SpringSecurity使用JWT与前端交互跨域解决后端获取header中的Authorization的token值

最新推荐文章于 2023-09-07 21:53:48 发布
最新推荐文章于 2023-09-07 21:53:48 发布
阅读量2.1k 收藏 4
点赞数 1
分类专栏: java

https://blog.csdn.net/Box_clf/article/details/80973391

主要问题:针对前后端分离后,前端使用ajax进行请求,存在一些跨域的问题。

后端对跨域的问题进行解决,因为我是使用的Springboot框架做的后端,首先解决普通请求跨域的问题

@CrossOrigin
每一个controller类上需要添加CrossOrigin的注解进行处理。

添加之后在使用SpringSecurity时允许匿名访问的接口都没有跨域的问题了,不过使用JWT对用户身份进行验证时虽然前端已经将token的值添加到了header中,还是值获取不到header中的token值。

关键的问题就是在这里:

    浏览器会在ajax发送请求之前发送一个预请求,确认当请的接口是不是有效的接口,此时的请求方式是OPTIONS的请求方式

因为之前一直没有判断是否是预请求,所以security直接将请求的方式做了正常的处理,导致没有获取到token值所以返回的相应一直是401未授权。这时候就看到前端即使是在头部添加了token但是请求接口一直提示身份认证失败。

需要更改JWT过滤器中的对前端请求的处理方式:

@Slf4j
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    //定义的tokenHeader的名称
    private String tokenHeader = "Authorization";

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        if (request.getMethod().equals("OPTIONS")){
            log.info("浏览器的预请求的处理..");
            response.setHeader("Access-Control-Allow-Origin", "*");
            response.setHeader("Access-Control-Allow-Methods", "POST,GET,PUT,OPTIONS,DELETE");
            response.setHeader("Access-Control-Max-Age", "3600");
            response.setHeader("Access-Control-Allow-Headers", "Origin,X-Requested-With,Content-Type,Accept,Authorization,token");
            return;
        }else {
            String authToken = request.getHeader(this.tokenHeader);

            String username = jwtTokenUtil.getUsernameFromToken(authToken);

            log.info("checking authentication for user " + username);

            //当token中的username不为空是进行验证token是否是有效的token
            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                log.info("token中的username不为空,Context中的authentication为空时,进行token的验证..");
                //TODO,从数据库得到带有密码的完整user信息
                   UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
                log.info("加载userdetails:{}",userDetails.getUsername());
                // For simple validation it is completely sufficient to just check the token integrity. You don't have to call
                // the database compellingly. Again it's up to you ;)
                if (jwtTokenUtil.validateToken(authToken, userDetails)) {
                    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                    authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    log.info("authenticated user " + username + ", setting security context");
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            }

            chain.doFilter(request, response);
        }


    }
}
对第一次的请求进行判断是否是OPTIONS的请求方式,如果是则在对应的response中添加对跨域和header的配置信息

            response.setHeader("Access-Control-Allow-Origin", "*");
            response.setHeader("Access-Control-Allow-Methods", "POST,GET,PUT,OPTIONS,DELETE");
            response.setHeader("Access-Control-Max-Age", "3600");
            response.setHeader("Access-Control-Allow-Headers", "Origin,X-Requested-With,Content-Type,Accept,Authorization,token");
如果不是则进行后面的token验证。
--------------------- 
作者:Box_clf 
来源:CSDN 
原文:https://blog.csdn.net/Box_clf/article/details/80973391 
版权声明:本文为博主原创文章,转载请附上博文链接!

竹林幽深
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity+Oauth2获取AccessTokenCORS问题解决
Eiverl的博客
09-23 1435
问题: 在springboot+SpringSecurity+oauth2项目,No ‘Access-Control-Allow-Origin’ 终极解决办法,在使用了corsFilter进行处理,相关代码配置如下: @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException,
springSerurity获取不到登录之后获取不到headertoken token为null
qq_41823577的博客
06-15 2931
最近学习做一个springcloud的项目,使用srpingSerurity 作为权限框架。测试的时候第一步就报了错,在登录成功之后springSerurity会将用户信息以keyvalue的形式帮我放到redis,key为jwt生成的token
springboot项目如何获取请求头当token
qq_62923382的博客
09-07 5052
在service层获取token需要使用相应的工具类,这里我分享一个有用的工具类。直接在相应的service业务层使用工具类获取当前请求的token。一.直接在controller层当直接获取token。那么这个工具类如何使用呢?二.在service业务层获取token获取token方式1。获取token方式2。
SpringSecurity后端分离Header添加Authorization的设置以及问题踩坑记录
qq_61887118的博客
05-01 5625
OPTIONS请求即为预检请求,用于判断后端服务是否能接受OPTIONS请求,注意这个请求是没有Auh字段的。OPTIONS请求失败,我全局配置的CORS应该是晚于自定义的handler,所以出现了即使CORS配置了OPTIONS操作的许可,还是出现问题了。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为 “预检” 请求(preflight)。由于我向请求头添加了自定义的属性,所以发送请求时就属于非简单请求。的方法为执行,所以造成了问题,即使自己已经全局配置了
springboot获取前端传回来的头信息
xu2414506319的博客
09-02 2994
springboot获取前端传回来的头信息 使用注解 @RequestHeader("Authorization") String token 示例: @GetMapping("/menus") public MenusVo getMenus(@RequestHeader("Authorization") String token){ 使用@RequestHeader注解获取到头信息Authorization字段,并赋给toke 使用接口 HttpServletRequest requ
基于springboot+springSecurity+jwt实现的基于token的权限管理+源代码+文档
最新发布
04-09
本项目通过集成Spring Boot、Spring Security和JWT(JSON Web Tokens)技术,构建了一个基于token的权限管理系统。下面将详细阐述这些关键技术及其相互间的协同工作原理。 1. **Spring Boot**: Spring Boot是...
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
03-02
这个基于SpringBoot、SpringSecurityJWT的Demo项目,为初学者提供了一个很好的学习平台,来理解如何实现基于Token的权限管理系统。接下来,我们将深入探讨这些技术及其在实际项目的应用。 首先,SpringBoot是...
springsecurity-jwt
02-18
《Spring Security与JWT整合详解》 在现代Web应用开发,安全是不可或缺的一部分。Spring Security作为Java领广泛使用的安全框架,提供了强大的访问控制和身份验证功能。而JSON Web TokenJWT)则是一种轻量...
SpringSecurity.7z
12-02
学习这些示例项目,开发者可以了解如何将Spring Security与OAuth2和JWT结合使用,实现安全的单点登录(SSO)、权限管理以及访问控制。通过深入理解这些技术,开发者能够构建更安全、更健壮的Web应用程序。此外,...
Spring Boot Security OAuth2 实现支持JWT令牌的授权服务器源码.zip
03-25
Spring Boot Security OAuth2 是一个广泛使用的框架,用于构建安全、授权的API服务。本项目重点在于实现一个支持JWT(JSON Web Token)令牌的授权服务器,这将使我们能够为客户端提供安全的认证和授权。 首先,让...
解决使用SpringSecurity产生的接口调用失败问题
ls490447406的博客
11-26 1678
最近项目使用SpringSecurity作为服务鉴权框架,但是由于前后端分离,在前后端分别部署在不同的服务器导致产生问题,其实简单的问题,通过设置参数就很好解决,但是在使用了Security时,设置了参数依然调用接口时候被拦截,报401错误,提示登录。后来发现,在调用正式接口之前,会首先发出一个试探请求,请求方式为OPTIONS,但是这个试探请求里是无法将请求所需要的token等一些信息放...
SpringBoot集成jwt,解决后端分离token验证问题
weixin_46608377的博客
07-17 946
在之前进行登录验证的,主要用的是session的方式,session是由客户端首次发起请求,后端为此创建空间,返回给前端用来身份识别标识sessionId,前端基于cookie存储起来,在后面的请求都会携带sessionId,后端就会根据这sessionId识别出身份信息。前端sessionid是基于cookie进行存储的。这种方式会存在安全问题,如果被不法分子拦截这个sessionId或cookie信息,就能跳过后端验证,从而盗取你的信息。而且seesion这种方式容易占用到服务端的内存空间。
php 模数 指数 公钥生成_php实现JWT认证
weixin_39760967的博客
11-21 241
什么是JWTJWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。JWT定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名...
response.setHeader()的用法
qq_38909957的博客
09-30 612
1. HTTP消息头 (1)通用信息头 即能用于请求消息,也能用于响应信息,但与被传输的实体内容没有关系的信息头,如Data,Pragma 主要: Cache-Control , Connection , Data , Pragma , Trailer , Transfer-Encoding , Upgrade (2)请求头 用于在请求消息向服务器传递附加信息,主要包括客户机可以接...
后端分离 SpringSecurity在拦截器设置responseHeader前端无法获取
YWwXxx的博客
01-16 1104
Vue+SpringBoot前后端分离 SpringSecurity在拦截器设置responseHeader前端Axios接受请求 无法获取responseHeader
SecurityContext
weixin_51992178的博客
10-28 1490
SecurityContext的生命周期:请求到来时从Session取出,放入SecurityContextHolder,请求结束时从SecurityContextHolder取出,并放到Session,实际上就是依靠Session来存储的,一旦会话过期验证信息也跟着消失。SecurityContextHolder的存储策略默认是`MODE_THREADLOCAL`,它是基于ThreadLocal实现的,`getContext()`方法本质上调用的是对应的存储策略实现的方法。
servu用户信息如何导出_Token认证,如何快速方便获取用户信息
weixin_39907316的博客
12-10 646
背景我们有一个Web项目,这个项目提供了很多的Rest API。也做了权限控制,访问API的请求必须要带上事先认证后获取Token才可以。认证的话就在Filter进行的,会获取请求的Token进行验证,如果成功了可以得到Token的用户信息,本文的核心就是讲解如何将用户信息(用户ID)优雅的传递给API接口(Controller)。方式一(很挫)我们在Filter进行了统一拦截,...
Day244.Springsecurity解决问题、CSRF攻击防护、JWT集群应用方案 -springsecurity-jwt-oauth2
阿昌爱Java
04-11 951
1.解决访问的问题 一、CORS简述 要说明CORS(Cross Origin Resourse-Sharing) 站资源共享,就必须先说同源策略。长话短说,同源策略就是向服务端发起请求的时候,以下三项必须与当前浏览器应用一致:名、端口、协议。用白话说:就是你的应用发送请求不能访问别人的资源,否则浏览器就会限制你。 当然也有例外,如:img、srcipt、iframe等资源引用的HTML标签不受同源策略的限制。 但是我们实际开发又经常会站访问,比如前后端分离的应用是分开部署的,在浏览器看来是两
SpringSecurity前端页面无法显示数据
05-21
如果你在使用Spring Security的前端页面时无法显示数据,可能有几个原因: 1. 没有正确配置Spring Security:请确保你已经正确配置了Spring Security,并且已经启用了安全控制。你可以检查你的配置文件和代码,确保它们正确。 2. 没有正确配置权限:如果你的前端页面需要特定的权限才能访问数据,那么你需要确保已经正确地配置了权限。你可以在代码检查具体的权限,或者在配置文件查看权限的配置。 3. 没有正确配置数据源:如果你的前端页面需要从数据库获取数据,那么你需要确保已经正确地配置了数据源。你可以检查你的配置文件和代码,确保它们正确。 4. 没有正确地处理异常:如果你的前端页面无法显示数据,可能是因为出现了异常。你需要确保已经正确地处理了异常,并且向前端页面返回了正确的错误信息。 以上是一些可能导致前端页面无法显示数据的原因,你可以针对具体情况进行排查和处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值