shiro取消对option的拦截(No ‘Access-Control-Allow-Origin‘ header is present on the requested resource)跨域问题

最新推荐文章于 2024-05-05 18:51:02 发布
最新推荐文章于 2024-05-05 18:51:02 发布
阅读量959 收藏 4
点赞数 1
分类专栏: 后端 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/syiting/article/details/109904742
版权

报错

在这里插入图片描述

Access to XMLHttpRequest at 'http://localhost:8081/teacherSelect' from origin 'http://localhost:8080' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

1、一开始对于登录界面

新增一个类实现 WebMvcConfigurer 接口,然后给这个类加上 @Configuration 注解,最后实现 addCorsMappings 方法就ok了。

@Configuration
public class CrosConfig implements WebMvcConfigurer {
	@Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")
                .maxAge(3600)
                .allowCredentials(true);
    }
}

2、但是进入主页面之后的请求还是报了之前的错误

原因

shiro 把 options 拦截了。
因为 options 没有挟带 cookie 。
现在让 shiro 不拦截 options

解决方法部分来源:

https://www.jianshu.com/p/5c637bfcc674
但是用了他的办法后还是不行,需要再加上一些代码

步骤

  1. 新建一个拦截器类 CorsInterceptor 实现 HandlerInterceptor 接口
package com.springboot.study.config;

import org.springframework.http.HttpMethod;
import org.springframework.http.HttpStatus;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class CorsInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, PATCH, DELETE, OPTIONS");
        response.setHeader("Access-Control-Max-Age", "86400");
        response.setHeader("Access-Control-Allow-Headers", "*");

        // 如果是OPTIONS则结束请求
        if (HttpMethod.OPTIONS.toString().equals(request.getMethod())) {
            response.setStatus(HttpStatus.NO_CONTENT.value());
            return false;
        }

        return true;
    }
}
  1. 新增CrosConfig
package com.springboot.study.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import javax.annotation.Resource;

@Configuration
public class CrosConfig implements WebMvcConfigurer {
    @Resource
    private CorsInterceptor corsInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 跨域拦截器需放在最上面
        registry.addInterceptor(corsInterceptor).addPathPatterns("/**");

    }
}

就可以了。
原文章是有
在这里插入图片描述
删掉就可以了

  1. 在shiroConfig中添加
    在这里插入图片描述
    filter的包是
import javax.servlet.Filter;

        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
        filters.put("authc", new ShiroUserFilter());
        shiroFilterFactoryBean.setFilters(filters);

更新2021.8.18
有评论说没有ShiroUserFilter的代码,已经太久远的程序了,ShiroUserFilter的名字改成OptionalFilter 了

import com.alibaba.fastjson.JSONObject;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.subject.support.DefaultSubjectContext;
import org.apache.shiro.web.filter.authc.UserFilter;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

//使用authc进行权限控制时,若认证不通过,则shiro默认会重定向到loginUrl路径,前端请求接口时会出现302错误
//CORS跨域请求有时发送请求时会预先发送一个OPTIONS请求,不会写到token和参数,这就导致shiro拦截到请求后判定当前用户未登录,从而引发问题
public class OptionalFilter extends UserFilter {

    /**
     * 在访问过来的时候检查是否为OPTIONS请求,如果是就直接返回true
     * @param request
     * @param response
     * @return
     * @throws Exception
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        //处理option请求
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        if(httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())){
            return true;
        }
        //单点登录
        Subject subject = getSubject(request, response);
        //如果 isAuthenticated 为 false 证明不是登录过的,同时 isRemembered 为true 证明是没登陆直接通过记住我功能进来的
        if(!subject.isAuthenticated()  && subject.isRemembered()){
            Session session = subject.getSession();
            if(session.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY)!=null){
                subject.logout();
            }
        }
        return super.preHandle(httpRequest,httpResponse);
    }

    /**
     * 表示访问拒绝时是否自己处理,如果返回true表示自己不处理且继续拦截执行,返回false表示自己已经处理了
     * @param request
     * @param response
     * @return
     * @throws Exception
     */
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        response.setContentType("application/json;charset=UTF-8");
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("code", 4020);
        jsonObject.put("message", "未登录!");
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", httpRequest.getMethod());
        httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpRequest.getHeader("Access-Control-Request-Headers"));
        response = httpServletResponse;
        response.getWriter().write(jsonObject.toJSONString());
        return false;
//        return super.onAccessDenied(request, response);
    }
}
Ella Shen
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
基于Shiro 拦截URL,实现权限控制
08-02
NULL 博文链接:https://vti-iteye.iteye.com/blog/1963397
解决CORS : NoAccess-Control-Allow-Originheader is present on the requested问题 ,Nginx配置。
bk_陈龙伟
03-16 2527
解决CORS : NoAccess-Control-Allow-Originheader is present on the requested问题 ,Nginx配置。
如何放开ShiroOPTIONS请求的拦截
JokerLiu的博客
03-19 6495
如何放开ShiroOPTIONS请求的拦截 最近出现前台访问后端接口预请求,返回302重定向到shiro的登录地址的bug。定位好久后发现是OPTIONS请求的时候没有带token,导致shiro认为是未登录状态,然后重定向到登录地址。所以我们现在的解决方法就是放开shiro对所有OPTIONS的拦截。 首先确定后端是否配置好,允许所有请求方式访问。然后建立ShiroUserFilter...
NoAccess-Control-Allow-Originheader is present on the requested resource.
ne_123456的博客
08-08 247
问题:前端调用后端登录接口时出现的问题我们可以看见有一个请求的方式为: OPTIONS 和login真实的请求方式在控制层接口上添加@CrossOrigin origins: 允许哪些可以访问我这个接口allowedHeaders:允许哪些请求头信息methods: 允许哪些请求方式上面再控制层接口处加上注解的方式解决,麻烦的地方就需要对每个控制类都加该注解。 设置一个全局配置类。..................
No 'Access-Control-Allow-Origin' header is present on the requested resource.'Ajax访问解决,前后端分离存在的问题
tom有cat
06-01 2426
今天页面联调时出现了No 'Access-Control-Allow-Origin这样的问题,这个问题 当然有经验的老司机肯定可以看出来是问题,这里对于这样的问题做一次总结。面试可能会被问到,前后分离存在什么问题,你可以回答说问题,如果你答上来了,可能会问你下一个问题,怎么解决?下面是我个人总结的。 解决方案1 jsonp 这种技术是在ajax里面进行声明,客户端的解决方案。 具体...
解决No 'Access-Control-Allow-Origin' header is present on the requested resource.问题(后台(java)解决方法)...
weixin_30284355的博客
12-28 218
附:前端常见解决方案(全) 错误 解决方法 在后台写一个过滤器来改写请求头 附上一个前端不知所以然的后台java代码: 1 public class CorsFilter implements Filter { 2 @Override 3 public void init(FilterConfig filterConfig) throws Ser...
has been blocked by CORS policy: NoAccess-Control-Allow-Originheader is present on the requested
m0_72413204的博客
09-13 5321
vue前台报错:has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource。),要访问另一个IP端口的资源(springboot请求接口),会产生访问。来自一个IP端口的页面(
解决方案 'Access-Control-Allow-Origin' header in the response must not be the wildcard '*'
热门推荐
程序圆的博客
05-03 3万+
以下的问题由我斌哥提供解决方案 https://me.csdn.net/Duktig19 他的 个人站点. 文中内容由本人测试和整理 环境 文中使用的环境是 "name": "vue-admin-template", "version": "3.8.0" using [email protected] using no[email protected] 先看三张图,正常都是服务器返回session,然后浏览...
shiro-root-1.2.3-source-release zipa包 和相关jar包
04-20
shiro使用依赖的所有jar包,以及shiro-root-1.2.3-source-release的zip包
ims_nacos_gateway+shiro完成认证权限、日志等-Nacos版.rar
06-09
2.spring-gateway作为网关,具备熔断,负载,限流,统一操作日志,认证权限拦截等功能 ; 3.shiro+redis作为认证授权服务 oaa,提供为网关feign接口,用来验证权限 。 注意: 1.nacos1.1.4的安装包和naocs的配置文件也...
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
FEBS-Shiro-mysql.zip_FEBS-Shiro-mysql_FebsProperties_W9AP_shiro
09-20
spring boot + shiro for quan xian guanli
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
XING的博客
05-03 1195
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
JAVA 学习·泛型(二)——通配泛型
wr114514的博客
05-02 1073
介绍了Java泛型中的重要知识点——通配泛型及其应用。
Java---类和方法的再学习
m0_74012211的博客
05-05 1113
Java类与对象
【Java基础】三大特性——多态
qq_43714449的博客
05-05 407
它的作用是测试它左边的对象是否是它右边的类的实例,返回 boolean 的数据类型。实现一个功能时,功能的一部分是确定的,一部分是不确定,确定的部分还会用到不确定的部分,那么就把不确定的部分暴露出去,让子类去实现。通常通过重写toString方法,来返回有用的数据。instanceof 是 Java 的一个二元操作符,类似于 ==,>,< 等操作符。确定的部分:记录一个开始时间,记录一个结束时间,结束时间 - 开始时间。对类存在的语法,对接口也存在。,返回对象的字符串表示形式。判断两个人是否是同龄人。
Kubernetes基础(二十九)-资源预留
最新发布
sre救赎之路
05-05 912
如果还设置了对应的 --system-reserved-cgroup 和 --kube-reserved-cgroup参数,Pod能实际使用的资源上限不会改变(即kubepods.limit_in_bytes不变),但系统进程与kube进程也会受到资源上限的限制。比如某个节点的内存的allocatable为10Gi,有三个Pod(requests.memory=3Gi)已经调度到该节点上,那么第4个Pod就无法调度到该节点上,即使该Node上的空闲内存大于3Gi。
shiro 中has been blocked by cors policy: no 'access-control-allow-origin' he
04-30
这个错误通常是由浏览器的同源策略引起的。当浏览器尝试从一个不同的服务器上获取数据时,它会拒绝访问,除非服务器响应请求头中包含“Access-Control-Allow-Origin”字段,并将其值设置为当前页面的源。如果服务器没有正确配置CORS,浏览器就会报告这个错误。 要解决这个问题,有几种方法。一种方法是配置服务器以发送正确的响应头。在响应头中添加“Access-Control-Allow-Origin:*”即可允许所有访问服务器。这个方法不太安全,因为它允许来自任何网站的请求。 另一种方法是在客户端使用代理服务器。代理服务器将客户端请求发送到服务器并将响应发送回客户端。代理服务器可以配置CORS头文件,使浏览器可以顺利地获取数据。客户端可以使用Apache或Nginx等常见的web服务器作为代理服务器。 总之,要解决CORS策略的问题,我们需要在服务器端正确配置响应头文件,或使用代理服务器。这样浏览器就可以正确获取数据并显示它们,从而避免“has been blocked by CORS policy: no 'access-control-allow-origin'”这个错误。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值