Spring boot 和 Shiro 做后台跨域访问权限控制遇到的问题

最新推荐文章于 2022-04-26 09:50:35 发布
最新推荐文章于 2022-04-26 09:50:35 发布
阅读量405 收藏
点赞数
文章标签: java javascript ViewUI
原文链接:https://segmentfault.com/a/1190000010757321
版权

  最近在弄一个后台用Spring boot、Shiro、Spring data mybatis,前台用Angular 4的项目.在做权限控制的时候后台一直获取不到前台获取的数据(username, password, token等)。记录一下解决过程。

  首先为了解决密码登录和Token验证两种验证方法,所以自定义了一个JWTOrAuthenticationFilter来根据前台传来的数据判断选择哪一种登录方法(具体参考)。

  当然想象是美好的,定义完成后发现每次访问时传入JWTOrAuthenticationFilter的onAccessDenied时传入的Request数据都是空的,前台调试发现请求时数据是发送了的。

  • JWTOrAuthenticationFilter访问异常

  首先配置了/login=anon期望访问正常登陆的时候不通过Shiro的过滤器,而是访问Controller中定义的login方法。但是调试发现登录时根本没有进入Controller中定义的login方法,而是直接进入了JWTOrAuthenticationFilter。

  Google一下找到一篇帖子( http://www.hillfly.com/2017/179.html)。原来将自定义Shiro Filter注册为Spring Bean时,会被自动注册到全局的ApplicationFilterChain中,这个自定义的Filter无论如何都会执行,所以/login=anon配置失效了。

  修改办法:不显式的将 JWTOrAuthenticationFilter 注册为 Spring bean 。代码如下:

 protected ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager     
                                        securityManager,ShiroFilterChainDefinition shiroFilterChainDefinition) {
     ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean();
     filterFactoryBean.setLoginUrl(loginUrl);
     filterFactoryBean.setSuccessUrl(successUrl);
     filterFactoryBean.setUnauthorizedUrl(unauthorizedUrl);
     filterFactoryBean.setSecurityManager(securityManager);
     filterFactoryBean.setFilterChainDefinitionMap(shiroFilterChainDefinition.getFilterChainMap());
     Map<String, Filter> filters = new HashMap<>();
     filters.put("authc", new JWTOrAuthenticationFilter(origin));
     filterFactoryBean.setFilters(filters);
     return filterFactoryBean;
 }

  • JS的CROS请求的异常

  经过上面的修改,正常登录终于可以成功了,撒花。。。。 但是问题又来了。。登录是可以成功了, 其他请求发送Token验证时应该经过 JWTOrAuthenticationFilter 去调用Token的登录验证Realm了, 但是 JWTOrAuthenticationFilter 获取不到前台发送的Token, 也就是只能登录,其他什么都干不了......MDZZ。这个就很奇怪了......

  经过前台调试发现根本没有前台根本没有发送Token到服务端, 只发送了一个 Access-Control-Allow-Headers:token-key 。所以我就以为是前台添加token的时候有问题,翻来复去换了好多种添加header的方法,依然不行。但是很奇怪啊明明他把header的key "token-key" 发送了, 为什么不发送值呢。仔细又去看了CROS的介绍。原来CROS复杂请求时会先发送一个OPTIONS请求,来测试服务器是否支持本次请求,这个请求时不带数据的,请求成功后才会发送真实的请求。所以前面那个只发送key的问题是要确认服务器支不支持接收这个header。所以每次获取不到数据的请求都是OPTIONS请求?。所以我们要做的就是把所有的OPTIONS请求统统放行。

  做法是在 JWTOrAuthenticationFilter 中重写一个 preHandler 方法。 代码如下:

   protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
       HttpServletRequest httpRequest = WebUtils.toHttp(request);
       HttpServletResponse httpResponse = WebUtils.toHttp(response);
       if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
           httpResponse.setHeader("Access-control-Allow-Origin", origin);
           httpResponse.setHeader("Access-Control-Allow-Methods", httpRequest.getMethod());
           httpResponse.setHeader("Access-Control-Allow-Headers", httpRequest.getHeader("Access-Control-Request-Headers"));
           httpResponse.setStatus(HttpStatus.OK.value());
           return false;
       }
       return super.preHandle(request, response);
   }

  • 前台Response数据的问题

  上一步完成后,第一次OPTIONS请求成功,第二次真实请求也发送成功(状态为200),但是response里面没有数据。这就很尴尬了,调试代码发现数据查询成功,返回成功。但是前台就是没有数据, 并报错(No 'Access-Control-Allow-Origin' header is present on the requested resource)根据这个错误去查看第二次请求的 response headers 果然发现所有跨域相关的header都没了(Access-Control-Allow-sth),但是明明在Application添加了允许跨域的配置。这里好像失效了,于是换了种方法,加了个CrosFilter, 终于解决问题。。

    package com.webapp.web.filter;
    
    import org.springframework.beans.factory.annotation.Value;
    import org.springframework.stereotype.Component;
    
    import javax.servlet.*;
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;
    import java.io.IOException;
    
    @Component
    public class CorsFilter implements Filter {
    
         @Value("${cors.origin}")
         private String origin;
        
         @Override
         public void init(FilterConfig filterConfig) throws ServletException {
        
         }
        
         @Override
         public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
             HttpServletResponse httpResponse = (HttpServletResponse) response;
             HttpServletRequest httpRequest = (HttpServletRequest) request;
             httpResponse.setHeader("Access-Control-Allow-Origin", origin);
             httpResponse.setHeader("Access-Control-Allow-Methods", httpRequest.getMethod());
             httpResponse.setHeader("Access-Control-Max-Age", "3600");
             httpResponse.setHeader("Access-Control-Allow-Headers", httpRequest.getHeader("Access-Control-Request-Headers"));
             chain.doFilter(request, response);
         }
        
         @Override
         public void destroy() {
        
         }
    }

  虽然Application里的配置为什么失效,暂时还没弄明白是为什么,可是程序终于是可以跑通了,撒花。。。。。??。下一步想弄明白Application中的配置为什么会失效

@Bean
public class CorsConfigurerAdapter extends WebMvcConfigurerAdapter{ 
    @Override public void addCorsMappings(CorsRegistry registry) {             
          registry.addMapping("*").allowedOrigins(origin); 
    } 
}
weixin_33845477
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro ajax跨域,shiro(14)- 跨域预检请求进行权限认证
weixin_30915487的博客
08-06 276
跨域问题系列文章本文重点:对于复制的跨域请求,浏览器会发送一个OPTIONS预检请求,shiroFilter应如何处理该预检请求?由于浏览器都实行了“同源策略”,限制从一个源加载的文档或脚本去另外一个源进行资源交互。这就会导致前后端分离的架构,前端服务器与后台服务器之间存在着跨域问题。1. CORS解决跨域解决跨域问题的核心:允许两个源之间进行资源共享(CORS-跨域资源共享),也就是说,在响应中...
SpringBoot+Shiro学习(七):Filter过滤器管理
agg7911的博客
05-17 601
SpringBoot+Shiro学习(七):Filter过滤器管理 Hiwayz关注 0.52018.09.06 19:09*字数 1070阅读 5922评论 1喜欢 20 先从我们写的一个自定义Filter来看: public class RoleOrFilter extends AuthorizationFilter { ...
vue+shiro出现的跨域(登陆成功之后还是不能访问,存在拦截)
wangming0123的博客
10-16 1159
参考文章:https://blog.csdn.net/weixin_45492007/article/details/105485782 1、首先vue使用的是axios进行网络请求的,他默认不会携带cookie axios.defaults.withCredentials = true// 允许当前axios携带cookie 在main.js配置 2、后台存在跨域,当使用 @CrossOrigin 时,他不允许cookie,所以使用一下两种方式解决跨域 1.基于WebMvcConfigu...
shiro ajax 跨域配置文件,springboot集成shiro跨域问题
weixin_33736279的博客
08-06 159
使用过滤器@Componentpublic class CorsFilter implements Filter {@Overridepublic void init(FilterConfig filterConfig) throws ServletException {System.out.println("FilterConfig init");}@Overridepublic void do...
【笔记】关于spring boot 整和shiro和aop后controller无法访问或者权限注解失效的那些事
深渊码头
02-07 670
【笔记】关于spring boot 整和shiro和aop后controller无法访问或者权限注解失效的那些事
Spring boot shiro
12-25
Spring Boot 提供了快速构建和配置Spring应用的便利性,而Shiro则是一个强大且易用的安全管理框架,专注于身份验证、授权、会话管理和安全性。 **一、Spring Boot 概述** Spring Boot 是基于Spring框架的开发工具,...
CAS-Shiro:单点登录和简单的权限控制
07-01
7. **Web应用集成**:学习如何将CAS和Shiro集成到Web应用(例如Spring Boot或传统的Java Web应用)中,理解它们之间的协同工作方式。 8. **安全最佳实践**:了解并实践SSO和权限控制的安全最佳实践,例如防止CSRF...
基于springboot整合shiro完整代码案例demo
最新发布
06-21
- **添加依赖**:在Spring Boot的`pom.xml`文件中,我们需要引入Spring Boot的web依赖和Shiro的相关依赖,如`spring-boot-starter-web`、`shiro-spring-boot-starter`等。 - **配置Shiro**:创建一个`ShiroConfig`...
springboot shiro 权限管理项目
08-02
本项目是一个基于Spring BootShiro的权限管理系统,旨在帮助开发者快速搭建具有权限控制后台系统。 Spring Boot 是一个用于简化Spring应用程序初始搭建以及开发过程的框架。它通过自动配置、起步依赖等特性,...
SpringBoot】廿三、SpringBoot中整合Shiro实现权限管理.docx
12-17
综上,通过SpringBootShiro的整合,我们可以轻松地在应用程序中实现用户认证和权限控制,提供安全且易于维护的权限管理体系。同时,Shiro的灵活性使得其能适应各种不同的应用场景,如Web应用、微服务等。
shiro学习22-shiro提供的filter-AccessControlFilter
iteye_14612的博客
02-20 1814
这个类的javadoc中说明了这个类才是限制应用中的资源能否被访问的filter,我们先看的onPreHandle方法: publicboolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { return isAccessA...
shiro认证时拦截器的isAccessAllowed和onAccessDenied执行流程
m0_67403240的博客
03-28 835
执行登陆的时候会调用org.apache.shiro.web.filter.AccessControlFilter类里面的onPreHandle方法。 在使用Shiro框架的时候所有的请求经过过滤器都会来到此onPreHandle方法 isAccessAllowed:判断是否登录 在登录的情况下会走此方法,此方法返回true直接访问控制器 onAccessDenied:是否是拒绝登录 没有登录的情况下会走此方法 如果isAccessAllowed方法返回True,则不会再调用
springboot整合shiro最全功能
fwdwqdwq的博客
04-26 348
springboot整合shiro,实现登录认证,登录过期,权限拦截,单点登录 1、权限控制的两种方式:粗粒度基于URL级别权限控制、细粒度基于方法级别权限控制 2、基于Apache Shiro实现登录认证和权限控制,重点讲解shiro权限控制流程、自定义Realm对象控制系统认证和授权 3、Apache Shiro实现细粒度方法级别权限控制 4、动态系统菜单显示功能 5、对认证和授权数据进行缓存优化 粗粒度 URL 级别权限控制(基于页面的访问路径) 用户发送请求,访问页面,通过配置的Filter过滤器
shiro 实现多种方式登录_前后端分离架构使用shiro框架进行登录的两种实现
weixin_39528994的博客
12-18 480
方法一:重写FormAuthenticationFilter原理:假设在shiro.xml中配置了 /** = authc而默认authc对应org.apache.shiro.web.filter.authc.FormAuthenticationFilter过滤器则表示所有路径都被此过滤器拦截当未登录请求被拦截,会调用FormAuthenticationFilter.onAccessDeny():...
springboot 整合shiro出现的跨域cors问题解决
王威振的博客
07-29 1325
如果你在后端配置好了跨域配置。还是不生效的。来到这里希望会帮到你! 其实想快速追踪到问题的话。就从打断点开始。 我的猜想是。shiro的过滤器过滤优先级>cors的过滤器,所以才导致的此类问题 结果,果然是这样(以下图片,是我调整后的。所以corsFilter在shiroFilterFactoryBean之上) 所以要想解决这个问题,就要把cors的过滤器的优先级提升。 代码如下: @Bean public FilterRegistrationBean filterRe..
shiro学习分享(三)——解决跨域问题遇到的坑
热门推荐
madonghyu的博客
04-21 1万+
解决了整合shiro框架之后跨域的时候无法传输cookie的问题
springboot解决跨域CROS问题,用注解@CrossOrigin
郭家一诺千金的博客
07-18 781
项目是springboot框架,前后端分离,需要跨域,当前前端可以用JSONP解决,但是java端如何解决呢? 因为是springboot框架,所以好多都可以用注解解决问题,所以就用到了@CrossOrigin,这个是解决跨域问题相当好的一种方法,当然还有写个全局配置类,因为我这里只是个别方法需要跨域,所以不用全局配置。 @CrossOrigin只在方法中配置跨域时,只需要在方法名上加上这一注解就...
关于带Cookie的跨域问题导致Shiro授权和认证失败的问题
geren0408的博客
05-03 3667
问题描述:后端框架为SpringBoot,安全框架为Shiro。其中认证和授权都已经好了,授权和认证主要是用注解的方式,主要采用了@RequiresAuthentication这个注解,意思是加上这个注解的方法,必须经过授权才可以访问,也就是必须登陆才可以。之后整个项目只用了Postman进行测试。 主要测试就是两方面,在不登陆的情况下去访问带有@RequiresAuthentication的...
SpringBootShiro整合.docx
02-09
通过学习课程,学员可以掌握Spring BootShiro的整合使用,了解用户认证和授权的实现原理,并能够使用thymeleaf和Shiro进行页面级别的权限控制。这些知识对于开发安全性高的Java应用程序至关重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值