跨域 以及 shiro解决

最新推荐文章于 2024-04-08 18:11:53 发布
最新推荐文章于 2024-04-08 18:11:53 发布
阅读量3.9k 收藏 20
点赞数 2
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40738712/article/details/115651219
版权
本文探讨了跨域问题如何因前后端分离而出现,介绍了反向代理和CORS跨域资源共享的原理与设置。特别关注了Shiro权限下如何通过CORS和定制UserFilter来解决复杂请求的跨域问题,以及SpringBoot接口处理form-urlencoded数据的技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

跨域 以及 shiro解决

同源策略:协议、域名、端口

作用:能帮助阻隔恶意文档,减少可能被攻击的媒介。

# 但也导致了跨域的问题的出现:前后端分离
# 前端访问后端,不满足同源策略,所以不能访问

1、反向代理解决

# 配置反向代理来实现跨域
# 前端访问代理
# 代理访问后端
# 代理将结果返回给前端
# 从而实现了跨域

2、CORS跨域

CORS(Cross-Origin Resource Sharing)跨域资源共享,定义了必须在访问跨域资源时,浏览器与服务器应该如何沟通。CORS的基本思想就是使用自定义的HTTP头部让浏览器与服务器进行沟通,从而决定请求或响应是应该成功还是失败。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

服务器端对于CORS的支持,主要就是通过设置Access-Control-Allow-Origin来进行的。如果浏览器检测到相应的设置,就可以允许Ajax进行跨域的访问。

服务端允许CORS,服务端需要针对接口设置的一系列响应头 (Response Headers)

该字段必需。设置允许请求的域名,多个域名以逗号分隔,也可以设置成 * 即允许所有源访问
Access-Control-Allow-Origin:  http://www.YOURDOMAIN.com
该字段必需。设置允许请求的方法,多个方法以逗号分隔
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS
该字段可选。设置允许请求自定义的请求头字段,多个字段以逗号分隔
Access-Control-Allow-Headers: Authorization
该字段可选。设置是否允许发送 Cookies
Access-Control-Allow-Credentials: true

2.1请求分类(坑)

客户端向服务器发送请求,分为两种请求:简单请求、复杂请求

简单请求:只能请求一次

复杂请求:会先发送一次预检测请求,服务器返回204(表示预检测请求通过),才会真正发出请求,然后返回200

重点(坑):复杂请求会发送两次请求到服务器

预检测请求的作用

跨域资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是GET以外的 HTTP 请求,或者搭配某些 MIME 类型的POST请求),浏览器必须首先使用OPTIONS方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括Cookies和 HTTP 认证相关数据)。

简单请求

目前大多数情况都采用这种方式。简单请求只需要设置Access-Control-Allow-Origin即可。满足以下两个条件,就属于简单请求。

  • 请求方法:GET、POST、HEAD
  • 除了以下的请求头字段之外,没有自定义的请求头
  • Content-Type的值只有以下三种(Content-Type一般是指在post请求中,get请求中设置没有实际意义)
    • text/plain
    • multipart/form-data
    • application/x-www-form-urlencoded
  • 请求中的任意XMLHttpRequestUpload 对象均没有注册任何事件监听器 (未验证)
    • XMLHttpRequestUpload 对象可以使用 XMLHttpRequest.upload 属性访问
  • 请求中没有使用 ReadableStream 对象 (未验证)
复杂请求

非简单请求即为复杂请求。复杂请求我们也可以称之为在实际进行请求之前,需要发起预检请求的请求。

非简单请求需要根据不同情况配置不同的响应头,一系列响应头配置项见上方

2.2简单请求复杂请求的跨域设置

针对简单请求,在进行CORS设置的时候,我们只需要设置

Access-Control-Allow-Origin:*
// 如果只是针对某一个请求源进行设置的话,可以设置为具体的值
Access-Control-Allow-Origin: 'http://www.yourwebsite.com'

针对复杂请求,我们需要设置不同的响应头。因为在预检请求的时候会携带相应的请求头信息

Access-Control-Request-Method: POST
Access-Control-Request-Headers: X-CUSTOMER-HEADER, Content-Type

相应的响应头信息为:

Access-Control-Allow-Origin: http://foo.example
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: X-PINGOTHER, Content-Type
// 设置max age,浏览器端会进行缓存。没有过期之前真对同一个请求只会发送一次预检请求
Access-Control-Max-Age: 86400

如果发送的预检请求被进行了重定向,那大多数的浏览器都不支持对预检请求的重定向。我们可以通过先发送一个简单请求的方式,获取到重定向的url XHR.responseURL,然后再去请求这个url。

附带身份凭证的请求

一般而言,对于跨域 XMLHttpRequestFetch 请求,浏览器不会发送身份凭证信息。如果要发送凭证信息,需要设置 XMLHttpRequest 的某个特殊标志位。
如果在发送请求的时候,给xhr 设置了withCredentials为true,从而向服务器发送 Cookies,如果服务端需要想客户端也发送cookie的情况,需要服务器端也返回Access-Control-Allow-Credentials: true响应头信息。

对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin的值为“*”。

这是因为请求的首部中携带了Cookie信息,如果 Access-Control-Allow-Origin的值为“*”,请求将会失败。而将 Access-Control-Allow-Origin的值设置为 http://foo.example(请求源),则请求将成功执行。

// 提示OPTIONS预检时,后端需要设置的两个常用自定义头
response.setHeader("Access-Control-Allow-Headers", "Content-Type,X-Requested-With");

总结

普通跨域请求:只服务端设置Access-Control-Allow-Origin即可,前端无须设置,若要带cookie请求:前后端都需要设置。

需注意的是:由于同源策略的限制,所读取的cookie为跨域请求接口所在域的cookie,而非当前页。

如果想实现当前页cookie的写入,用方法一:反向代理来解决

3、引入shiro权限认证导致的跨域问题

shiro使用cookie + session来进行权限认证,cookie的加入,就会使得简单请求变为复杂请求,从而导致跨域失败

解决步骤:

1、给预检请求(OPTION请求)返回204,别把它给拒绝了,设置可以可以跨域

package com.realguo.warehouse.config.shiro;

import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.web.filter.authc.AuthenticationFilter;
import org.apache.shiro.web.filter.authc.UserFilter;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Slf4j
@Configuration
public class CROSUserFilter extends UserFilter {

    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        HttpServletRequest httpRequest = (HttpServletRequest) request;

        if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            setHeader(httpRequest, httpResponse);
            return true;
        }

        return super.preHandle(request, response);
    }

    private void setHeader(HttpServletRequest request, HttpServletResponse response){
        //跨域的header设置
        response.setHeader("Access-control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Methods", request.getMethod());
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
        //防止乱码,适用于传输JSON数据
        response.setHeader("Content-Type","application/json;charset=UTF-8");
        response.setStatus(HttpStatus.OK.value());
    }
}

2、将上面这个对象放到到ShiroFilterFactoryBean中:这样OPTION请求就不会失败

@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){
    ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
    bean.setSecurityManager(defaultWebSecurityManager);
    // 在这里放进去
    bean.getFilters().put("authc", new CROSUserFilter());

    Map<String, String> filters = new LinkedHashMap<>();
    filters.put("/user/login", "anon");
    filters.put("/user/add", "anon");
    filters.put("/index.html", "anon");
    // 放行swagger
    filters.put("/swagger-ui/*", "anon");
    filters.put("/v2/api-docs", "anon");
    filters.put("/swagger-resources/**", "anon");
    filters.put("/webjars/**", "anon");
    // 拦截
    filters.put("/**", "authc");
    bean.setFilterChainDefinitionMap(filters);
    bean.setLoginUrl("/index.html");
    return bean;
}

3、正常请求的跨域设置

package com.realguo.warehouse.config.shiro;

import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class CorsFilter implements Filter {

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        //跨域设置,谁来都放行,与设置成*效果相同,但是这里设置成*行不通,因此用该方法代替
        response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Credentials", "true");
        //不能设置成*,否则跨域请求会失败
        response.setHeader("Access-Control-Allow-Methods", "POST,PUT, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        //我这里需要放行这三个header头部字段
        response.setHeader("Access-Control-Allow-Headers", "content-type,x-requested-with,token");
        try {
            filterChain.doFilter(request, response);
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ServletException e) {
            e.printStackTrace();
        }
    }

    public void destroy() {
    }
}

4、补充另外小问题

spring boot 接口接收application/x-www-form-urlencoded 的数据为null

解决方法1:

# qs.stringify()将对象 序列化成URL的形式,以&进行拼接


# qs.parse()将URL解析成对象的形式

解决方法2:

# 使用form-data格式 传输数据

参考文档

web前端跨域的一些解决方案

什么是简单请求和复杂请求

springboot+shiro 解决(OPTIONS)
2401_83703797的博客
04-18 499
/可以用response.getWriter()返回json或你想要的格式,同时设置header: Content-Type:text/json。logger.info(“token过期返回403”);logger.info(“OPTIONS 放行”);logger.error(“空指针异常”, e);logger.info(“token有效放行”);//这几句代码是关键。
spring boot +shiro 导致OPTION问题解决
qq_41822960的博客
01-20 657
最近遇到的问题为:服务器端(阿里云linux)项目之间访问不到,post接口OPTION请求为403问题。 spring boot是添加了解决的配置 @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry re
解决Shiro问题
热门推荐
u010042669的博客
06-22 1万+
由于项目需要springboot项目接入了shiro进行登录验证。做法是在在每一个接口的heards部分增加token,后台拿到token后进行验证。在postman测试没问题。但是,前端却一直报options500错误。 原来,是浏览器的同源策略引起的。 什么是同源策略? 源(origin)就是协议、名和端口号。同源策略是浏览器的一种安全功能,不同源(协议或名或端口不同)之间不能相...
Springboot集成shiro,登录重定向问题
最新发布
Lee的博客
04-08 1154
现在核心问题,当登录失效之后就不返回状态码302,而是直接调用退出登录接口,这样也能达到重新登录的目的。后来思考了下,是重定向和父页面不同的地址出现的,这个时候在后端怎么配置其实已经没有用了。:判断用户是否登录,如果登陆了直接返回了,如果没有登录就会执行第二个方法。的源码如何来判断用户登录过期的,并且返回302重定向到新接口的。从这里可以看出,如果我们想自己定义返回值的话就要重写这两个方法。这个问题在网上找了很多解决的办法都是通过解决,比如使用注解。项目采用了前后端分离的结构,前端使用的是。
Shiro问题
Myy7504的博客
04-01 626
shiro过滤器 springMvc过滤器(CorsFilter)的执行先后顺序 所以在springMvc里面的配置无效, 需要自定义一个过滤器优先级比shiro的过滤器更高 下面是配置: 1.springMvc过滤器的配置 @Configuration public class CrossOriginConfig { @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSourc
springboot(shiro)+vue(axios)问题记录
王小禾
10-31 1342
1. 通用设置 一旦前后端分离,就涉及到问题(名、端口、协议(http或https等)其一不一样就是)。 在涉及到问题时,浏览器发送请求前,会优先发送一个OPTION请求。 所以,对于springboot项目,只需要自定义一下web过滤器即可。 /** * 解决问题 */ @Configuration public class WebConfig extends WebMvc...
shiro,swagger等Configuration配置文件.zip
08-12
"shiro,swagger等Configuration配置文件.zip"这个压缩包显然包含了与这三个关键组件相关的配置文件,它们分别是:(CORS)配置、Apache Shiro安全框架配置以及Swagger API文档生成工具的配置。...
springboot + shiro处理问题
lmsnice的博客
11-18 836
问题出现的原因:同源策略; 解决方法1、(局部解决问题) 对于某一个请求,解决他的问题,在对应的controller上添加一个注解,如下 @RestController @RequestMapping("movie") //@CrossOrigin(origins = "http://localhost", allowCredentials = "true") @CrossOrigin public class MovieController { @GetMapping("list")
Shiro过滤器导致的前端
沐晨的博客
04-19 1481
问题背景 公司项目是前后端分离的,最近要求在请求时都要在请求头加入自定义的 token,在做接口调试时,前端总是请求不通,然而自己用 POSTMAN 等工具时都可以,这就出现了问题,也就是 复杂请求 的问题。 问题分析 部分文段摘自 资源共享 CORS 详解 复杂请求 浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple req...
SpringBoot+Shiro解决问题
dwhhome的博客
03-21 5643
第一步: package com.guangjutx.config; import lombok.extern.slf4j.Slf4j; import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import ja...
关于shrio的问题
分享日常bug
05-29 250
不想解释太多,太累 代码是第一步,下面图片是第二步。
springmvc 解决CORS
anshu3524的博客
10-30 206
import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.Se...
shiro权限校验问题
呆萌小新@渊洁的博客
05-09 1060
1.背景 起初解决Springboot问题的方法是直接在Controller上添加@CrossOrigin注解,实现了前后端分离中的请求。但随着业务代码的编写,做了token会话保持的检验,添加了拦截器后,再次出现了问题。很纳闷,讲理说后台已经允许了请求,之前的测试也证明了这一点,那为什么又突然出现了拦截问题呢? 2.分析及解决方案 在登录拦截器中作了校验,对于需要登录后才能访问的接口,如果请求头中没有携带token,则是非法请求,直接返回404码。然后由于一直有对拦截到的请求中的请求
shiroCORS问题处理
Mint6的博客
03-02 3987
前言 问题的基本处理查看上一篇文章:https://blog.csdn.net/Mint6/article/details/104468530,这个可以解决大部分问题。 如果是使用的shiro以上步骤都试过了,还有如下问题,请看本文章的解决办法。 问题 把主要提示拷贝出来 A cookie associated with a cross-site resource at htt...
springboot集成shiro+前端vue,前后端分离项目遇到以及sessionid拿不到等问题
qq_50595984的博客
01-16 1640
近期在写前后端分离的项目,由于前后端分离导致原来使用的shiro配置无法满足现有系统要求。同时在前后端分离项目中存在的一些问题。例如,一些用户信息需要存储在后端方便进行安全性判断,但这些存储在后端的session前端却获取不到(特别奇怪),以及浏览器访问后端接口出现的问题。
彻底解决Shiro访问(简单http请求或复杂http请求)
fycghy0803的专栏
05-30 6273
由于shiro使用redirect进行url的跳转,在遇到前端界面与后台业务处理不在一个名下时,会遇到问题,我们在使用springBoot时,一般会增加一个configuration类的问题允许进行请求,代码如下所示: @Configuration public class WebConfig extends DefaultWebMvcConfig { @Override ...
shiro 前后端分离问题
web15536243458的博客
08-24 514
但是由于的问题,浏览器是禁止的,这个时候你会在返回的header浏览器的setcookie 那个属性那边看到一个黄色的警告,这代表问题还在,所以浏览器不会让你携带上后端返回的cookie里的jssessionid,这个配置的意思就是,后端shiro认证成功后,返回的sessionId在浏览器里,会被浏览器自动的添加到header里携带。最后我发现由于是开发环境,我前端的名有问题,用127.0.0.1访问,才能免去的问题。axios 是下面这样配置的。
Shiro框架在CORS访问中遇到的问题及解决
Reid的专栏
08-14 3423
转自: https://www.jianshu.com/p/e56362315581
springboot shiro 配置
06-09
在 Spring Boot 和 Shiro 中,可以通过自定义过滤器来解决问题。具体步骤如下: 1. 创建自定义过滤器 创建一个类,继承 org.apache.shiro.web.filter.authc.FormAuthenticationFilter,实现 doFilterInternal 方法。代码如下: ```java public class CorsAuthenticationFilter extends FormAuthenticationFilter { @Override protected void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain) throws ServletException, IOException { HttpServletResponse httpServletResponse = (HttpServletResponse) response; HttpServletRequest httpServletRequest = (HttpServletRequest) request; // 允许访问的名 String[] allowedOrigins = {"http://localhost:8080"}; // 允许的请求类型 String allowedMethods = "GET,POST,PUT,DELETE,OPTIONS"; // 允许的头信息 String allowedHeaders = "Content-Type, Authorization"; httpServletResponse.setHeader("Access-Control-Allow-Origin", String.join(",", allowedOrigins)); httpServletResponse.setHeader("Access-Control-Allow-Methods", allowedMethods); httpServletResponse.setHeader("Access-Control-Allow-Headers", allowedHeaders); // 如果是预检请求,直接返回成功 if (httpServletRequest.getMethod().equalsIgnoreCase("OPTIONS")) { httpServletResponse.setStatus(HttpServletResponse.SC_OK); return; } super.doFilterInternal(request, response, chain); } } ``` 这里的 allowedOrigins 配置是允许的地址,allowedMethods 配置是允许的 HTTP 方法,allowedHeaders 配置是允许的 HTTP 头信息。如果收到的请求是预检请求,直接返回成功即可。 2. 在 Shiro 配置中添加自定义过滤器 在 Shiro 的配置文件中添加自定义过滤器。例如: ```java @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean filterFactoryBean = new ShiroFilterFactoryBean(); // ... Map<String, Filter> filters = new LinkedHashMap<>(); filters.put("corsAuthenticationFilter", new CorsAuthenticationFilter()); filterFactoryBean.setFilters(filters); // ... return filterFactoryBean; } ``` 这里将自定义过滤器 CorsAuthenticationFilter 添加到了 Shiro 的过滤器链中。 3. 配置 Spring Boot 的设置 在 Spring Boot 的配置文件中添加 CORS 的配置,跟上面的一样。 这样配置完后,就可以访问 Shiro 中的接口了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值