oauth2.0,使用 axios 请求令牌时,出现跨域问题的解决办法

已于 2022-02-19 17:35:32 修改
阅读量1.8k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: oauth2.0 文章标签: 前端 javascript java
于 2022-02-15 02:37:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Hcy_code/article/details/122935239
本文探讨了一次前端应用在尝试从后端获取资源时遇到的跨域问题,着重分析了后端配置的CORS策略与前端使用的基本认证请求头之间的冲突。通过实例和源码,揭示了问题所在并提供了正确的前端请求格式和配置建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

出现跨域问题,一开始以为是后端的问题,但后端确实配置了跨域:

@Order(Ordered.HIGHEST_PRECEDENCE)
@Configuration
public class CorsFilter implements Filter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        HttpServletRequest request = (HttpServletRequest) req;
        //允许所有的域访问
        response.setHeader("Access-Control-Allow-Origin", "*");
        //允许所有方式的请求
        response.setHeader("Access-Control-Allow-Methods", "*");
        //头信息缓存有效时长(如果不设 Chromium 同时规定了一个默认值 5 秒),没有缓存将已OPTIONS进行预请求
        response.setHeader("Access-Control-Max-Age", "3600");
        //允许的头信息
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with, authorization");

        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            chain.doFilter(req, res);
        }
    }
}

网上大多也是这样配置的,之后想想会不会是前端的问题。

打开浏览器,F12 进行调试,看了下请求格式,发现请求格式出现问题,前端请求令牌时,是携带授权码,以表单方式 + Authorization 请求头字段进行请求,

正确前端代码如下:

// 客户端id和密钥,以冒号连接,并base64编码
const x = window.btoa('curl_client'+':'+'123');
const dd = {
                    "grant_type": "authorization_code",
                    "redirect_uri": "http://localhost:8001",
                    "code": code  // 授权码
                };
                // 拿令牌
                axios({
                    method: 'post',
                    url: "http://localhost:8002/oauth/token",
                    headers: {
                        'Content-Type': 'application/x-www-form-urlencoded; charset=UTF-8',
                        'Authorization': "Basic "+ x
                    },
                    data: Qs.stringify(dd)    // 注意引入 qs.js
                }).then(res => {
                    console.log("返回的数据:" + res.data);
                    /*{
                        "access_token": "09f402dd-2f52-4fd6-89a0-8233b2870768",
                        "token_type": "bearer",
                        "expires_in": 3426,
                        "scope": "read"
                    }*/
                    // 拿到访问令牌
                    const accessToken = res.data.access_token;
                    console.log("访问令牌:"+accessToken)
                    setCookie("accessToken",accessToken);
                    window.location.href = "http://localhost:8001/ok"
                })

项目完整代码: https://github.com/hcy1-88/auth-two.git
包括了从客户端登录,选择第三方登录,获取 资源服务器 资源的完整流程,并选择 数据库方式 存储令牌和客户端信息,而不是内存方式。

Springboot通过cors解决问题解决spring security oath2的/oauth/token问题
GeorgeShaw1的专栏
07-13 1万+
在工程里添加两个类: CorsConfig.java: 实现全局过滤器,设置CORS,注意一定要是全局。网上说多加一个注解(Spring官网)或者加Cors Mapper只能解决自定义接口的,对于spring security oath2的默认接口,例如 /oauth/token问题,是无法解决的,必须通过本文的全局CORS Filter解决。package com.qiaoya.inte
身份验证机制:Session、JWT、SSO 和 OAuth 2.0,以及(Magic Links、QR Code、Push 、Biometric、Social )
weixin_45511682的博客
08-09 3510
本文探讨了前端身份验证和授权机制,旨在为开发者提供多种安全且高效的解决方案,以适应不断发展的网络安全需求和个人隐私保护。文中归纳了几种前沿的身份验证方法,包括基于会话(Session)、JSON Web Tokens (JWT)、Single Sign-On (SSO)、OAuth 2.0 等传统与现代技术,以及 Magic Links、QR Code Login、Push Authentication、Biometric Authentication、Passwordless Authentication
axios解决oauth2问题
qq_40650378的博客
12-29 4106
最近因为这个问题耗费了几天间,觉得可能大家以后工作中有可能碰到,所以记录下来 前端是VUE框架的axios请求模式,后端采用springboot做的一个授权和认证服务 postman一切正常,然后开始联调发生悲剧! 前端说后端有问题解决,开始动手,先解决认证服务器问题 一般先在WebSecurityConfigurerAdapter实现里添加允许 @Override ...
SpringBoot解决方案:CORS配置与OAuth2安全实践
最新发布
梵心白莲的博客
05-10 752
在现代Web开发中,前后端分离的架构已经成为主流。前端应用和后端服务往往部署在不同的名或端口上,这就会引发问题。同,为了保证系统的安全性,对接口进行身份验证和授权也是必不可少的。Spring Boot作为一个强大的Java开发框架,提供了多种解决问题的方案,并且能够很好地集成OAuth2进行安全认证。本文将详细介绍Spring Boot中CORS(资源共享)的配置以及OAuth2的安全实践。
OAuth2.0中的访问控制:使用OAuth2.01.0B协议实现
AI天才研究院
07-03 5386
作者:禅与计算机程序设计艺术 OAuth2.0 中的访问控制:使用 OAuth2.0 1.0B 协议实现 1. 引言 1.1. 背景介绍 随着互联网的发展,Web 应用越来越多,各种
OAUTH2.0配置
奋斗
08-03 1162
OAUTH2.0配置
前后端分离项目,如何解决问题
macrozheng的专栏
07-31 3222
资源共享(CORS)是前后端分离项目很常见的问题,本文主要介绍当SpringBoot应用整合SpringSecurity以后如何解决问题。什么是问题CORS全称...
springboot oauth2.0 vue单点登录
02-15
当涉及到请求,确保适当调整 CORS 设置以便允许来自特定名的访问。 #### 整合 Vue 与 OAuth2 认证流程 为了让 Vue 前端能够参与整个 OAuth2 流程,通常会借助于第三方库如 `axios` 或者直接操作浏览器内置...
基于OAuth2.0和JWT规范实现安全易用的用户认证
liupras的博客
01-01 1199
遵循`OAuth2.0`和`JWT`规范实现用户认证,不但具有很好的实用性,还能提供很不错的安全保障。 本文结合实用的代码讲述了基于`OAuth2.0`和`JWT`,在前后端分离的系统中,实现用户使用方便而又安全可靠的用户认证的基本思路。
OAuth 2.0协议详解】授权流程:授权码、隐式、密码凭证、客户端凭证
![python库文件学习之oauth]...这一章节将概述OAuth 2.0协议的核心概念,为后续章节深入分析各种授权模式奠定基础。 ## 1.1 OAuth 2.0的定义与目标 OAuth 2.0 旨在为互联网用户提供更安全、更灵活的访问授权方式。它
Vue axios解决方案深度解析:聚焦并优化OPTIONS预检问题
![Vue axios解决方案深度解析:聚焦并...本文首先概述了Vue axios问题,深入解释了CORS机制和预检请求的原理,以及它们对开发者和用户体验的影响。接着,本文从理论走向实践,详细介绍了服务器端与客户端的具
vue+springboot前后端分离实现单点登录问题解决方法
01-19
最近在做一个后台管理系统,前端是用下火热的vue.js,后台是基于springboot的。因为后台系统没有登录功能,但是公司要求统一登录,登录认证统一使用.net项目组的认证系统。那就意味着做单点登录咯,至于不知道什么是单点登录的同学,建议去找一下万能的度娘。 刚接到这个需求的候,老夫心里便不屑的认为:区区登录何足挂齿,但是,开发的过程狠狠的打了我一巴掌(火辣辣的一巴掌)。。。,所以这次必须得好好记录一下这次教训,以免以后再踩这样的坑。 我面临的第一个问题,浏览器控制台直接报CORS,以我多年开发经验,我果断在后台配置了配置,代码如下: @Configuration publi
OAuth2.0授权系统实现单点登录
01-13
实现OAuth2授权,并且实现单点登录的小例子,请使用vs2015打开
oauth2中token端点配置
ldcaws的专栏
10-22 1713
请求会先发送OPTIONS请求,而OPTIONS请求头并不会携带认证信息,需要放开。场景:访问oauth/token接口,在认证授权服务中已添加了springboot2.7版本的配置,且在WebSecurityConfig和ResourceServerConfig中均已开启去允许,还是发生了。其实,还可以采用在webSecurity中ignore请求类型为options的请求,并在AuthorizationServerConfig中的endpoints设置的配置。
spring oauth 2.0 sso 认证问题
qq_17052671的博客
11-27 979
Possible CSRF detected - state parameter was required but no state could be found 客户端配置: server: port: 4041 servlet: context-path: /sso-app1 #解决  
axios get怎么还会显示_axios、ajax的问题怎么解决,header头导致怎么解决...
weixin_39631344的博客
01-13 356
其实很好解决……但是百度了很多,却发现大家有各种说法,一会儿在请求里加content-type啦,一会儿引入qs库啦……不用。首先第一步,保证后台允许你。然后第二步,当你发现需要在header头添加参数的候,就会提示失败。怎么办怎么办?下面????是全部的代码,记得写async和crossDomain就可以了。var instance = axios.create({timeout: 1000...
axios前端请求错误问题
youlinhuanyan的博客
05-16 1045
问题描述 服务端nginx已配置允许 add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS'; add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control
oauth2 cors
旅人的博客
08-29 1533
问题描述:在使用oauth2访问/oauth/token出现401的问题! 如果项目中包含 Spring Security 就会有 401 的问题,Spring Security 本身是通过 Filter 实现的,如果没有对其单独做 CORS 的处理,在 Web Security 报错 401 的候是不会返回相应的 CORS 的字段的。这会导致出现的 401 错误成为了一个无法进行的错误...
使用axios等引起的问题,及auth
热门推荐
qingwazange的博客
09-06 1万+
很久没写了,最近在搞微服务的东西,欠下很多文章,后期慢慢补~~ 在开发vue项目的候,经常碰到的一个问题就是问题,因为我们很可能要给前端项目一个独立的名,这样我们在请求后端接口的候,就会引起问题。这个问题需要前后端一起更改,下面以axios为例说一下解决的方案(其他的解决方式大同小异)。 部署好axios之后,我们先发起一个请求到服务端,发现axios会先发起一个OPT
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值