.context.annotation.Configuration; import javax.servlet.Se...
解决新版本chrome samesite默认级别为lax,后端用shiro必传cookie但是传不过去的问题。
weixin_38067069的博客
08-12 3855
先说一下解决办法 1、修改浏览器配置(不推荐) 地址栏输入:chrome://flags/ 找到SameSite by default cookies和Cookies without SameSite must be secure 将上面两项设置为 Disable 2、后端与前端同域(推荐) 我是用这种方式解决的。用nignx代理后端服务器,等于前后端在同一个域下,这样就不存在跨域的问题,也就不存在samesite的验证问题了,所...
Cookie和Session以及上传文件
weixin_61518137的博客
05-01 1078
Cookie和Session
关于使用shiro做权限 上传文件失败的问题 解决方案
二次元怪兽的博客
08-21 2607
错误原因 shiro包装了request 所有关于multipart请求都被拦截了  需要将request 强转为 MultipartHttpServletRequest 代码如下: @RequestMapping(value = "upload", method = RequestMethod.POST) public ModelAndView handleRequest(HttpSer
vue+axios全局添加请求头和参数操作
10-15
本篇文章将详细介绍如何在Vue+axios环境中全局添加请求头和参数,以便在每次调用接口时自动传递必要的认证信息,如token。 首先,当用户登录成功后,后端通常会返回一个token,这个token用于后续的请求验证。有两...
Spring-boot结合Shrio实现JWT的方法
08-27
- `JWTFilter` 内部会解码JWT,提取用户信息,并使用Shiro的权限框架来决定用户是否有权访问特定资源。 3. **Shiro的相关配置**: - 引入Shiro的相关依赖,包括 `shiro-spring` 和 `shiro-core`,它们提供了Shiro...
java实现可跨浏览器单点登录
11-15
1. **票据传递机制**:在Java中,常见的SSO票据有Cookie、JWT(JSON Web Token)和SAML(Security Assertion Markup Language)。Cookie是最基础的方式,适用于同域环境;JWT则是一个自包含的令牌,可以在不同域之间...
JavaWeb物流管控配送平台源码
02-20
在物流管控配送平台中,Servlet负责接收客户端请求,处理业务逻辑,然后将数据传递给JSP进行页面渲染。 2. **MVC设计模式**:Model-View-Controller模式是JavaWeb开发中的常见架构。模型(Model)处理业务逻辑,...
Java Web BBS论坛系统
10-21
Servlet接收请求,处理数据,然后将结果传递给JSP,JSP再将其转化为HTML返回给客户端。 2. **MVC设计模式**:Model-View-Controller模式常用于Java Web开发,将业务逻辑、数据模型和用户界面分离,提高了代码的可...
学习在线项目 后台设置cookie ,浏览器获取不到解决办法
一勺菠萝丶的博客
11-08 2925
问题: www.xuecheng.com页面登录账号后cookie信息在浏览器获取不到 仔细确认了一个后台设置cookie的方法确实没有问题 //将令牌存储到cookie private void saveCookie(String token) { HttpServletResponse response = ((ServletRequestAttributes...
关于响应体中有cookie数据,而浏览器看不到cookie数据问题
qq_55700129的博客
11-10 2834
关于响应体中有cookie数据,而浏览器看不到cookie数据问题
Shiro中的session和cookie
m0_67265464的博客
08-24 1947
注意:在使用SessionListenerAdapter来监听session生命周期时,onStart()方法不能作为用户登陆日志的开始时间节点,因为session的创建是在第一次请求服务器创建的,而不是用户登陆时创建的,所以不要搞混;cookie都是key-value类型的,key的值是可以改变的,这点看下源码就可以知道,存储sessionid的cookie的key的值默认为JSESSIONID.4.此时我们在浏览器看下保存的cookie值,和服务端session的sessionid时一样的。
客户端禁用cookie时如何使用shiro框架
m0_54096780的博客
07-28 1315
1、问题: shiro框架的授权依赖于shiro内置的session,这意味着如果客户端禁用掉cookie的话,shiro无法通过sessionId来获取内置session中的内容,也就无法实现权限管理方面的操作。 2、解决思路: shiro的session管理核心在于org.apache.shiro.web.session.mgt.DefaultWebSessionManager这个类,其中的getSessionId()方法是shiro获取sessionId的方法,shiro通过获取到的sessio
前后端分离使用shiro登录认证cookie跨域问题踩坑
gitcat的博客
10-30 3537
基于cookie, session的登录认证一般后端需要将session id保存在cookie中,这样下次请求时浏览器带上cookie,服务器才知道是同一个会话,根据session id取出session中保存的用户信息,以确定用户是否已登录。 在前后端分离模式下,前端一般通过ajax请求向服务器请求数据,但是如果前后端部署在不同的域名下,因为一些安全机制,cookie无法跨域携带,所以如果还想基于cookie, session来实现就要做一些配置以实现cookie可以跨越携带。 ...
关于shiro使用时候,cookie被禁用的处理
zhenxing_zr的专栏
04-19 6713
shiro使用过程中,保持客户端的状态是通过两种方式关联。一种方式是通过cookie返回,一种是通过重定向回写url。但是重定向解决不了ajax请求。 如果客户端禁用了cookie,会导致shiro无法获得seesion保存的认证,授权信息。导致shiro无法使用。         解决思路:在客户端与服务端进行交互之前,普通请求通过重定向会写url带上会话信息。ajax请求通过写消息头形式,
关于带Cookie的跨域问题导致Shiro授权和认证失败的问题
geren0408的博客
05-03 3664
问题描述:后端框架为SpringBoot,安全框架为Shiro。其中认证和授权都已经做好了,授权和认证主要是用注解的方式,主要采用了@RequiresAuthentication这个注解,意思是加上这个注解的方法,必须经过授权才可以访问,也就是必须登陆才可以。之后整个项目只用了Postman进行测试。 主要测试就是两方面,在不登陆的情况下去访问带有@RequiresAuthentication的...
Shiro 登录、退出、校验是否登录涉及到的Session和Cookie
08-23 683
前提 我们的使用的是DefaultWebSessionManager而不是ServletContainerSessionManager。这就意味着前者的session为Shiro的,后者的session为Tomcat的。 登录   DefaultWebSessionManager调用start()方法(在AbstractNativeSessionManager中)创建Session...
cookie和session常见问题
Leon_Jinhai_Sun的博客
02-27 820
1、cookie和session原理及区别 cookie采用的是客户端的会话状态的一种储存机制。 session是一种服务器端的信息管理机制,它把这些文件信息以文件的形式存放在服务器的硬盘空间上 (这是默认情况,可以用memcache把这种数据放到内存里面) 区别:Cookie保存在客户端浏览器中,而Session保存在服务器上。 2、 session产生的session_id放...
shiro 登录cookie 调接口会默认传递cokkie吗
最新发布
06-08
在使用Shiro进行认证和授权时,Shiro本身并不会默认传递Cookie。一般情况下,当用户在客户端登录成功后,服务端会返回一个包含用户认证信息Cookie,客户端会将该Cookie保存下来并在后续的请求中带上该Cookie,以便...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值