解决Shiro跨域问题

最新推荐文章于 2024-04-18 09:02:37 发布
最新推荐文章于 2024-04-18 09:02:37 发布
阅读量1.6w 收藏 20
点赞数 8
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010042669/article/details/93308046
版权

由于项目需要springboot项目接入了shiro进行登录验证。做法是在在每一个接口的heards部分增加token,后台拿到token后进行验证。在postman测试没问题。但是,前端却一直报options500错误。

原来,是浏览器的同源策略引起的。

什么是同源策略?

源(origin)就是协议、域名和端口号。同源策略是浏览器的一种安全功能,不同源(协议或域名或端口不同)之间不能相互读写。

跨域(摘自http访问控制

跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器  让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。

在 CORS 中,可以使用 OPTIONS 方法发起一个预检请求,以检测实际请求是否可以被服务器所接受。预检请求报文中的 Access-Control-Request-Method 首部字段告知服务器实际请求所使用的 HTTP 方法;Access-Control-Request-Headers 首部字段告知服务器实际请求所携带的自定义首部字段。服务器基于从预检请求获得的信息来判断,是否接受接下来的实际请求。

这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源,除非响应报文包含了正确CORS响应头。

shiro实现跨域

在shiro中要实现跨域,重写BasicHttpAuthenticationFilter的preHandle返回正确的请求

public class MyHttpAuthenticationFilter extends BasicHttpAuthenticationFilter {

   ... ...


    /**
     * 对跨域提供支持
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin")); //标识允许哪个域到请求,直接修改成请求头的域
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");//标识允许的请求方法
        // 响应首部 Access-Control-Allow-Headers 用于 preflight request (预检请求)中,列出了将会在正式请求的 Access-Control-Expose-Headers 字段中出现的首部信息。修改为请求首部
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
        //给option请求直接返回正常状态
        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
    }
}

使用MyHttpAuthenticationFilter

@Configuration
public class ShiroConfig {
    //@Qualifier("securityManager")  解决 :The dependencies of some of the beans in the application context form a cycle:
    @Bean("shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(@Qualifier("securityManager") SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        //设置安全管理器
        shiroFilterFactoryBean.setSecurityManager(securityManager);
       
        // 拦截器
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
        //排除swagger相关页
        //...
        //排除静态资源文件
        //...

        //自定义过滤器
        Map<String, Filter> filterMap = new LinkedHashMap<>();

        filterMap.put("jwt",new JwtFilter());
        shiroFilterFactoryBean.setFilters(filterMap);

        // 过滤链定义,从上向下顺序执行,一般将/**放在最为下边
        filterChainDefinitionMap.put("/**", "jwt");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);


        return shiroFilterFactoryBean;

    }
}

 

 

962456
关注
  • 8
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
跨域 以及 shiro解决
RealGUO的博客
04-13 3603
跨域 以及 shiro解决 同源策略:协议、域名、端口 作用:能帮助阻隔恶意文档,减少可能被攻击的媒介。 # 但也导致了跨域的问题的出现:前后端分离 # 前端访问后端,不满足同源策略,所以不能访问 1、反向代理解决 # 配置反向代理来实现跨域 # 前端访问代理 # 代理访问后端 # 代理将结果返回给前端 # 从而实现了跨域 2、CORS跨域 CORS(Cross-Origin Resource Sharing)跨域资源共享,定义了必须在访问跨域资源时,浏览器与服务器应该如何沟通。CORS的基本思想就
解决SpringBoot整合Shiro 跨域问题及前端报错401问题解决——亲测有效!
qq_54502508的博客
02-20 2548
解决SpringBoot整合Shiro 跨域问题及前端报错401问题解决——亲测有效!
springboot+shiro 跨域解决(OPTIONS)
最新发布
2401_83703797的博客
04-18 325
/可以用response.getWriter()返回json或你想要的格式,同时设置header: Content-Type:text/json。logger.info(“token过期返回403”);logger.info(“OPTIONS 放行”);logger.error(“空指针异常”, e);logger.info(“token有效放行”);//这几句代码是关键。
springboot集成shiro+前端vue,前后端分离项目遇到跨域以及sessionid拿不到等问题
qq_50595984的博客
01-16 1075
近期在写前后端分离的项目,由于前后端分离导致原来使用的shiro配置无法满足现有系统要求。同时在前后端分离项目中存在的一些问题。例如,一些用户信息需要存储在后端方便进行安全性判断,但这些存储在后端的session前端却获取不到(特别奇怪),以及浏览器访问后端接口出现的跨域问题
springboot 整合shiro出现的跨域cors问题解决
王威振的博客
07-29 1301
如果你在后端配置好了跨域配置。还是不生效的。来到这里希望会帮到你! 其实想快速追踪到问题的话。就从打断点开始。 我的猜想是。shiro的过滤器过滤优先级>cors的过滤器,所以才导致的此类问题 结果,果然是这样(以下图片,是我调整后的。所以corsFilter在shiroFilterFactoryBean之上) 所以要想解决这个问题,就要把cors的过滤器的优先级提升。 代码如下: @Bean public FilterRegistrationBean filterRe..
关于对shiro跨域请求认证的解决方案
qq_39743373的博客
01-09 1437
shiro跨域请求认证的解决方案 大家在写项目时可能会遇到前后端分离的情况,那么这个时候就会遇到跨域请求的问题。我们知道在web环境下http是一种无状态的通讯协议,要想记录和校验用户的登录状态必须通过session的机制来实现,浏览器是通过cookie中存储的sessionid来确定用户的session数据的,shiro默认也是采用这种机制。 首先简要说一下怎样突破shiro跨域访问的限制,由...
PHP关于IE下的iframe跨域导致session丢失问题解决方法
12-19
发现这个问题还真有不少人提及到。最后的解决方法是在那个登录页面里加上以下代码: 复制代码 代码如下: <span xss=removed>header(‘P3P: CP=”ALL ADM DEV PSAi COM OUR OTRo STP IND ONL”‘); session_start();&...
SpringBoot实现前后端分离的跨域访问(CORS)
01-27
简单来说,CORS是一种访问机制,英文全称是Cross-OriginResourceSharing,即我们常说的跨域资源共享,通过在服务器端设置响应头,把发起跨域的原始域名添加到Access-Control-Allow-Origin即可。CORS实现跨域访问并不...
跨域shiro,swagger等Configuration配置文件.zip
08-12
涵盖了跨域shiro,swagger等和springboot集成的Configuration配置文件
JavaWeb跨域单点登录
08-06
1、该代码,使用maven构建的模块化项目工程,ssm框架,直接import --> existing maven projects 即可 2、数据库使用的是pgsql,搭建测试的时候,自行修改登录接口即可 3、开发环境搭建可以参考 ...
Vue+Springboot+shiro的登录案例.rar
09-27
这是一个Vue+Springboot+shiro的登录...后端采用Springboot,数据持久化工具采用Mybatis,对于返回的数据进行了封装,对于JSON进行了封装,实现了跨域请求等,目录结构清晰明了。安全框架采用shiro。数据库采用MySQL。
ssm+shiro实现简单的登陆认证功能
11-07
ssm+shiro实现简单的登陆认证功能,简单明了,适合小白~
Shiro跨域问题
Myy7504的博客
04-01 535
shiro过滤器 springMvc过滤器(CorsFilter)的执行先后顺序 所以在springMvc里面的跨域配置无效, 需要自定义一个过滤器优先级比shiro的过滤器更高 下面是跨域配置: 1.springMvc过滤器的跨域配置 @Configuration public class CrossOriginConfig { @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSourc
解决前后端分离shiro跨域问题
weixin_44967580的博客
03-31 1741
问题描述 在前后端分离整合shiro框架时,我发现shiro中的Subject主体只能在第一次访问时候拿到,甚至AuthenticationInfo认证完之后AuthorizationInfo授权不能通过 原因分析: 跨域时会先发送一个OPTIONS(预请求),这个预请求是不带AuthorizationInfo的,所以不能授权 解决方案: public class MyHttpAuthenticationFilter extends BasicHttpAuthenticationFilter {
SpringBoot+Shiro放行OPTIONS请求,解决跨域问题
qq_41289165的博客
11-24 2818
问题: 集成shiro之后发现配置放行的接口可以正常访问,而需要登录验证的接口会报错 其中OPTIONS类型的接口会报302 导致后续的post请求报错提示跨域问题 Shiro登录流程 首先Shiro是根据请求中cookie携带的JSESSIONID判断是否登录的 当调用登录接口登录成功时,后端的响应头会添加一个set-cookie的参数 JSESSIONID代表当前登录的用户,前端只要在请求...
shiro学习分享(三)——解决跨域问题时遇到的坑
热门推荐
madonghyu的博客
04-21 1万+
解决了整合shiro框架之后跨域的时候无法传输cookie的问题
jwt继承BasicHttpAuthenticationFilter,无法捕获具体异常信息
qq_27437301的博客
11-22 878
jwt继承BasicHttpAuthenticationFilter,无法捕获具体异常信息。
Shiro过滤器导致的前端跨域
沐晨的博客
04-19 1363
问题背景 公司项目是前后端分离的,最近要求在请求时都要在请求头加入自定义的 token,在做接口调试时,前端总是请求不通,然而自己用 POSTMAN 等工具时都可以,这就出现了问题,也就是 复杂请求 的跨域问题。 问题分析 部分文段摘自 跨域资源共享 CORS 详解 复杂请求 浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple req...
springboot,shiro跨域CORS请求,拿不到headers中的token值解决
一勺菠萝丶的博客
01-04 1万+
项目背景: 最近在做一个后台用Spring boot、Shiro、Mybatis plus 、Oauth2,前台用layui的项目.前端在调后台接口的时候需要在浏览器中的headers头中添加token和userId的值(根据业务不同可能传值不一样),后台有一个过滤器,获取到headers中的token和userId,并去验证token是否在有效期内,在进行其他操作,在这个过程中,shiro的过...
shiro跨域请求两次
11-16
根据提供的引用内容,可以得知在使用shiro进行跨域请求时,会出现请求两次的问题。这是因为后台采用了token检验机制,前台发送请求必须将token放到request header中,而请求头中携带自定义参数,浏览器就认为请求是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值