Spring Boot Security + Vue 登录成功后重定向无 Access-Control-Allow-Origin 问题解决办法

需要明确:

已正确配置跨域资源共享(CORS)(不然也不可能看到登录成功了)。

已正确配置了跨站请求伪造(CSRF)(登录时需要携带 _csrf.token)。

全部使用 POST 提交的数据。


本文相关知识:

MD5 加密与Spring Security 加密介绍。


  1. 注册时,使用 post 注册,已成功。
  2. 登录时,已经登录成功,效果如下:

     
  3. 前台查看axios响应:
    说明:
    登录成功与失败,都是响应 JSON 数据。
    这里登录成功后,进行了重定向,导致无 Access-Control-Allow-Origin。

    附上登录失败的响应:
    注:全部使用 POST:

     

问题说明

出现这种情况,毕竟是少数(其他请求GET/POST等全都正常,目前只发现 Spring Boot Security 登录成功后重定向时出现这种问题)。

响应 JSON 数据解决办法有两种思路:

  1. 登录成功后进行重定向时,携带 Access-Control-Allow-Origin。
  2. 登录成功后,不进行重定向,直接响应结果(我这里登录结果全部响应的是JSON数据)。

from 提交数据进行跳转:

  1. 跳转时在响应中添加 Header 即可。

​​​​解决方案:

在 Spring Boot Security 中配置登录成功后,进行自定义处理,接口为:

package org.springframework.security.web.authentication;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.security.core.Authentication;

/**
 * Strategy used to handle a successful user authentication.
 * <p>
 * Implementations can do whatever they want but typical behaviour would be to control the
 * navigation to the subsequent destination (using a redirect or a forward). For example,
 * after a user has logged in by submitting a login form, the application needs to decide
 * where they should be redirected to afterwards (see
 * {@link AbstractAuthenticationProcessingFilter} and subclasses). Other logic may also be
 * included if required.
 *
 * @author Luke Taylor
 * @since 3.0
 */
public interface AuthenticationSuccessHandler {

	/**
	 * Called when a user has been successfully authenticated.
	 *
	 * @param request the request which caused the successful authentication
	 * @param response the response
	 * @param authentication the <tt>Authentication</tt> object which was created during
	 * the authentication process.
	 */
	void onAuthenticationSuccess(HttpServletRequest request,
			HttpServletResponse response, Authentication authentication)
			throws IOException, ServletException;

}

通过实现该接口的 onAuthenticationSuccess 方法进行操作。

解决方案一

直接响应 JSON 数据:

代码说明:

在请求(HttpServletRequest request)中获取你需要的Header。

package cn.com.xuxiaowei.passport.handler;

import com.alibaba.fastjson.JSON;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

/**
 * 用于处理成功用户身份验证的策略。
 *
 * @author xuxiaowei
 * @since 0.0.1
 */
public class LoginAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {

        Map<String, Object> map = new HashMap<>(4);
        Map<String, Object> data = new HashMap<>(4);
        map.put("data", data);

        map.put("code", 0);
        map.put("msg", "登录成功");

        String accessControlAllowOrigin = request.getHeader("Access-Control-Allow-Origin");

        response.addHeader("Access-Control-Allow-Origin", accessControlAllowOrigin);
        response.addHeader("Access-Control-Allow-Credentials", "true");

        response.setContentType("text/json;charset=UTF-8");
        response.getWriter().println(JSON.toJSON(map));
        response.setStatus(HttpServletResponse.SC_OK);
        response.flushBuffer();
    }

}

在 WebSecurityConfigurerAdapter 中配置:

两种方案都需要此配置:

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 其他代码省略

        // 授权登录成功后处理
        http.formLogin().successHandler(loginAuthenticationSuccessHandler());
    }


    @Bean
    LoginAuthenticationSuccessHandler loginAuthenticationSuccessHandler() {
        return new LoginAuthenticationSuccessHandler();
    }

响应结果:

解决方案二

package cn.com.xuxiaowei.passport.handler;

import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 用于处理成功用户身份验证的策略。
 *
 * @author xuxiaowei
 * @since 0.0.1
 */
public class LoginAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    /**
     * 注意:
     * 不可设置:response.addHeader("Access-Control-Allow-Credentials", "true");
     * 否则响应中的的 Access-Control-Allow-Credentials 为:true,true
     */
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {

        String accessControlAllowOrigin = request.getHeader("Access-Control-Allow-Origin");

        response.addHeader("Access-Control-Allow-Origin", accessControlAllowOrigin);

        request.getRequestDispatcher("/login/success.do").forward(request, response);
    }

}

注意
不可设置:response.addHeader("Access-Control-Allow-Credentials", "true");
否则响应中的的 Access-Control-Allow-Credentials 为:true,true;
因为已经存在了 Access-Control-Allow-Credentials 为:true。

 虽然有警告,但是这是时数据正常响应的: 

不设置 Access-Control-Allow-Credentials 就对了。

在 WebSecurityConfigurerAdapter 中配置同方案一。

效果相同。

解决方案三

如果你使用的是from提交数据进行跳转的话:

package cn.com.xuxiaowei.passport.handler;

import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 用于处理成功用户身份验证的策略。
 *
 * @author xuxiaowei
 * @since 0.0.1
 */
public class LoginAuthenticationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {

        String accessControlAllowOrigin = request.getHeader("Access-Control-Allow-Origin");

        response.addHeader("Access-Control-Allow-Origin", accessControlAllowOrigin);
        response.addHeader("Access-Control-Allow-Credentials", "true");

        super.onAuthenticationSuccess(request, response, authentication);
    }

}

相关知识补充

Spring Security 密码加密

/**
 * Spring Security 密码加密相关测试
 *
 * @author xuxiaowei
 * @since 0.0.1
 */
public class SpringSecurityTests {

    /**
     * 用来测试的密码
     */
    private final String password = "https://xuxiaowei.blog.csdn.net";

    @Test
    public void passwordEncoder() {

        // 密码编辑器
        PasswordEncoder passwordEncoder = PasswordEncoderFactories.createDelegatingPasswordEncoder();

        System.err.println("加密前的密码:" + password);

        String passwordPncode1 = passwordEncoder.encode(password);
        String passwordPncode2 = passwordEncoder.encode(password);

        System.err.println("第一次加密:" + passwordPncode1);
        System.err.println("第二次加密:" + passwordPncode2);

        boolean matches1 = passwordEncoder.matches(password, passwordPncode1);
        boolean matches2 = passwordEncoder.matches(password, passwordPncode2);

        System.err.println("第一次加密密码比较:" + matches1);
        System.err.println("第二次加密密码比较:" + matches2);

    }

}

测试结果:

加密前的密码:https://xuxiaowei.blog.csdn.net
第一次加密:{bcrypt}$2a$10$z.E5k6q6MHG9iVN/zRM0FOknS748k5b8gvGp/8njgLjDFZ9GyvcVK
第二次加密:{bcrypt}$2a$10$yosn9iar2ARMikmxLFDy6uYHyEu02DD8NOh/nMgOZJcjKQnWV9EdW
第一次加密密码比较:true
第二次加密密码比较:true

说明:

每次加密,即使是相同的密码,加密后的结果也不会相同。

MD5密码加密

import org.junit.Test;

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

/**
 * MD5 密码解密测试
 *
 * @author xuxiaowei
 * @since 0.0.1
 */
public class Md5EncodeTests {

    /**
     * 用来测试的密码
     */
    private final String password = "123456";

    @Test
    public void md5() {

        System.err.println("加密前的密码:" + password);

        String passwordEncode1 = md5Encode(password);
        String passwordEncode2 = md5Encode(password);

        System.err.println("第一次加密:" + passwordEncode1);
        System.err.println("第二次加密:" + passwordEncode2);

        boolean equals1 = passwordEncode1.equals(md5Encode(password));
        boolean equals2 = passwordEncode2.equals(md5Encode(password));

        System.err.println("第一次加密密码比较:" + equals1);
        System.err.println("第二次加密密码比较:" + equals2);
    }

    /**
     * MD5 加密
     *
     * @param text 需要加密的字符串
     * @return 返回 MD5 加密后的字符串
     */
    private String md5Encode(String text) {
        try {
            MessageDigest messageDigest = MessageDigest.getInstance("MD5");
            messageDigest.update(text.getBytes());
            byte[] bytes = messageDigest.digest();
            int i;
            StringBuilder buf = new StringBuilder();
            for (byte b : bytes) {
                i = b;
                i = i < 0 ? i + 256 : i;
                if (i < 16) {
                    buf.append("0");
                }
                buf.append(Integer.toHexString(i));
            }
            return buf.toString();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
        return null;
    }

}

测试结果:

加密前的密码:123456
第一次加密:e10adc3949ba59abbe56e057f20f883e
第二次加密:e10adc3949ba59abbe56e057f20f883e
第一次加密密码比较:true
第二次加密密码比较:true

说明:

MD5加密,针对同一密码(资源)加密结果每次运行都是一样的。所以出于安全考虑,密码加密不推荐使用 MD5,安全系数低,有泄漏的风险。

若你使用的是简易密码,如:123456,或者两人使用相同的密码,当密码保管不慎泄漏时,后果很严重。

更不要在多个账户中使用同一个密码。

  • 0
    点赞
  • 0
    评论
  • 3
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: Age of Ai 设计师:meimeiellie 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值