Shiro过滤器导致的前端跨域

最新推荐文章于 2023-02-20 15:25:08 发布
最新推荐文章于 2023-02-20 15:25:08 发布
阅读量1.4k 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32618611/article/details/105622681
版权
在前后端分离的项目中,加入自定义请求头引发跨域问题。Shiro的过滤器在处理非简单请求时未正确处理,导致前端请求失败。通过重写过滤器的doFilter方法并处理重定向时请求头清空的问题,成功解决了Shiro引起的跨域难题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题背景

公司项目是前后端分离的,最近要求在请求时都要在请求头加入自定义的 token,在做接口调试时,前端总是请求不通,然而自己用 POSTMAN 等工具时都可以,这就出现了问题,也就是 复杂请求 的跨域问题。

问题分析

部分文段摘自 跨域资源共享 CORS 详解

复杂请求

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

只要同时满足以下两大条件,就属于简单请求。

  • 请求方法是以下三种方法之一:
    HEAD
GET
POST
  • HTTP的头信息不超出以下几种字段:
    Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type: 只限于三个值 application/x-www-form-urlencoded multipart/form-data text/plain
    这是为了兼容表单(form),因为历史上表单一直可以发出跨域请求。AJAX 的跨域设计就是,只要表单可以发,AJAX 就可以直接发。

凡是不同时满足上面两个条件,就属于非简单请求。

预检请求

非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。

浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

过滤器

由于项目中的 shiro 使用了 UserFilter, 下面是其代码:

public class UserFilter extends AccessControlFilter {
    public UserFilter() {
最低0.47元/天 解锁文章
沐晨_521
关注
Zuul,ShiroCORS请求踩坑实录
ajax_yan的博客
05-28 894
前言:前后端分离,业务分离,网关路由等已经成为当下web application开发的流行趋势。前端以单页面路由为核心的框架为主体,可以单独部署在nodejs或nginx上。后端以springboot为代表的分布式微服务框架为主体,可以独立运行在任何端口上。相互通过符合restful规范的接口访问或数据交换。在这样的开发模式下,首先需要解决的就是由于而引起的访问,cookie传递以及权限...
springboot+shiro 解决(OPTIONS)
2401_83703797的博客
04-18 499
/可以用response.getWriter()返回json或你想要的格式,同时设置header: Content-Type:text/json。logger.info(“token过期返回403”);logger.info(“OPTIONS 放行”);logger.error(“空指针异常”, e);logger.info(“token有效放行”);//这几句代码是关键。
springboot shiro vue造成的问题
n009ww的博客
04-24 1646
复杂请求 造成复杂请求的原因就是在请求头部添加了token等信息,浏览器会认为是复杂请求。复杂请求的行过程是有两步的,浏览器会提前发送一个探针请求(也叫预请求)到服务端,这个请求通过以后才会将真正的请求带着header的信息发送出去 预请求被拦截 预请求直接被shiro拦截了,所以真正的请求永远也到不了后台,这个就是问题的关键。此时需要...
springboot(shiro)+vue(axios)问题记录
王小禾
10-31 1342
1. 通用设置 一旦前后端分离,就涉及到问题(名、端口、协议(http或https等)其一不一样就是)。 在涉及到问题时,浏览器发送请求前,会优先发送一个OPTION请求。 所以,对于springboot项目,只需要自定义一下web过滤器即可。 /** * 解决问题 */ @Configuration public class WebConfig extends WebMvc...
Shiro问题
Myy7504的博客
04-01 627
shiro过滤器 springMvc过滤器(CorsFilter)的先后顺序 所以在springMvc里面的配置无效, 需要自定义一个过滤器优先级比shiro过滤器更高 下面是配置: 1.springMvc过滤器配置 @Configuration public class CrossOriginConfig { @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSourc
Angular2,Springboot,Zuul,ShiroCORS请求踩坑实录
weixin_30564901的博客
11-17 323
前言:前后端分离,业务分离,网关路由等已经成为当下web application开发的流行趋势。前端以单页面路由为核心的框架为主体,可以单独部署在nodejs或nginx上。后端以springboot为代表的分布式微服务框架为主体,可以独立运行在任何端口上。相互通过符合restful规范的接口访问或数据交换。在这样的开发模式下,首先需要解决的就是由于而引起的访问,cookie传递以及权限管理问...
shiro为何获取不到请求头中的token值
weixin_43999127的博客
07-16 3477
前后端分离项目中,由于,会导致复杂请求,即会发送预检请求(preflighted request),这样会导致在GET/POST等请求之前会先发一个OPTIONS请求,但OPTIONS请求并不带shiro的’Authorization’字段(shiro的Session),即OPTIONS请求不能通过shiro验证,会返回未认证的信息。 先简单介绍一下是什么? 在开发中前后端并不在一个端口下...
springboot shiro 重定向导致的一次记录
Yao_MG的博客
04-14 1172
对于一般的配置 只需要增添一个简单配置类 @Configuration public class CorsConfigure { // 有点奔放 可以更严谨点 @Bean public CorsFilter corsFilter() { CorsConfiguration config = new CorsConfiguration(); ...
spring boot +shiro 导致OPTION问题解决
qq_41822960的博客
01-20 657
最近遇到的问题为:服务器端(阿里云linux)项目之间访问不到,post接口OPTION请求为403问题。 spring boot是添加了解决的配置 @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry re
解决前后端分离shiro问题
m0_67403076的博客
08-30 752
在前后端分离整合shiro框架时,我发现shiro中的Subject主体只能在第一次访问时候拿到,甚至AuthenticationInfo认证完之后AuthorizationInfo授权不能通过。
shiro过滤器冲突
aozhe0629的博客
02-12 584
在web.xml 中 cros要写在shiro 的配置前面,如下,不然会先过shiro 过滤器就产生问题, 参考web.xml 的过滤器加载顺序 <!-- 请求 --> <filter> <filter-name>corsFilter</filter-name> <filter-class>co...
springboot前后端分离的坑,cookie的引用,过滤器与其他过滤器的冲突(集成shiro问题)
weixin_45885574的博客
01-09 1315
项目场景: springboot+shiro+redis+jwt前后端分离,整合思路正在逐步完善,本篇只讨论整合过程中的前后端分离的一些问题和坑 问题描述: springboot中几种方式的区别,以及个人认为最正常的处理 坑我一晚上的问题:过滤器之间的优先级,尤其对于过滤器尤为重要 前后端分离后,cookie传送的解决办法 问题分析: 1. springboot的几种方式: 实现WebMvcConfigurer或子类的addCorsMappings方式 可以理解为类似于拦截器,
SpringBoot2.x整合Shiro出现Cors问题
Mrloserc的博客
03-22 599
1. Springboot如何? 最简单的方法是: 定义一个配置CorsConfig类即可(是不是简单且无耦合到令人发指) import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springfra
以及 shiro解决
RealGUO的博客
04-13 3961
以及 shiro解决 同源策略:协议、名、端口 作用:能帮助阻隔恶意文档,减少可能被攻击的媒介。 # 但也导致的问题的出现:前后端分离 # 前端访问后端,不满足同源策略,所以不能访问 1、反向代理解决 # 配置反向代理来实现 # 前端访问代理 # 代理访问后端 # 代理将结果返回给前端 # 从而实现了 2、CORS CORS(Cross-Origin Resource Sharing)资源共享,定义了必须在访问资源时,浏览器与服务器应该如何沟通。CORS的基本思想就
Springboot整合Shiro前后端分离问题
forever_xw_的博客
05-15 688
Springboot整合Shiro前后端分离问题 前言:SpringBoot整合shiro进行前后端分离开发时(前端是Vue),项目做了配置,但还是前端请求会出现cros err–显示的问题(Access-Control-Allow-Origin )。后端没有任何报错显示,逐步分析才慢慢理解。 解决:如下是我的配置: package com.carshow.data.config; import org.springframework.boot.web.servlet.FilterRegi
Spring boot + shiro 失效
敲啊敲
03-04 1298
在springboot中解决有好几种方式: 1.使用@crossorigin 注解 2.实现WebMvcConfigurer,重写addCorsMappings方法 这两种方法在springboot中都能解决的问题,但在整合shiro后,就是失效了。 因为shiro过滤器会在处理之前行,这就导致未经允许的请求先到达shiro过滤器,这样就会出现错误。 解决方案 使用Fi...
解决Shiro问题
热门推荐
u010042669的博客
06-22 1万+
由于项目需要springboot项目接入了shiro进行登录验证。做法是在在每一个接口的heards部分增加token,后台拿到token后进行验证。在postman测试没问题。但是,前端却一直报options500错误。 原来,是浏览器的同源策略引起的。 什么是同源策略? 源(origin)就是协议、名和端口号。同源策略是浏览器的一种安全功能,不同源(协议或名或端口不同)之间不能相...
SpringBoot+Shiro解决问题
dwhhome的博客
03-21 5644
第一步: package com.guangjutx.config; import lombok.extern.slf4j.Slf4j; import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import ja...
解决SpringBoot整合Shiro 问题及前端报错401问题解决——亲测有效!
qq_54502508的博客
02-20 2961
解决SpringBoot整合Shiro 问题及前端报错401问题解决——亲测有效!
shiro实现访问
最新发布
03-08
### 使用Apache Shiro实现CORS资源共享 在Web应用程序中,资源共享(CORS, Cross-Origin Resource Sharing)是一个常见的需求。当客户端请求来自不同的名、协议或端口时,默认情况下浏览器会阻止这些请求以保护用户安全。为了使服务器能够响应不同源的HTTP请求并允许特定的操作,可以通过配置Apache Shiro来解决这个问题。 #### 配置Shiro Filter Chain定义中的自定义过滤器 为了让Shiro支持CORS,在`shiro.ini`文件或其他形式的FilterChainDefinitionMap里加入一个新的过滤器用于处理预检请求以及设置响应头: ```ini [main] corsFilter = org.apache.shiro.web.filter.authc.CorsFilter [urls] /** = corsFilter ``` 这段代码创建了一个名为`corsFilter`的对象实例化为`org.apache.shiro.web.filter.authc.CorsFilter`类,并将其应用到所有的URL路径上[^1]。 #### 自定义CorsFilter类 由于默认的Shiro并没有提供现成的支持CORS功能的过滤器,因此需要编写自己的过滤器逻辑。下面给出一个简单的例子展示如何构建这样一个过滤器: ```java import javax.servlet.Filter; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class CorsFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; HttpServletRequest request= (HttpServletRequest)req; // 设置允许哪些来源可以访问资源 response.setHeader("Access-Control-Allow-Origin", "*"); // 设置允许的方法类型 response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS"); // 设置允许携带的头部信息 response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "authorization, content-type," + "access-control-request-headers, access-control-request-method, accept"); if ("OPTIONS".equalsIgnoreCase(request.getMethod())) { response.setStatus(HttpServletResponse.SC_OK); } else { chain.doFilter(req, res); } } } ``` 此段Java代码实现了对所有传入请求添加必要的CORS响应头字段,从而使得前端可以从其他发起AJAX调用而不会被同源策略所阻挡。对于预飞行(Preflight)请求即方法为`OPTIONS`的情况,则直接返回成功状态码而不行后续操作;而对于正常的业务请求则继续传递给下一个过滤器或目标Servlet进行处理[^2]。 #### 注册自定义过滤器至Spring容器(如果适用) 如果是基于Spring的应用程序,还可以将上面提到的`CorsFilter`注册成为Bean以便于管理和依赖注入: ```xml <bean id="corsFilter" class="com.example.security.CorsFilter"/> <!-- 或者使用注解方式 --> @Component public class CorsFilter {...} ``` 接着更新`web.xml`或者对应的Spring MVC配置文件让其知道新加入的过滤器的存在: ```xml <filter> <filter-name>cors</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <param-name>targetBeanName</param-name> <param-value>corsFilter</param-value> </init-param> </filter> <filter-mapping> <filter-name>cors</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 这样就完成了整个流程——从理解问题背景到最后的具体实施步骤都涵盖了进来,确保了方案的有效性和完整性[^3]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值