SpringSecurity使用JWT与前端交互跨域解决后端获取header中的Authorization的token值

最新推荐文章于 2025-04-01 11:15:20 发布
最新推荐文章于 2025-04-01 11:15:20 发布
阅读量1w 收藏 13
点赞数 8
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Box_clf/article/details/80973391

主要问题:针对前后端分离后,前端使用ajax进行请求,存在一些跨域的问题。

后端对跨域的问题进行解决,因为我是使用的Springboot框架做的后端,首先解决普通请求跨域的问题

@CrossOrigin

每一个controller类上需要添加CrossOrigin的注解进行处理。

添加之后在使用SpringSecurity时允许匿名访问的接口都没有跨域的问题了,不过使用JWT对用户身份进行验证时虽然前端已经将token的值添加到了header中,还是值获取不到header中的token值。

关键的问题就是在这里:

    浏览器会在ajax发送请求之前发送一个预请求,确认当请的接口是不是有效的接口,此时的请求方式是OPTIONS的请求方式


因为之前一直没有判断是否是预请求,所以security直接将请求的方式做了正常的处理,导致没有获取到token值所以返回的相应一直是401未授权。这时候就看到前端即使是在头部添加了token但是请求接口一直提示身份认证失败。

需要更改JWT过滤器中的对前端请求的处理方式:

@Slf4j
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    //定义的tokenHeader的名称
    private String tokenHeader = "Authorization";

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        if (request.getMethod().equals("OPTIONS")){
            log.info("浏览器的预请求的处理..");
            response.setHeader("Access-Control-Allow-Origin", "*");
            response.setHeader("Access-Control-Allow-Methods", "POST,GET,PUT,OPTIONS,DELETE");
            response.setHeader("Access-Control-Max-Age", "3600");
            response.setHeader("Access-Control-Allow-Headers", "Origin,X-Requested-With,Content-Type,Accept,Authorization,token");
            return;
        }else {
            String authToken = request.getHeader(this.tokenHeader);

            String username = jwtTokenUtil.getUsernameFromToken(authToken);

            log.info("checking authentication for user " + username);

            //token中的username不为空是进行验证token是否是有效的token
            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                log.info("token中的username不为空,Context中的authentication为空时,进行token的验证..");
                //TODO,从数据库得到带有密码的完整user信息
                   UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
                log.info("加载userdetails:{}",userDetails.getUsername());
                // For simple validation it is completely sufficient to just check the token integrity. You don't have to call
                // the database compellingly. Again it's up to you ;)
                if (jwtTokenUtil.validateToken(authToken, userDetails)) {
                    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                    authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    log.info("authenticated user " + username + ", setting security context");
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            }

            chain.doFilter(request, response);
        }


    }
}

对第一次的请求进行判断是否是OPTIONS的请求方式,如果是则在对应的response中添加对跨域和header的配置信息

            response.setHeader("Access-Control-Allow-Origin", "*");
            response.setHeader("Access-Control-Allow-Methods", "POST,GET,PUT,OPTIONS,DELETE");
            response.setHeader("Access-Control-Max-Age", "3600");
            response.setHeader("Access-Control-Allow-Headers", "Origin,X-Requested-With,Content-Type,Accept,Authorization,token");

如果不是则进行后面的token验证。

Box_clf
关注
spring security怎么生成JWT返回前端,以及怎么自定义JWT认证过滤器
qq_55121347的博客
08-26 603
spring security怎么生成JWT返回前端,以及怎么自定义JWT认证过滤器
webapi后台获取token
qq_42938698的博客
11-05 803
我目前对token的理解仅仅: 使用令牌,校验,因为有些东西保密级别高,一般不能直接暴露用来传输,使用token可以比较安全。 token怎么用,具体流程? 从这个例子可以看出,“Test”和"token"实际上是一个键对的对应关系。 public class BauthA:AuthorizeAttribute { public override void OnAuthorization(HttpActionContext actionContext) {
Spring Security____权限控制(及前面页面获取用户信息等)
a1694375032的博客
09-06 634
一、JSR250注解使用介绍 1、需要在spring-security.xml中开启 <security:global-method-security jsr250-annotations="enabled"></security:global-method-security> 2、导入pom坐标 <dependency> <gro...
关于请求头headertoken,setHeader()
ljf12138的博客
06-04 2161
怎么获取token String token = request.getHeader(“Authorization”); 这里的Authorization存放的就是token 怎么设置header中 response.setHeader(String s1,String s2) 相当于key-value ,s1是header中的key,s2是header的value list 怎么放到header使用list.toString(),返回一个数组格式的String response.setHeade
JWT详解
最新发布
weixin_44945843的博客
04-01 2955
JWT(全称:JSON WEB Token) 是一个开放标注(RFC 7519),它定义了一种紧凑的,自包含的方式,用于作为json对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签字的。jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对 进行签名。通俗解释:jwt简称JSON Web Token,也就是通过JSON形式作为web应用中的令牌,用于在各放之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。
JWTtoken前端的所有操作
热门推荐
成长之路
03-14 2万+
获取token$.ajax({ url: "http://localhost:8080", data: { data: "data" }, type: "POST", dataType: "json", async: false, cache: false, success: function(data,headers) { console.log(data); ...
SpringSecurity后端分离Header中添加Authorization的设置以及问题踩坑记录
qq_61887118的博客
05-01 6739
OPTIONS请求即为预检请求,用于判断后端服务是否能接受OPTIONS请求,注意这个请求是没有Auh字段的。OPTIONS请求失败,我全局配置的CORS应该是晚于自定义的handler,所以出现了即使CORS配置了OPTIONS操作的许可,还是出现问题了。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为 “预检” 请求(preflight)。由于我向请求头中添加了自定义的属性,所以发送请求时就属于非简单请求。的方法为执行,所以造成了问题,即使自己已经全局配置了
使用jwt在请求头中获取token从而获取用户信息
weixin_42759398的博客
04-09 4111
在 Spring Boot 项目中使用 JWT,你可以从请求头中获取 JWT,然后使用 JWT 中的信息来获取用户信息,然后进行业务处理。一般情况下,JWT 的信息会包含用户 ID、用户名、角色等信息,你可以根据这些信息来确定用户的身份和权限。在这个示例中,我们使用 @RequestHeader 注解从请求头中获取 JWT,然后使用 JJWT 库解析 JWT 中的信息。在解析 JWT 后,我们可以从 JWT获取用户 ID,然后使用 UserService 来获取用户信息。
springsecurity + jwt 生成的token存放在那里了?
1加1等于的博客
08-25 2391
返回的token可以设置在浏览器的cookie或者localStroge里
jwt发送token以及token验证
liron的博客
03-09 515
jwt发送tokentoken验证
springboot+spring-security+ajax+前后端分离解决Authorization请求头问题
weixin_43834425的博客
08-31 2244
security+ajax+前后端分离解决Authorization请求头问题 背景 后端采用 springboot+security+oauth2开发 前台采用存静态页面的形式开发。() 以此做到前后端分离。采用token的形式做无状态登录。为以后业务扩张的分布式扩展做准备。 问题 前后端分离第一个要解决的是问题。为此我再后台起了一个bean import org.springfra...
基于springboot+springSecurity+jwt实现的基于token的权限管理+源代码+文档
04-09
本项目通过集成Spring Boot、Spring SecurityJWT(JSON Web Tokens)技术,构建了一个基于token的权限管理系统。下面将详细阐述这些关键技术及其相互间的协同工作原理。 1. **Spring Boot**: Spring Boot是...
Spring Security使用中Preflight请求和问题详解
08-28
在开发基于Spring Security的Web应用时,经常遇到资源共享(CORS)相关的挑战,尤其是在前后端分离的架构中。本文将深入探讨Spring Security在处理Preflight请求和问题上的具体细节。 首先,Spring ...
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
03-02
这个基于SpringBoot、SpringSecurityJWT的Demo项目,为初学者提供了一个很好的学习平台,来理解如何实现基于Token的权限管理系统。接下来,我们将深入探讨这些技术及其在实际项目中的应用。 首先,SpringBoot是...
SpringSecurity + JWT实战(前后端分离)
As_Yua的博客
08-05 3087
先来聊一聊什么是SpringSecurity ,在上一篇文章中已经聊过了,大家可以去看看接下来我们聊聊什么是JWTJson web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且的,特别适用于。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
Spring Security 实战:登录成功后返回 JWT Token
程序猿DD
11-12 4085
点击蓝色“程序猿DD”关注我回复“资源”获取独家整理的学习资料!170元买400元书的机会又来啦!1. 前言欢迎阅读Spring Security 实战干货 系列文章,上一文我们实现了JWT工具。本篇我们将一起探讨如何将JWTSpring Security结合起来,在认证成功后不再跳转到指定页面而是直接返回JWT Token。本文的DEMO可通过文末的方式获取2. 流程JW...
Spring Security中在Controller中获得用户信息
speedszh的博客
10-05 8176
使用Spring Security来实现权限管理   首先实现org.springframework.security.core.userdetails.UserDetailsService 接口中 loadUserByUsername 方法.   方法返回org.springframework.security.core.userdetails.UserDetails接口,也可以返回Spri
web-security第六期:畅谈 Spring Security Authorization(授权)
Swing
06-13 5061
前几期我们了解了Spring Security Authentication (认证)在确认是本站点的用户后,我们又面临了一个问题:该用户可以访问那些资源,不能访问哪些资源,这都得好好研究研究,今天我们来说道说道Spring Security Authorization(授权) 首先我们来回顾一下 认证的结果: 也就是AUthentication中的内容,我们来逐一分析一下: Principal:这是登录用户的信息,一般是指 UserDetails (它的实现类,在前几期我们有定义) Cr...
springSerurity获取不到登录之后获取不到header中的token token为null
qq_41823577的博客
06-15 3114
最近学习做一个springcloud的项目,使用srpingSerurity 作为权限框架。测试的时候第一步就报了错,在登录成功之后springSerurity会将用户信息以keyvalue的形式帮我放到redis中,key为jwt生成的token
Spring Security vue 问题怎样解决
07-04
Spring Security 和 Vue.js 在处理问题时通常会遇到一些挑战,因为它们分别负责后台服务器的安全控制和前端应用的数据请求。Vue.js默认不支持请求,而Spring Security在默认情况下可能会限制来自不同源的HTTP访问。以下是解决这个问题的一些步骤: 1. **配置Spring Security**: - 如果Spring Security设置了CORS(源资源共享)策略,你需要确保允许特定的Origin。在WebSecurityConfigurerAdapter中添加如下的代码片段: ```java @Override public void configure(HttpSecurity http) throws Exception { http.cors().and() .authorizeRequests() // 允许特定的名 .antMatchers("/**").allowedOrigins("*") .anyRequest().authenticated(); // 更详细的设置可以在configureCors方法中完成 } ``` 2. **启用CORS预检请求**: - 当浏览器发起请求时,它首先发送一个OPTIONS请求(也称为"预检请求")。如果你的服务器没有响应这些请求,可能需要在Spring MVC或Filter层上处理这些预检请求。 3. **后端允许简单请求头**: - 在Spring Security中,你可以设置`corsConfiguration.addAllowedHeader("*")`来允许所有请求头,并`corsConfiguration.addAllowedMethod("*")`允许所有HTTP方法。 4. **Vue.js 中的处理**: - 在Vue项目中,当向非同源API发起AJAX请求时,你需要设置`withCredentials: true`,同时在axios的配置里处理: ```javascript axios.defaults.withCredentials = true; axios.interceptors.request.use(config => { if (window.isLocalhost) { config.headers.common['X-Custom-Header'] = 'your-value'; // 假设这里有个自定义header } return config; }, error => Promise.reject(error)); ``` 5. **Nginx、Apache等反向代理**: - 如果你是在生产环境中,可以考虑使用Nginx或Apache作为代理服务器,将请求转发到Spring Boot服务器,并在那里处理CORS设置。 记得测试每个解决方案是否有效,因为问题可能受多个因素影响。如果你的Spring Security配置了更复杂的策略,可能还需要根据具体情况进行调整。相关的相关问题:
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值