前后端分离Shiro + springboot跨域问题
- 前后端分离项目 前端VUE 后台 springboot+shiro+mybatis
问题- 修改请求头后请求两次:
请求携带请求头后 VUE发送请求两次 , 第一次OPTIONS检测服务器状态后 , 再发送正常请求, 此时 shiro 会拦截不再白名单中的URI 的 OPTIONS请求 ,当浏览器发送OPTIONS请求的时候是没有请求头的 , 此时验证失败,跳转登录页,但属于前后台分离项目 ,跨域拦截器还没有生效,so! 出现跨域问题。
解决办法-跳过检测请求:
重写 org.apache.shiro.web.filter.authc.UserFilter 的preHandle
贴代码
package com.hiynn.cms.common.shiro;
import org.apache.shiro.web.filter.authc.UserFilter;
import org.springframework.http.HttpMethod;
import org.springframework.http.HttpStatus;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
* 解决前后端分离 OPTIONS 请求 被拦截的问题
* <p>
* 重写 shiro 的 UserFilter 过滤器 OPTIONS 请求 返回成功 并设置跨域
*
* @author 张朋
* @email 494009061@qq.com
* @date 2019/11/5 18:27
*/
public class ShiroUserFilter extends UserFilter {
/**
* 在访问过来的时候检测是否为OPTIONS请求,如果是就直接返回true
*/
@Override
protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
HttpServletRequest httpRequest = (HttpServletRequest) request;
// 如果是 OPTIONS 请求 直接返回成功 并设置跨域
if (httpRequest.getMethod().equals(HttpMethod.OPTIONS.name())) {
//设置跨域
setHeader((HttpServletResponse) response);
return true;
}
return super.preHandle(request, response);
}
/**
* 该方法会在验证失败后调用,这里由于是前后端分离,后台不控制页面跳转 因此重写改成传输JSON数据 捕获了全局异常所以暂时不用
*/
// @Override
// protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
// saveRequest(request);
// setHeader((HttpServletResponse) response);
// PrintWriter out = response.getWriter();
// //自己控制返回的json数据
// out.println(JSON.toJSONString(Result.error(HCMSConstants.ResultCode.NOT_LOGIN, HCMSConstants.ResultMessage.NOT_LOGIN)));
// out.flush();
// out.close();
// }
private void setHeader(HttpServletResponse httpResponse) {
httpResponse.setHeader("Access-Control-Allow-Origin", "*");
httpResponse.setHeader("Access-Control-Allow-Headers", "*");
httpResponse.setHeader("Access-Control-Allow-Methods", "*");
httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
httpResponse.setHeader("Access-Control-Max-Age", "3600");
//防止乱码,适用于传输JSON数据
httpResponse.setHeader("Content-Type", "application/json;charset=UTF-8");
httpResponse.setStatus(HttpStatus.OK.value());
}
}
重写后需要再 shiro 配置中进行注册
其他配置就不写了 重点是shiroFilter Bean 的写法 @Order(205) 是控制 配置类中 Bean的加载顺序
@Bean
@Order(205)
public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
shiroFilterFactoryBean.setSecurityManager(securityManager);
// 前后端分离 未登录 跳转到 控制器来返回JSON
shiroFilterFactoryBean.setLoginUrl("/sys/user/unauth");
Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
// 注意这里不要用Bean的方式,否则会报错
filters.put("authc", new ShiroUserFilter());
shiroFilterFactoryBean.setFilters(filters);
// 一定要采用链表Map 有序的特性 来配置
Map<String, String> shiroFilterMap = new LinkedHashMap<>();
// --- 跳过一些控制器API接口
// 登录
shiroFilterMap.put("/sys/user/login", "anon");
// 退出登录
shiroFilterMap.put("/sys/user/logout", "anon");
// 首页
shiroFilterMap.put("/", "anon");
// ...
// ---swagger配置
shiroFilterMap.put("/swagger-ui.html", "anon");
shiroFilterMap.put("/swagger-resources/**", "anon");
shiroFilterMap.put("/v2/api-docs/**", "anon");
shiroFilterMap.put("/webjars/springfox-swagger-ui/**", "anon");
// ...
// --- 静态文件资源
shiroFilterMap.put("/**.jpg", "anon");
shiroFilterMap.put("/**.png", "anon");
shiroFilterMap.put("/**.gif", "anon");
shiroFilterMap.put("/**.jpeg", "anon");
shiroFilterMap.put("/**.js", "anon");
shiroFilterMap.put("/**.css", "anon");
shiroFilterMap.put("/**.html", "anon");
// ...
// 以上之外的所有请求进行验证 注意配置顺序
shiroFilterMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(shiroFilterMap);
return shiroFilterFactoryBean;
}
测试 VUE 在修改请求头的情况下 会先发送一次OPTIOS 请求检测返回200 后 第二次 正常携带请求头与参数,问题解决。