跨域失败 过滤器_Shiro过滤器导致的前端跨域

最新推荐文章于 2023-03-12 23:17:37 发布
最新推荐文章于 2023-03-12 23:17:37 发布
阅读量304 收藏 2
点赞数 1
文章标签: 跨域失败 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39847099/article/details/111729114
版权

问题背景

公司项目是前后端分离的,最近要求在请求时都要在请求头加入自定义的 token,在做接口调试时,前端总是请求不通,然而自己用 POSTMAN 等工具时都可以,这就出现了问题,也就是 复杂请求 的跨域问题。

问题分析

复杂请求

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

只要同时满足以下两大条件,就属于简单请求。

请求方法是以下三种方法之一:

HEAD

GET

POST

HTTP的头信息不超出以下几种字段:

Accept

Accept-Language

Content-Language

Last-Event-ID

Content-Type: 只限于三个值 application/x-www-form-urlencoded multipart/form-data text/plain

这是为了兼容表单(form),因为历史上表单一直可以发出跨域请求。AJAX 的跨域设计就是,只要表单可以发,AJAX 就可以直接发。

凡是不同时满足上面两个条件,就属于非简单请求。

预检请求

非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。

浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

过滤器

由于项目中的 shiro 使用了 UserFilter, 下面是其代码:

public class UserFilter extends AccessControlFilter {

public UserFilter() {

}

protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {

if (this.isLoginRequest(request, response)) {

return true;

} else {

Subject subject = this.getSubject(request, response);

return subject.getPrincipal() != null;

}

}

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {

this.saveRequestAndRedirectToLogin(request, response);

return false;

}

}

可以看出过滤器在过滤时上面的判断是用来判断是否为登录请求的,否则就去寻找登录凭证。而在 OPTIONS 请求中,是没有携带上 token 信息的,下面是当时情况下请求的 header:

=== MimeHeaders ===

host = 192.168.7.139:4000

connection = keep-alive

accept = */*

access-control-request-method = POST

access-control-request-headers = content-type,x-admin-token

origin = http://192.168.7.117:8080

sec-fetch-mode = cors

referer = http://192.168.7.117:8080/

user-agent = Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36

accept-encoding = gzip, deflate

accept-language = zh-CN,zh;q=0.9

可以看到 token 是被带在了 access-control-request-headers 中,这样 shiro 是找不到登录凭证的,请求自然就被拒绝了。

问题解决

解决办法就是重写 UserFilter(具体看项目用的是哪个过滤器) 的 isAccessAllowed 方法,代码如下:

public class StatelessAuthcFilter extends UserFilter {

@Override

protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {

HttpServletRequest httpRequest = WebUtils.toHttp(request);

HttpServletResponse httpResponse = WebUtils.toHttp(response);

if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {

httpResponse.setHeader("Access-control-Allow-Origin", httpRequest.getHeader("Origin"));

httpResponse.setHeader("Access-Control-Allow-Methods", httpRequest.getMethod());

httpResponse.setHeader("Access-Control-Allow-Headers", httpRequest.getHeader("Access-Control-Request-Headers"));

httpResponse.setStatus(HttpStatus.OK.value());

return false;

}

return super.preHandle(request, response);

}

}

然后再去 shiro 配置中将 user 过滤器修改为自定义的过滤器:

/**

* Shiro过滤器配置

*/

@Bean

public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {

ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();

// Shiro的核心安全接口,这个属性是必须的

shiroFilterFactoryBean.setSecurityManager(securityManager);

// 身份认证失败,则跳转到登录页面的配置

shiroFilterFactoryBean.setLoginUrl(loginUrl);

// 权限认证失败,则跳转到指定页面

shiroFilterFactoryBean.setUnauthorizedUrl(unauthorizedUrl);

Map filters = new LinkedHashMap<>();

filters.put("user", new StatelessAuthcFilter());

shiroFilterFactoryBean.setFilters(filters);

// Shiro连接约束配置,即过滤链的定义

Map filterChainDefinitionMap = new LinkedHashMap<>();

// 对静态资源设置匿名访问

filterChainDefinitionMap.put("/favicon.ico**", "anon");

filterChainDefinitionMap.put("/css/**", "anon");

filterChainDefinitionMap.put("/docs/**", "anon");

filterChainDefinitionMap.put("/fonts/**", "anon");

filterChainDefinitionMap.put("/img/**", "anon");

filterChainDefinitionMap.put("/ajax/**", "anon");

filterChainDefinitionMap.put("/js/**", "anon");

// 不需要拦截的访问

filterChainDefinitionMap.put("/auth/login", "anon");

// 所有请求需要认证

filterChainDefinitionMap.put("/**", "user");

shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

return shiroFilterFactoryBean;

}

本以为这样就好了,但实际上在页面重定向后再请求接口还是有问题,这是因为重定向会会默认把请求头清空,所以还需要将 onAccessDenied 方法重写,完整的代码如下:

public class StatelessAuthcFilter extends UserFilter {

@Override

protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {

HttpServletRequest httpRequest = WebUtils.toHttp(request);

HttpServletResponse httpResponse = WebUtils.toHttp(response);

if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {

httpResponse.setHeader("Access-control-Allow-Origin", httpRequest.getHeader("Origin"));

httpResponse.setHeader("Access-Control-Allow-Methods", httpRequest.getMethod());

httpResponse.setHeader("Access-Control-Allow-Headers", httpRequest.getHeader("Access-Control-Request-Headers"));

httpResponse.setStatus(HttpStatus.OK.value());

return false;

}

return super.preHandle(request, response);

}

@Override

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {

HttpServletResponse httpResp = WebUtils.toHttp(response);

HttpServletRequest httpReq = WebUtils.toHttp(request);

/*系统重定向会默认把请求头清空,这里通过拦截器重新设置请求头,解决跨域问题*/

httpResp.addHeader("Access-Control-Allow-Origin", httpReq.getHeader("Origin"));

httpResp.addHeader("Access-Control-Allow-Headers", "*");

httpResp.addHeader("Access-Control-Allow-Methods", "*");

httpResp.addHeader("Access-Control-Allow-Credentials", "true");

this.saveRequestAndRedirectToLogin(request, response);

return false;

}

}

这样就解决了 shiro 导致的跨域问题,如果内容对你有所帮助,可以分享给你的好友共同学习。

weixin_39847099
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JS跨域解决方案之使用CORS实现跨域
11-24
引言        跨域是我在日常面试中经常会问到的问题,这词在前端界出现的频率不低,主要原因还是由于安全限制(同源策略, 即JavaScript或Cookie只能访问同域下的内容),因为我们在日常的项目开发时会不可避免的需要进行跨域操作,所以跨域能力也算是前端工程师的基本功之一。   和大多数跨域的解决方案一样,JSONP也是我的选择,可是某天PM的需求变了,某功能需要改成支持POST,因为传输的数据量比较大,GET形式搞不定。所以折腾了下闻名已久的CORS(跨域资源共享,Cross-Origin Resource Sharing),这边文章也就是折腾期间的小记与总结。 •CORS能做什么
Spring Security(十一) Spring Security 中 CSRF
奥迪的博客
10-13 1万+
从刚开始学习 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 1 什么是 CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。 跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。 客户
JavaScript中的 CORS问题
LuckXinXin的博客
11-12 1285
CORS 需要浏览器和后端同时支持。IE 8 和 9 需要通过 XDomainRequest 来实现。 浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域。 服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。 该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源。 虽然设置 CORS和前端没什么关系,但是通过这种方式解决跨域问题的话,会在发送请求时出现两种情况,分别为简单请求和复杂请求。 .
SpringSecurity(十七)------CSRF
Apple_Andy的博客
10-10 1776
一.引入 从刚开始学习Spring Security时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭csrf防护。 二.什么是CSRF CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行. 这就利用了web中用户身份认证验证
解决登录提示Access denied,You do not have access to chat.openai.com
wrangler_csdn的博客
03-12 8万+
登录提示Access denied,You do not have access to chat.openai.com.
Apache_Shiro_reference(中文版)
04-20
Shiro 提供了完善的Web安全特性,包括过滤器Filter)实现的拦截器,可以方便地集成到Servlet容器中。比如,Remember Me Filter可以让用户在下次访问时自动登录,UnauthorizedHandler可以处理未授权的请求。 六、...
JFinal-Shiro-JDBC-Demo-master.zip_DEMO_jfinal_shiro
09-21
4. **过滤器配置**:Shiro通过Filter链来实现安全控制,如登录拦截、权限校验等。在JFinal中,我们通常会看到对应的ShiroFilter配置,用于定义哪些URL需要经过Shiro的处理。 5. **数据库集成**:JDBC的使用意味着...
springboot_shiro.rar
12-11
5. **过滤器链设置**:在SpringBoot的`WebSecurityConfig`中,注册ShiroFilter并配置过滤器链,如`FormAuthenticationFilter`用于处理登录请求,`AuthorizationFilter`处理权限检查。 6. **服务层与DAO层**:创建...
apache_shiro入门实例
10-27
这里我们添加了一个名为 `shiroFilter` 的过滤器,使用 `DelegatingFilterProxy` 类来代理 ShiroFilter。`targetFilterLifecycle` 参数设置为 `true`,意味着这个代理过滤器会处理过滤器生命周期的方法。然后...
shiro_tool.zip
11-18
2. **配置示例**:可能包含了Shiro的XML或Java配置,展示了如何配置 Realm(认证与授权信息源)、过滤器链等。 3. **实战代码**:可能包含一些使用Shiro实现的具体功能的代码,如登录、权限控制、会话管理等场景的...
2.自定义配置类——SpringSecurity
Lee_92的博客
08-12 1508
当前Java Web项目中主流的开发模式是前后端分离的模式,而Spring Security默认的登录是由Security框架提供的页面的表单来输入用户名、密码,且由Security框架自动处理登录流程,不适合我们前后端开发的模式,我们后端需要自己开发相关验证登录流程,我们在开发测试时需要对Security 进行初始配置!riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,我们往往在开发中将此验证关闭。的认证方式相比传统的。...
access denied
weixin_30340353的博客
09-20 7246
背景: 想要使用nginx转发 实现一个输出PHPinfo的页面, 比如: 访问 aaa.com/phpinfo 浏览器显示phpinfo的信息, 因为有的时候需要查看phpinfo, 所以想单独配置一个能直接访问phpinfo的页面. 因为是PHP文件, 所以肯定需要转发给PHP处理, 贴出配置 location /phpinfo { proxy_pa...
Web安全系列之CSRF攻击
Button12138的博客
12-02 1130
csrf指的是攻击者携带网站cookie,冒充用户请求的攻击行为。
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
weixin_45114101的博客
12-26 2438
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
Spring security CSRF 跨域访问限制问题
HONEY MOOSE
10-18 3181
在我们写 Spring 安全的时候通常有这么一句话: httpSecurity.csrf().disable(). 从这句话的字面意思就很明白就是禁用 csrf,什么是 csrf,为什么要禁用可能就一脸懵逼了。 因为你很有可能会遇到一个错误: HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'. 这个就是做 Web 开发的时
Spring Security中防护CSRF功能
花&败
07-18 2630
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 CSRF的原理 下图简单阐述了CSRF攻击的思想:
postman不跨域 本地开发跨域_记一次vue项目 开发环境proxy配置解决前端调用后端服务跨域问题...
weixin_42575109的博客
01-01 1219
由于公司前端调用后端跨域问题一直是在Nginx设置跨域导致根本没有发现webpack devServer 配置的正确打开方式,做下记录。由于公司部分系统存在多个后端服务,端口和ip都不一样,所以需要配置多个服务路径,寻找下发现 vue cli文档中的支持,进顿配置代码如下: '/aaa': { // 系统aaa服务标识 target: 'http://localhost:/777...
浏览器允许跨域设置
x530681545的博客
06-26 7443
浏览器允许跨域设置
MySQL登录时出现Access denied for user ‘root‘@‘localhost‘ (using password: YES)无法打开的解决方法
热门推荐
JMFive的博客
07-02 81万+
在学习数据库的过程中,总有些奇奇怪怪的问题出现,比如前两天用得好好的,当天一用就崩,真的被崩的一脸懵逼。只能上百度搜索解决方法,百度了好几天,发现很多方法都不怎么适用,有些只能用一半,所以索性自己就总结出那些有用的,前人种树后人乘凉嘛,偶尔当一下前人也是不错的 🍉 🍉 🍉。只希望减少大家搜索时间,比较时间就是金钱 👍 👍 👍。如果文章有什么需要改进的地方还请大佬不吝赐教。👏 👏 👏🌹 🌹 🌹也欢迎你,关注我。👍 👍 👍!!
springboot整合shiroshiro实现跨域
最新发布
08-30
3. 配置跨域过滤器Bean:将自定义的CORS过滤器配置为一个Spring Bean。 ```java @Bean public CorsFilter corsFilter() { return new CorsFilter(); } ``` 通过以上步骤,您就可以在Spring Boot中实现Shiro跨域...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值