shiro跨域CORS问题处理

最新推荐文章于 2024-04-18 09:02:37 发布

Mint6

最新推荐文章于 2024-04-18 09:02:37 发布

阅读量3.9k

点赞数

分类专栏： shiro 文章标签： spring spring boot mvc vue shiro

本文链接：https://blog.youkuaiyun.com/Mint6/article/details/104603328

版权

shiro 专栏收录该内容

2 篇文章

订阅专栏

本文详细解析了在使用SpringBoot+Shiro框架时遇到的跨域问题，尤其是在Cookie跨域传输失败的情况。通过分析问题根源，介绍了如何在Shiro代码前设置header以解决跨域难题，提供了一种新的配置方式。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

前言

跨域问题的基本处理查看上一篇文章：https://blog.youkuaiyun.com/Mint6/article/details/104468530，这个可以解决大部分问题。

跨域问题后端有四种方法可以解决：https://blog.youkuaiyun.com/Mint6/article/details/104726325。

如果是使用的shiro以上步骤都试过了，还有如下问题，请看本文章的解决办法。

问题

把主要提示拷贝出来

A cookie associated with a cross-site resource at http://127.0.0.1/ was set without the `SameSite` attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with `SameSite=None` and `Secure`. You can review cookies in developer tools under Application>Storage>Cookies and see more details at https://www.chromestatus.com/feature/5088147346030592 and https://www.chromestatus.com/feature/5633521622188032.

跨域问题导致的，cookie带不过去，重定向失败。1.明确这个情况是跨域导致的问题。

分析经过

（1）跨域：其实已经使用这个文章（https://mp.youkuaiyun.com/console/editor/html/104726325）的方式2：重写WebMvcConfigurer解决了，在进行前后端联调的时候，接口已经可以调通了。

@Configuration
public class WebMvcConfg implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        //设置允许跨域的路径
        registry.addMapping("/**")
                //设置允许跨域请求的域名
                //当**Credentials为true时，**Origin不能为星号，需为具体的ip地址【如果接口不带cookie,ip无需设成具体ip】
                .allowedOrigins("http://localhost:9527", "http://127.0.0.1:9527", "http://127.0.0.1:8082", "http://127.0.0.1:8083")
                //是否允许证书 不再默认开启
                .allowCredentials(true)
                //设置允许的方法
                .allowedMethods("*")
                //跨域允许时间
                .maxAge(3600);
    }
}

（2）但是在调节其中一个ajax请求的时候，后端权限使用的springboot+shiro实现的，发现原来的跨域代码重写WebMvcConfigurer不管用了。

（3）原因：原来的逻辑是用户请求->WebMvcConfigurer设置header->controller,

Spring Boot整合Shiro之后用户请求->shiro的监听器->shiro逻辑->WebMvcConfigurer设置header->controller,

默认所有请求会先经过shiro的监听器，在执行shiro代码逻辑的时候跨域出错了，所以上面的全局方法已经不管用了。

解决办法

在shiro代码之前设置header，解决跨域问题就好了。所以按如下增加配置，并且可以把重写WebMvcConfigure的方式去掉。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

/**
 * @Auther: Administrator
 * @Date:  
 * @Description:
 */
@Configuration
public class CorsConfig {
    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.setMaxAge(3600L);
        corsConfiguration.setAllowCredentials(true);
        return corsConfiguration;
    }

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", buildConfig());
        return new CorsFilter(source);
    }
}

最后：这个是针对shiro特殊情况的处理，如果是有跨域问题还没定位问题请先看跨域的基本处理办法：https://blog.youkuaiyun.com/Mint6/article/details/104468530