Spring Boot+Vue+Spring Security OAuth2的前后端分离项目实现研究

最新推荐文章于 2025-06-20 18:57:15 发布
最新推荐文章于 2025-06-20 18:57:15 发布
阅读量1.8w 收藏 42
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Spring 文章标签: Spring Security OAuth2 前后端分离 Vue Spring Boot axios
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/icarusliu/article/details/90045871
本文介绍了使用Spring Boot+Vue+Spring Security OAuth2实现前后端分离项目时遇到的跨域、OPTIONS 401、PreAuthorize注解无效和Token失效处理等关键问题,并提供了详细的解决方案。涉及到的配置包括跨域Filter、OPTIONS请求配置、自定义Voter以及Token失效后的处理逻辑。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

业余在开发一个Spring Boot+Vue+Spring Security OAuth2的一个前后端分离项目,其中遇到不少如跨域、OPTIONS请求处理、PreAuthorize注解无效、Token失效处理等问题,记录如下。

在此项目中,资源服务与授权服务在同一应用中,使用端口8081;前端应用使用端口8080。前端使用axios进行ajax调用。
关于Spring Security OAuth2相关内容,可参考:http://liumoran.cn/topic/detail?id=1

1. 后端处理跨域请求问题

如果前后端部署在不同应用服务器上,后端需要配置跨域访问才成。如未配置跨域访问,浏览器F12打开高度页面的Console界面中,可以看到以下信息:

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://localhost:8081/getLoginUser. (Reason: CORS header ‘Access-Control-Allow-Origin’ missing)

Spring Boot中配置跨域请求,可以通过定义Filter的方式实现:

@Component
public class MyCorsFilter implements Filter {
   
   
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
   
   
        HttpServletResponse response = (HttpServletResponse) res;

        response.setHeader("Access-Control-Allow-Origin","http://localhost:8080");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, PATCH, DELETE, PUT, OPTIONS");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Content-Type, x-requested-with, X-Custom-Header, Authorization");
        chain.doFilter(req, res);
    }

    @Override
    public void init(FilterConfig filterConfig) {
   
   }

    @Override
    public void destroy() {
   
   }

}

2. OPTIONS报401问题

为什么在正常的请求前要发送OPTIONS请求?

用户登录成功后,当前端往后端发送的请求中包含有Authorization头,并且是跨域请求时,浏览器将会往后端发送对应的OPTIONS请求,以确认后台服务是否支持对受保护资源的跨域访问。

由于OPTIONS请求中并不带有Token,因此请求被Spring Security OAuth2拦截到后,检查发现没有Token,直接返回401给前端页面了。

如何配置?

可以在Spring Security的配置类中配置允许所有OPTIONS请求访问,如下所示:

    @Override
    public void configure(HttpSecurity http) throws Exception {
   
   
        http
                .anonymous()
                .and()
                .authorizeRequests()
                .antMatchers(HttpMethod.OPTIONS, "**").permitAll()
                .anyRequest().authenticated();
    }

其中省略掉了其它的资源访问授权配置。

但在配置后前端访问仍旧报401!!经过排查,按前面所说,我是在Spring Security的配置类中添加这个配置的,但实际上,资源服务器中对请求是否有权限访问的处理,是在资源服务器的配置中进行的,因此在单独的Spring Security配置类中进行配置并不会生效!必须在继承自ResourceServerConfigurerAdapter的配置类中进行该项配置。

在资源服务中,实际上是不需要单独的Spring Security的配置类的,直接使用ResourceServerConfigurerAdapter即可完成对各类资源的授权配置。此时的配置类如下:

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends ResourceServerConfigurerAdapter {
   
   
    @Autowired
    private RealAuthenticationProvider authenticationProvider;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
   
   
        resources.resourceId("testResource")
                .stateless(true);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
   
   
        http
                .authorizeRequests()
                    .antMatchers(HttpMethod.OPTIONS, "**").permitAll()
                    .antMatchers("/*", "/css/**/*", "/js/**/*", "/icons/**/*", "/upload/*",
                            "/h2-console/", "/h2-console/**/*", "/topic/**/*").permitAll()
                    .anyRequest().authenticated()
                .and()
                .formLogin()
                    .lo
最低0.47元/天 解锁文章

200万优质内容无限畅学
SpringBoot系列(六)SpringBoot 集成 Security + Vue 实现前后端分离登录
西门吹雪花
09-20 8650
Spring Security 是做啥的呢?借用官方文档上的一句话:Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。说的通俗点就是认证和授权。但是在前后端分离的情况下集成 Spring Security 还是有一些不同的。因为在前后端分离的情况下我们希望所有的返回结果都以 Json 的形式返回给前台,显然 Security 的一些默认配置无法满足我们的要求。下面...
SpringBoot + SpringSecurity5 + vue 前后端分离认证授权
xiao雷博客
02-22 7924
项目引入安全控制   项目中新近添加了Spring Security安全组件,前期没怎么用过,加之新版本少有参考,踩坑四天,终完成初步解决方案.其实很简单,Spring Security5相比之前版本少了许多配置,操作起来更轻量   MariaDb登录配置加密策略   SpringSecurity5在执行登录认证时,需预设加密策略.   坑一:加密策略配置,验密始终不通过,报错401 ...
spring boot+vue入门
最新发布
m0_74735127的博客
06-20 499
通过以上步骤,你已经完成了一个简单的Spring Boot + Vue前后端分离项目的搭建与开发。axios.defaults.baseURL = 'http://localhost:8080' // 后端API地址。前端:在项目根目录下执行 npm run serve,前端项目默认运行在 http://localhost:8081。通过浏览器访问 http://localhost:8081,即可看到从后端获取并展示的数据。后端:在IDEA中启动Spring Boot项目,默认端口为 8080。
Spring Security + OAuth2前后端分离
weixin_43676950的博客
05-16 1855
跨域全称是跨域资源共享(Cross-Origin Resources Sharing,CORS),它是浏览器的保护机制,只允许网页请求统一域名下的服务,同一域名指=>协议,域名,端口号都要保持一致,如果有一项不同,那么就是跨域请求,在前后端分离项目中,需要解决跨域的问题。当访问一个需要认证之后才能访问的接口的时候,Spring Security会使用 AuthenticationEntryPoint 将用户请求跳转到登录页面,要求用户提供登录凭证。在WebSecurityConfig,加入注销配置。
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题(二)
weixin_34248487的博客
01-10 6947
前后端分离时,权限问题的处理也和我们传统的处理方式有一点差异。笔者前几天刚好在负责一个项目的权限管理模块,现在权限管理模块已经做完了,我想通过5-6篇文章,来介绍一下项目中遇到的问题以及我的解决方案,希望这个系列能够给小伙伴一些帮助。本系列文章并不是手把手的教程,主要介绍了核心思路并讲解了核心代码,完整的代码小伙伴们可以在GitHub上...
springboot OAuth2
无术不学的博客
02-20 325
https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=monline_3_dg&wd=springboot%20OAuth2&oq=%25E5%25BE%25AE%25E6%259C%258D%25E5%258A%25A1OAuth2&rsv_pq=95d022f900074b4f&rsv_t=36c9EQREOiyL8A2aczntQ%2Fr81%2FYVTHEwOYWtIjXd3KG%2BMLsjDmN%
Eurynome Cloud Athena 基于Spring Security OAuth2前后端分离脚手架
适己而忘人者,人之所弃;克己而立人者,众之所戴。
06-30 864
Eurynome Cloud Athena 是什么? Eurynome Cloud Athena 是从 Eurynome Cloud 中提取出来的、可以独立运行的、基于OAuth2认证的、前后端分离的单体式后台管理脚手架。 Eurynome Cloud Athena 本质上就是eurynome-cloud-oauth-starter的应用。从pom中可以看到该工程核心依赖就是Eurynome Cloud 中eurynome-cloud-oauth-starter。 Eurynome Cloud Athen
基于Spring Cloud、OAuth2.0、Vue前后端分离的系统
12-11
基于Spring Cloud、OAuth2.0、Vue前后端分离的系统。 通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动态路由、灰度发布、 支持常见登录方式, 多系统SSO登录
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
基于spring boot + vue 的宿舍管理系统源码.zip
05-23
这是一个基于Spring BootVue.js构建的宿舍管理系统源代码项目,旨在提供一套完整的从前端到后端,再到数据库的解决方案。让我们深入探讨这个系统的各个组成部分及其关键知识点。 首先,Spring Boot是Java开发的一...
基于Spring Boot+Spring Security+JWT+Vue前后端分离的旺旺小小酥  ( 一口一口又香.zip
03-03
这是一个关于构建基于Spring BootSpring Security、JSON Web Token (JWT) 和Vue.js的前后端分离项目的教程或示例代码。项目名为"旺旺小小酥",可能是为了形象地表示其小巧且美味,就像零食"旺旺小小酥"一样。下面...
spring boot oauth2
10-24
springboot2 + security+ oauth2 进行认证,并将令牌存储到数据库中。
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权.doc
04-01
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
spring cloud oauth2 统一认证(前后端分离实战)
热门推荐
浅笑
07-12 1万+
spring cloud oauth2 统一认证(前后端分离实战) 介绍 前端使用了react实现个人博客,后端使用springcloud, oauth2做统一认证,springboot2.0,图片上传使用腾讯COS 可以直接去码云看: 后端代码(https://gitee.com/dy.huang/article-service) 前端(https://gitee.com/dy.hu...
记录Spring Security OAuth2.0认证授权7:前后端代码分离
m0_54983229的博客
01-29 1412
一、jwt令牌在网关处的过期时间校验 二、refresh-token接口缺少用户信息 三、新建business-server模块作为web容器 四、前后端分离 1、关闭认证服务表单登录 2前后端代码 五、测试 六、源代码地址 历史文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二:搭建资源服务 Spring Security OAuth2.0认证授权三:使用JWT令牌 Spring Security OAuth2
SpringSecurityOauth2实现前后端分离的token服务,app登录
一点光辉的博客
02-09 6642
图解认证服务器和资源服务器 用户通过认证服务器获取到token之后,在通过token访问服务器的资源(接口) 认证服务器 授权码模式 第一步:在@configuration配置类中 @Configuration //加上这个注解就实现了一个认证服务器 @EnableAuthorizationServer public class AuthorizationServerConfig ...
前后端分离Oauth2.0 - springsecurity + spring-authorization-server —授权码模式
qjyn1314的博客
11-08 1万+
前后端分离Oauth2.0实践-授权码模式
前后端分离项目 — 基于SpringSecurity OAuth2.0用户认证
a595077052的专栏
08-10 3799
1、前言 现在的好多项目都是基于APP移动端以及前后端分离项目,之前基于Session的前后端放到一起的项目已经慢慢失宠并淡出我们视线,尤其是当基于SpringCloud的微服务架构以及Vue、React单页面应用流行起来后,情况更甚。为此基于前后端分离项目用户认证也受到众人关注的一个焦点,不同以往的基于Session用户认证,基于Token的用户认证是目前主流选择方案(至于什么是Token认证,网上有相关的资料,大家可以看看),而且基于Java的两大认证框架有Apache Shiro和SpringS
spring-security-oauth2前后端分离实现无感知token续期
单筱风的博客
01-21 2204
1.问题由来 接触java已经将近3年现在大四在实习了,以前自己写的项目最多只用到了spring-security做权限认证其中的token是用jwt实现的,也考虑和使用过响应头返回新token前端判断替换token来实现访问续期的,但是总觉得不是很方便。 现在正在学习使用spring-security-oauth2做认证和授权,登录返回的AccessToken和RefreshToken可以很好地帮助我实现token续期。其中用到了oauth2的相关知识,在此不做解释。 2.前端vue处理 请求响应拦截添加
前后端分离博客系统开发教程(使用Spring Boot+Vue.js)
资源摘要信息: "前后端分离博客系统( Spring Boot + Vue 实现)" 知识点详细说明: 1. 核心框架:Spring Boot Spring Boot 是一种用于快速开发独立的、生产级别的基于Spring框架的应用的工具。它简化了基于Spring...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值