Apache Shiro框架在CORS跨域访问中遇到的问题及解决

最新推荐文章于 2022-11-15 10:04:03 发布
最新推荐文章于 2022-11-15 10:04:03 发布
阅读量800 收藏 2
点赞数
分类专栏: Shiro框架 跨域 文章标签: shiro
原文链接:https://www.jianshu.com/p/e56362315581
版权

背景
最近做一个前后端分离的项目时,遇到了一系列跨域访问的相关问题,这里做一下总结,也希望能对遇到同样问题的同学有所帮助.
后端主要采用技术体系:

  1. SpringBoot 2.0.1.RELEASE
  2. Shiro 1.4.0
  3. Spring Data JPA 2.0.6.RELEASE
  4. 前端采用技术体系:

ReactJS Ant Design
问题
1. redirect问题
现象:
后端通过Shiro配置URL过滤,
shiroFilterFactoryBean.setLoginUrl("/unauth");
默认对于没有授权的访问请求会redirect至LoginUrl.但在跨域访问时,redirect失败.原因是基于安全考虑,redirect发生时Response Header的信息会被清除,导致client端的访问被server端拒绝.

解决方案:
前后端分离的场景下, client端并不需要服务端发起的redirect, 只要获取一个没有授权的状态码,然后自行控制跳转即可. 所以让Shiro在鉴权失败后不要redirect,而是返回status 401. 通过自定义AuthenticatingFilter 实现.

public class MyAuthenticationFilter extends FormAuthenticationFilter {
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response)
        throws Exception {
            WebUtils.toHttp(response).sendError(HttpServletResponse.SC_UNAUTHORIZED);
            return false;
    }
}

然后配置ShiroFilterFactoryBean注入MyAuthenticationFilter, 这里要注意不要将MyAuthenticationFilter通过@Bean交给Spring托管,会被自动注册至FilterChain,从而导致ShiroFilter默认的其他filter无效. 可参考Shiro 自定义 filter 匹配异常

Map<String, Filter> filterMap = shiroFilterFactoryBean.getFilters();
filterMap.put("authc", new MyAuthenticationFilter());

经过这样的配置后, 对于没有授权的Request, Shiro就仅返回401, client端做相应判断即可, 这里还有一些小Tips:
前端使用Fetch Api进行请求, 当接收到一个代表错误的 HTTP 状态码时, 如401, 不会进入exception catch, 可正常进行response.status判断:

fetch(...).then(res => {
    if (res.status === 401) {
        history.push('/login');
        return Promise.reject('Unauthorized.');
     }
})
而axios则是在异常捕获中判断:
axios(...).then(...).catch(error => {
    if (error.response.status === 401) {
      history.push('/login');
      return Promise.reject('Unauthorized.');
    }
})

2. OPTIONS Request问题
现象
关于什么是OPTIONS Request, 可以参考浏览器跨域方法与基于Fetch的Web请求最佳实践,简单来说,是在跨域访问的场景下, 正式访问之前增加的一次预检性质访问,以确定能否正确获取所请求的资源.

通常是OPTIONS Reqeust正常返回status 200,然后才发起正式的GET/POST等访问,但因为Shiro配置了URL过滤, 对于OPTIONS Request也进行了拦截,所以无法继续访问.

解决方案
让Shiro对OPTIONS Request不进行鉴权操作, 在MyAuthenticationFilter基础上增加isAccessAllowed方法即可.

public class MyAuthenticationFilter extends FormAuthenticationFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if (request instanceof HttpServletRequest) {
            if (((HttpServletRequest) request).getMethod().toUpperCase().equals("OPTIONS")) {
                return true;
            }
        }
        return super.isAccessAllowed(request, response, mappedValue);
    }
    
    @Override
    protected boolean onAccessDenied(ServletRequest request, ServletResponse response)
        throws Exception {
            WebUtils.toHttp(response).sendError(HttpServletResponse.SC_UNAUTHORIZED);
            return false;
    }
}

原文链接:https://www.jianshu.com/p/e56362315581

程序员逍遥峰
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apache 处理cors跨域问题
Ty201313的博客
05-07 876
在需要配置跨域的虚拟主机 vhosts文件添加以下内容: <Directory "D:/phpstudy_pro/WWW/cms-api/public"> Header set Access-Control-Allow-Origin * Header set Access-Control-Allow-Methods "GET, POST, PUT,DELETE,OPTIONS" Header set Access-Control-Allow-Header
springboot shiro 重定向导致跨域的一次记录
Yao_MG的博客
04-14 1102
对于一般的跨域配置 只需要增添一个简单配置类 @Configuration public class CorsConfigure { // 有点奔放 可以更严谨点 @Bean public CorsFilter corsFilter() { CorsConfiguration config = new CorsConfiguration(); ...
Shiro框架CORS跨域访问遇到问题解决
Reid的专栏
08-14 3365
转自: https://www.jianshu.com/p/e56362315581
SpringBoot2.x整合Shiro出现Cors跨域问题
Mrloserc的博客
03-22 532
1. Springboot如何跨域? 最简单的方法是: 定义一个配置CorsConfig类即可(是不是简单且无耦合到令人发指) import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springfra
springboot整合rabbitMq和多数据源动态切换和跨域访问和gradle加maven和shiro安全框架和lombok自动getset生成
05-21
标题的“springboot整合rabbitMq和多数据源动态切换和跨域访问和gradle加maven和shiro安全框架和lombok自动getset生成”表明这是一个关于Spring Boot集成多个技术的项目。以下是对这些技术及其整合的详细解释: 1...
跨域shiro,swagger等Configuration配置文件.zip
08-12
"跨域shiro,swagger等Configuration配置文件.zip"这个压缩包显然包含了与这三个关键组件相关的配置文件,它们分别是:跨域CORS)配置、Apache Shiro安全框架配置以及Swagger API文档生成工具的配置。...
项目演示:springboot整合shiro.zip
最新发布
04-04
- **CORS支持**:如果应用需要跨域访问,需配置CORS策略。 - **分布式环境**:在分布式环境,考虑使用Redis或Memcached存储会话。 7. **总结** SpringBoot整合Shiro能有效提升项目的安全性,实现用户登录、...
ssm-shiro权限管理(二)
01-14
同时,我们可能还会遇到跨域访问问题Shiro可以通过Filter链的配置来处理CORS(Cross-Origin Resource Sharing),确保不同源的请求能正确地被授权。 总之,“ssm-shiro权限管理(二)”的主题涵盖了Shiro在SSM...
springboot简单的shiro代码
12-30
9. **Maven依赖**:在`pom.xml`文件添加Shiro和SpringBoot的依赖,如`org.apache.shiro:shiro-spring-boot-starter`和`org.springframework.boot:spring-boot-starter-web`。 10. **JSP页面**:`demojsp`和`jsp`...
Apache配置支持CORS跨域资源共享)实例
09-15
主要介绍了Apache配置支持CORS跨域资源共享)实例,本文给出了一个完整的apache、PHP、JavaScript结合实现的跨域资源共享实例,需要的朋友可以参考下
[前后端分离]Springboot2.x解决加入shiro拦截器后才出现的Cors跨域问题
wangzai_a的博客
08-01 412
使用Shiro认证授权拦截器再次出现Cors跨域问题:重定向错误 ——————看到此行说明只是大致推断,暂未验证确实如此—————— 一、背景 启用shiro的身份认证之前(其他已开),已经实现前后端分离的数据调用,但当我打开shiro认证拦截器后,出现跨域问题如下: 打开浏览器自带的开发人员工具(Shift+Ctrl+I),发现错误如下 翻译:从“http://本地主机:8080”从‘http://localhost:8081/gas/facility/queryFacilityList’访问XMLH
Angular2,Springboot,Zuul,Shiro跨域CORS请求踩坑实录
weixin_30564901的博客
11-17 288
前言:前后端分离,业务分离,网关路由等已经成为当下web application开发的流行趋势。前端以单页面路由为核心的框架为主体,可以单独部署在nodejs或nginx上。后端以springboot为代表的分布式微服务框架为主体,可以独立运行在任何端口上。相互通过符合restful规范的接口访问或数据交换。在这样的开发模式下,首先需要解决的就是由于跨域而引起的访问,cookie传递以及权限管理问...
Apache Windows配置-----跨域CORS设置-----HTTP响应头设置-------dplayer调用apache服务时的header filed range报错解决
z69183787的专栏
11-15 716
该命令的意思是,安装Windows可托管的Apache服务,其"-n"后面参数是自定义Windows服务名称,之后可使用Windows管理服务的命令来管理apache服务,如"net start/stop apache"(启动/停止服务)。补充句,从该界面可看出,其可以手动控制服务的开启与关闭,为了节省资源,关闭Apache服务器的时候,请先点击“Stop”关闭apache服务。服务安装完毕,完毕后,会自动测试,若有问题,窗口会提示错误,此时请根据错误自行排查。Apache服务器下载完成后,进行解压缩。
springboot 整合shiro出现的跨域cors问题解决
王威振的博客
07-29 1347
如果你在后端配置好了跨域配置。还是不生效的。来到这里希望会帮到你! 其实想快速追踪到问题的话。就从打断点开始。 我的猜想是。shiro的过滤器过滤优先级>cors的过滤器,所以才导致的此类问题 结果,果然是这样(以下图片,是我调整后的。所以corsFiltershiroFilterFactoryBean之上) 所以要想解决这个问题,就要把cors的过滤器的优先级提升。 代码如下: @Bean public FilterRegistrationBean filterRe..
后端已经配置 前端还是报cors错误怎么回事_换一种姿势挖掘CORS漏洞
weixin_39878760的博客
12-08 7956
最近一直在挖CORS配置错误这个问题,但是还没找到像样的案例,就先归纳一下这个漏洞,顺便记录一下学到的新姿势,希望对大家有所帮助在阅读本文之前,你应该已经知道什么是CORS了,以及CORS配置错误会带来的安全问题,当然不懂也没关系,我用几句话简单给大家描述下这个问题CORS基础CORS的全称是跨域资源访问,我们都知道同源策略(SOP)限制了我们的浏览器跨域读取资源,但是我们在设计开发一些网站的...
SpringBoot整合Shiro实现用户登录认证和权限鉴定
Mistra的博客
01-22 4854
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
js封装ajax
aau88497的博客
06-14 166
//封装ajax function ajax(obj) { //创建xhr对象; var xhr = new XMLHttpRequest(); obj.method = obj.method.toUpperCase(); //异步调用 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值