使用 Sa-Token 的全局过滤器解决跨域问题(三种方式全版)

最新推荐文章于 2024-05-15 15:50:36 发布
最新推荐文章于 2024-05-15 15:50:36 发布
阅读量3k 收藏 5
点赞数 1
分类专栏: sa-token专栏 文章标签: sa-token 跨域 springboot web开发 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shengzhang_/article/details/131343254
版权

在 web 开发中,跨域绝对是比较折磨新同学的一个问题,本文将讲解三种常见的跨域情形,并讲解如何使用 Sa-Token 框架解决跨域问题。

什么情况下会发生跨域

简单理解,就是你在 A 域名下的页面,去调用 B 域名的接口,浏览器感觉你这次调用可能是不安全的请求行为,于是它需要用 cors 安全策略来确认一下这个请求是由用户真实的意愿发出的,而不是被 csrf 伪造请求攻击偷偷发送的。(这么说只是为了方便大家理解,不是特别严谨,实际上同域名下部分情形也会出现跨域问题)

请仔细理解上面这段话,因为它说明了两点:

  • 跨域不是后端接口对前端浏览器的限制,而是前端浏览器对用户的限制。
  • 跨域不是在保护后端接口免受攻击,而是浏览器在保护用户,避免用户发送自己不想发送的请求。

请一定要记住上面跨域的本质,明白了症状和原因,我们才能对症下药。

一般情况下,我们会碰到三种跨域场景:

  • 1、本地页面调用测试服务器,只在项目开发阶段会有跨域问题。(比较简单)
  • 2、使用 header 头提交 token,产生的跨域问题。(比较常见+通用,推荐使用)
  • 3、使用第三方 Cookie 提交 token,产生的跨域问题。(最古老的方案,目前新版浏览器对此方案限制越来越严格,非必要不选择此方案,如果对此方案不是很熟悉就贸然使用也容易出现安全问题)

跨域情形一:只在项目开发阶段会有跨域问题

有些公司项目的开发方式为:

  • 在项目开发时:使用本地页面调用测试服务器接口。(域名不同,存在跨域问题)
  • 在项目部署时:将后端接口和前端页面部署在同一域名下。(域名一致,不存在跨域问题)

这种情况下比较好解决,在代码层面我们无需任何更改,只在前端客户端做出一定的更改就行了。比如说:在前端配置一个代理服务器,或者修改一下 Chrome 客户端使其去除跨域限制。

具体的方案有很多,大家可参考这篇博客:手把手教你解决web前端跨域问题

上面是说的普通前后端分离开发,而在APP、小程序 开发中,其天然就是个没有跨域限制的客户端,我们什么都不用做就能解决跨域问题。

跨域情形二:使用 header 头提交 token,产生的跨域问题(比较常见+通用,推荐使用)

当你使用 header 头提交 token 时,会产生跨域问题。此方案比较常见+通用,推荐使用。

jquery 代码示例:

	$.ajax({
		url: "/user/getInfo",
		type: "post", 
		data: {},
		dataType: 'json',
		headers: {
			"X-Requested-With": "XMLHttpRequest",
			// 重点处:请求的 header 头里塞入自定义参数
			"satoken": localStorage.getItem("satoken")
		},
		success: function(res){
			console.log(res);
		},
		error: function(xhr, type, errorThrown){
			return alert("异常:" + JSON.stringify(xhr));
		}
	});

Axios 代码示例:

    axios({
        url: "/user/getInfo",
        method: 'post',
        data: {},
        headers: {
            "Content-Type": "application/x-www-form-urlencoded",
			// 重点处:请求的 header 头里塞入自定义参数
            "satoken": localStorage.getItem("satoken")
        }
    }).
    then(function (response) { // 成功时执行
        const res = response.data;
		console.log(res);
    }).
    catch(function (error) {
        return alert("异常:" + JSON.stringify(error));
    })

此时在后端,我们应该添加以下响应头:

/**
 * [Sa-Token 权限认证] 配置类 
 *
 * @author click33
 */
@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {

	/**
     * 注册 [Sa-Token 全局过滤器] 
     */
    @Bean
    public SaServletFilter getSaServletFilter() {
        return new SaServletFilter()
        		
        		// 指定 [拦截路由] 与 [放行路由]
        		.addInclude("/**").addExclude("/favicon.ico")
        		
        		// 认证函数: 每次请求执行 
        		.setAuth(obj -> {
					SaManager.getLog().debug("----- 请求path={}  提交token={}", SaHolder.getRequest().getRequestPath(), StpUtil.getTokenValue());
        			// ...
        		})
        		
        		// 异常处理函数:每次认证函数发生异常时执行此函数 
        		.setError(e -> {
        			return SaResult.error(e.getMessage());
        		})
        		
        		// 前置函数:在每次认证函数之前执行
        		.setBeforeAuth(obj -> {
					SaHolder.getResponse()

        			// ---------- 设置跨域响应头 ----------
        			// 允许指定域访问跨域资源
        			.setHeader("Access-Control-Allow-Origin", "*")
        			// 允许所有请求方式
        			.setHeader("Access-Control-Allow-Methods", "*")
        			// 允许的header参数
        			.setHeader("Access-Control-Allow-Headers", "*")
        			// 有效时间
        			.setHeader("Access-Control-Max-Age", "3600")
        			;
        			
        			// 如果是预检请求,则立即返回到前端 
        			SaRouter.match(SaHttpMethod.OPTIONS)
        				.free(r -> System.out.println("--------OPTIONS预检请求,不做处理"))
        				.back();
        		})
        		;
    }

}

如果你的项目是 WebFlux 环境,只需要把过滤器名称从 SaServletFilter 更换为 SaReactorFilter 即可,其它保持不变。

跨域情形三:使用第三方 Cookie 提交 token,产生的跨域问题。

这是最古老的方案,目前新版浏览器对此方案限制越来越严格,非必要不选择此方案,如果对此方案不是很熟悉就贸然使用也容易出现安全问题。

jquery 代码示例:

	$.ajax({
		url: "/user/getInfo",
		type: "post", 
		data: {},
		dataType: 'json',
		// 重点处:指定是跨域模式,需要提交第三方 Cookie 
		crossDomain: true,
		xhrFields:{
			withCredentials: true
		},
		headers: {
			"X-Requested-With": "XMLHttpRequest"
		},
		success: function(res){
			console.log(res);
		},
		error: function(xhr, type, errorThrown){
			return alert("异常:" + JSON.stringify(xhr));
		}
	});

Axios 代码示例:

    axios({
        url: "/user/getInfo",
        method: 'post',
        data: {},
		// 重点处:开启第三方 Cookie 
		withCredentials: true,
        headers: {
            "Content-Type": "application/x-www-form-urlencoded"
        }
    }).
    then(function (response) { // 成功时执行
        console.log(res);
    }).
    catch(function (error) {
        return alert("异常:" + JSON.stringify(error));
    })

此时在后端,我们应该添加以下响应头:

/**
 * [Sa-Token 权限认证] 配置类 
 *
 * @author click33
 */
@Configuration
public class SaTokenConfigure implements WebMvcConfigurer {

	/**
     * 注册 [Sa-Token 全局过滤器] 
     */
    @Bean
    public SaServletFilter getSaServletFilter() {
        return new SaServletFilter()
        		
        		// 指定 [拦截路由] 与 [放行路由]
        		.addInclude("/**").addExclude("/favicon.ico")
        		
        		// 认证函数: 每次请求执行 
        		.setAuth(obj -> {
					SaManager.getLog().debug("----- 请求path={}  提交token={}", SaHolder.getRequest().getRequestPath(), StpUtil.getTokenValue());
        			// ...
        		})
        		
        		// 异常处理函数:每次认证函数发生异常时执行此函数 
        		.setError(e -> {
        			return SaResult.error(e.getMessage());
        		})
        		
        		// 前置函数:在每次认证函数之前执行
        		.setBeforeAuth(obj -> {

					// 获得客户端domain
					SaRequest request = SaHolder.getRequest();
					String origin = request.getHeader("Origin");
					if (origin == null) {
						origin = request.getHeader("Referer");
					}

        			// ---------- 设置跨域响应头 ----------
					SaHolder.getResponse()
					// 允许第三方 Cookie 
					.setHeader("Access-Control-Allow-Credentials", "true")
        			// 允许指定域访问跨域资源
        			.setHeader("Access-Control-Allow-Origin", origin)
        			// 允许所有请求方式
        			.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE")
					// 允许的header参数
					.setHeader("Access-Control-Allow-Headers", "x-requested-with,satoken")
        			// 有效时间
        			.setHeader("Access-Control-Max-Age", "3600")
					;
        			
        			// 如果是预检请求,则立即返回到前端 
        			SaRouter.match(SaHttpMethod.OPTIONS)
        				.free(r -> System.out.println("--------OPTIONS预检请求,不做处理"))
        				.back();
        		})
        		;
    }

}

如果你的项目是 WebFlux 环境,只需要把过滤器名称从 SaServletFilter 更换为 SaReactorFilter 即可,其它保持不变。

shengzhang_
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用sa-token 进行权限控制
java大神起床啦
04-11 7147
sa-token
Sa-Token大坑:关于Sa-Token跨域问题解决后导致token无效,Cookie丢失的问题
weixin_47303191的博客
06-22 5457
这两天用sa-token做业务发现,如果使用前端ajax请求到认证中心的话,会导致跨域问题,而跨域问题解决后悔导致认证中心的token失效了,我debug了。同理,如果认证中心重定向回来,token也可能丢失,所以我们将token放在重定向地址里作为参数,就不会丢失了.如果不懂代码怎么回事,可以去Sa-Token学习学习,也可以去我发的**
sa-token权限认证框架,最简洁,最实用讲解
最新发布
2301_78960337的博客
05-15 620
sa-token认证鉴权安全框架
使用 Sa-Token全局过滤器解决跨域问题
热门推荐
shengzhang_的博客
08-26 1万+
SaTokenConfigure.java 中设置响应头即可 /** * [Sa-Token 权限认证] 配置类 */ @Configuration public class SaTokenConfigure { /** * 注册 [sa-token全局过滤器] */ @Bean public SaServletFilter getSaServletFilter() { return new SaServletFilter()
Servlet中过滤器Filter的使用
GzxNgu的博客
09-30 7606
Servlet中过滤器Filter的使用 1.Filter过滤器简介 在Servlet中,有时我们需要Filter来进行对信息的过滤,比如在一个管理系统中,我们可以设置过滤器来过滤没有登录的用户访问主页以提高系统的安全性。 2.过滤器的优点: 过滤器是可插拔的,我们不需要某个过滤器时,直接删掉不会影响程序的运行。 一个过滤器不依赖于另一个资源 维护少,容易维护 3.过滤器的创建 要创建一个过...
最简单的权限验证实现——使用Sa-Token进行权限验证
月月大王的博客
09-27 2252
在请求其他接口的时候将登录接口返回的token放到header中X-Token即可。今天来记录一下最简单的权限校验实现方式——使用Sa-Token进行权限验证。需要一个配置类来设置过滤规则,例如将login接口的权限验证去掉。登录接口也是超级简单。
sa-token封装了一下
03-15
sa-token封装了一下”这个标题表明了这是一个关于sa-token的讨论,sa-token是一个轻量级的Java权限认证框架,主要用于解决权限认证和授权问题。这里的“封装了一下”可能意味着有人或团队对sa-token进行了二次开发...
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架,Sa-Token框架。 jdk使用1.8 mysql 8.0
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离的后台管理系统
03-08
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离的后台管理系统,可以用于常见的的 Web 应用程序,比如网站管理后台等。.zip 适合学习/练手、毕业设计、课程设计、期末/期中/大作业、工程实训、相关项目/...
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台源代码
06-16
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台 前端采用Vue、Element UI 后端采用Spring Boot、Redis & Jwt。 Sa-Token:一个轻量级 java 权限认证框架,让鉴权变得简单、优雅! 权限认证使用Jwt,支持...
SpringBoot(51) 整合Sa-Token实现权限认证
08-17
SpringBoot(51) 整合Sa-Token实现权限认证
Servlet过滤器Filter详解
只有想不到没有做不到,程序的力量。。。
01-21 1776
Filter概述 1、Filter意为过滤镜或者过滤器,用于在Servlet之处对request或者response进行修改。Filter提出了过滤链(FilterChain)的概念。这个概念体现了设计模式中的 2、Filter的处理过程: Filter基本使用方法 Filter适用的案例
Token
kuyuguoheqi的博客
08-17 1387
而HTTP是无状态的协议。token的意思是“令牌”,是用户身份的验证方式,最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接token请求服务器)。· 数据存储大小不同:单个Cookie 保存的数据不能超过4K,一个站点最多保存20个Cookie ,Session对象没有对存储的数据量的限制,其中可以保存更为复杂的数据类型,根据服务器大小来定。...
解决跨域Axios发起的跨域预检OPTIONS请求,无法正确通过Sa-TokenSaInterceptor路由拦截鉴权问题
m0_65112487的博客
03-02 1564
在OPTIONS请求中,不会携带请求头的参数,导致SaInterceptor中如等鉴权操作无法读取到token而错误拦截请求
SpringCloud整合Sa-Token登录认证+Gateway网关拦截
良月柒
05-19 2866
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 10分钟。来自:blog.csdn.net/yangjiaaiLM/article/details/126739846Sa-Token介绍:Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题本文章框架使...
SpringCloud 统一网关Gateway -- 全局过滤器 GlobalFilter、@Order注解、过滤器链执行顺序、Gateway跨域问题处理
天行健 君子以自强不息,地势坤 君子以厚德载物。
02-24 3727
全局过滤器 GlobalFilter、@Order注解、过滤器链执行顺序、Gateway跨域问题处理
前后端分离使用Sa-Token(超越官方文档)
Peter Cheung的博客
07-20 3583
讲解了前后端分离框架下使用sa-token技术完成登录校验,权限校验。
axios 添加 token跨域问题
qq_43232345的博客
05-17 2857
**问题:**后端配置好了跨域,但是前端在HTTP header添加token后,又产生跨域的问题 前端请求配置: const service = axios.create({ baseURL: 'http://127.0.0.1:5555/', headers: { 'content-type': 'application/x-www-form-urlencoded;charset=UTF-8', }, // 配置超时时间 timeout: 5000, }); // 请求拦截
springboot 解决sa-token跨域问题
06-07
在 Spring Boot 中解决 sa-token 跨域问题可以通过配置拦截器来实现。具体实现步骤如下: 1. 创建一个拦截器类,实现 HandlerInterceptor 接口,并重写 preHandle 方法,该方法会在请求处理之前被调用。在该方法中设置响应头,允许跨域访问。 ```java @Component public class CorsInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "x-requested-with, content-type, sa-token"); return true; } } ``` 2. 在 Spring Boot 配置类中注册拦截器。 ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Autowired private CorsInterceptor corsInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(corsInterceptor).addPathPatterns("/**"); } } ``` 这样就完成了 sa-token 跨域问题解决。注意,以上代码中的 `*` 号是通配符,表示允许所有域名访问。在生产环境中,应该根据实际情况设置允许访问的域名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值