SpringBoot+Shiro放行OPTIONS请求,解决跨域问题

最新推荐文章于 2025-03-25 12:29:02 发布
最新推荐文章于 2025-03-25 12:29:02 发布
阅读量3k 收藏 9
点赞数 4
文章标签: 过滤器 java shiro ajax spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41289165/article/details/121529166
版权
本文介绍了在集成Shiro后遇到的一个问题,即配置了放行的接口能正常访问,但需要登录验证的接口在OPTIONS请求时被拦截,导致POST请求出现跨域问题。解决方法是创建自定义的ShiroUserFilter,重写preHandle方法,检查请求类型为OPTIONS时直接放行,并设置相应响应头以实现跨域。在Shiro配置类中添加自定义Filter并配置过滤链,确保OPTIONS请求被正确处理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题:

集成shiro之后发现配置放行的接口可以正常访问,而需要登录验证的接口会报错

其中OPTIONS类型的接口会报302

导致后续的post请求报错提示跨域问题

Shiro登录流程

首先Shiro是根据请求中cookie携带的JSESSIONID判断是否登录的
当调用登录接口登录成功时,后端的响应头会添加一个set-cookie的参数
JSESSIONID代表当前登录的用户,前端只要在请求中携带这个参数Shiro就可以识别出用户并放行。
但是post请求会先发送一个OPTIONS类型的探测请求,由于这个请求没有携带JSESSIONID,Shiro就会判断为未登录,进行拦截。
所以解决的思路就是放行OPTIONS类型的请求。

解决

  1. 创建ShiroUserFilter
package com.school.service.config;

import com.school.service.entity.Result;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.web.filter.authc.UserFilter;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.RequestMethod;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

@Slf4j
public class ShiroUserFilter extends UserFilter {
    /**
     * 在访问过来的时候检测是否为OPTIONS请求,如果是就直接返回true
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            log.info("OPTIONS放行");
            setHeader(httpRequest,httpResponse);
            return true;
        }
        return super.preHandle(request,response);
    }

    /**
     * 该方法会在验证失败后调用,这里由于是前后端分离,后台不控制页面跳转
     * 因此重写改成传输JSON数据
     */
    @Override
    protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException {
        saveRequest(request);
        setHeader((HttpServletRequest) request,(HttpServletResponse) response);
        PrintWriter out = response.getWriter();
        //自己控制返回的json数据
        out.println(new Result("500",null,"Shiro验证失败"));
        out.flush();
        out.close();
    }

    /**
     * 为response设置header,实现跨域
     */
    private void setHeader(HttpServletRequest request, HttpServletResponse response){
        //跨域的header设置
        response.setHeader("Access-control-Allow-Origin", request.getHeader("Origin"));
        response.setHeader("Access-Control-Allow-Methods", request.getMethod());
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
        //防止乱码,适用于传输JSON数据
        response.setHeader("Content-Type","application/json;charset=UTF-8");
        response.setStatus(HttpStatus.OK.value());
    }
}
  1. 在Shiro配置类的shiroFilter中添加进去
package com.school.service.config;

import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * Shiro配置类
 */
@Configuration
public class ShiroConfig {

    @Bean(name = "shiroFilter")
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        shiroFilterFactoryBean.setLoginUrl("/school/goToLogin");//设置登录页面
        shiroFilterFactoryBean.setUnauthorizedUrl("/school/goToLogin");//权限不足跳转页面,这个在Default过滤器中设置无效,具体看 https://blog.youkuaiyun.com/bicheng4769/article/details/86680955

        //添加自定义Filter,放行OPTIONS请求-----------------------------------------这里✨✨✨✨✨✨✨✨
        Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
        filters.put("authc", new ShiroUserFilter());
        shiroFilterFactoryBean.setFilters(filters);
        //----------------------------------------------------------------------------------------------✨

        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
        filterChainDefinitionMap.put("/service/school/**", "anon");
        filterChainDefinitionMap.put("/swagger-ui.html", "anon");
        filterChainDefinitionMap.put("/swagger-resources", "anon");
        filterChainDefinitionMap.put("/v2/api-docs", "anon");
        filterChainDefinitionMap.put("/webjars/springfox-swagger-ui/**", "anon");
        filterChainDefinitionMap.put("/configuration/security", "anon");
        filterChainDefinitionMap.put("/configuration/ui", "anon");

        filterChainDefinitionMap.put("/service/article/**", "authc");
        filterChainDefinitionMap.put("/service/chat/**", "authc");
        filterChainDefinitionMap.put("/service/diary/**", "authc");
        filterChainDefinitionMap.put("/service/file/**", "authc");
        filterChainDefinitionMap.put("/service/problem/**", "authc");
        filterChainDefinitionMap.put("/service/team-article/**", "authc");
        filterChainDefinitionMap.put("/service/team/**", "authc");
        filterChainDefinitionMap.put("/service/user/**", "authc");
        filterChainDefinitionMap.put("/service/user-friend/**", "authc");
        filterChainDefinitionMap.put("/service/user-info/**", "authc");
        filterChainDefinitionMap.put("/service/widget/**", "authc");

        //主要这行代码必须放在所有权限设置的最后,不然会导致所有 url 都被拦截 剩余的都需要认证
        filterChainDefinitionMap.put("/**", "anon");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();
        defaultWebSecurityManager.setRealm(myRealm());
        return defaultWebSecurityManager;
    }

    @Bean
    public MyRealm myRealm (){
        MyRealm myRealm = new MyRealm();
        return myRealm;
    }


}

一切正常

SpringBoot解决请求OPTIONS问题
一行Java的博客
09-20 8558
定义过滤器import javax.servlet.*; import javax.servlet.http.HttpServletResponse; import java.io.IOException; /** * 解决vue前端OPTIONS问题 */ public class CorsFilter implements Filter { @Override pu...
springboot+shiro 解决OPTIONS
2401_83703797的博客
04-18 501
/可以用response.getWriter()返回json或你想要的格式,同时设置header: Content-Type:text/json。logger.info(“token过期返回403”);logger.info(“OPTIONS 放行”);logger.error(“空指针异常”, e);logger.info(“token有效放行”);//这几句代码是关键。
SpringBootSpringMvc 的问题解决
SpringHASh的博客
12-09 264
本质上没有区别,都是基于Filter SpringMvc web.xml 配置过滤器 <!-- 过滤器 --> <filter> <filter-name>crossOriginFilter</filter-name> <filter-class>com.zz.jersey.CrossOriginFilter</filter-class> </filter> <filter-mappi.
springboot是什么?遇到问题如何解决
最新发布
u013111855的博客
03-25 1181
Spring Boot中,是指当浏览器中的前端应用(如运行在某个名和端口下的前端页面)请求后端接口时,如果后端接口所在的名、端口或协议与前端应用不一致,浏览器会阻止这种请求。这是由于浏览器的同源策略(Same-Origin Policy)所导致的。
Shiro 放行Swagger
Thinkingcao的专栏
12-27 2227
一、前言 最近在研究Shiro,遇到一个棘手的问题SpringBoot 集成Shiro后, Swagger接口得登陆才能访问,找了一下问题,记在这里。 二、Shiro放行Swagger 在 Shiro 的配置文件中找到拦截器,将Swagger接口的路径放行即可 //放行Swagger2页面,需要放行这些 filterChainDefinitionMap.put("/swagger-ui...
SpringBoot接口解决方案,放行OPTIONS便于微服务开发调试
weixin_46037781的博客
07-19 2785
是因为浏览器的同源策略限制,是浏览器的一种安全机制,服务端之间是不存在的。调试场景,开发环境只想启动相应的后端模块接口进行调试,但是因为所以需要每次启动。告知服务器实际请求所携带的自定义首部字段。告知服务器实际请求所使用的HTTP方法;字段但不会带相应的值,导致以及报错,在接口请求中我们总会自定义请求头做。,三者有任一不相同即会产生。直连本地,其他连接开发环境接口。的认证过滤器链中需要过滤掉。指的是两个页面具有相同的。符合以下任一情况的就是。所以要处理以及在。...
shiro放行_Shiro框架详解
weixin_39619635的博客
12-05 773
之间工作中曾经用到过shiro这个权限控制的框架,之前一直都是停留在用的方面,没有过多的 去理解这方面的知识,现在有时间,专门研究了一下这个Shiro权限的框架使用。Shiro是什么?Apache Shiro是一个强大而灵活的开源安全框架,它干净利落地处理身份认证,授权,企业会话管理和加密。Apache Shiro的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框...
关于spring boot 拦截器 OPTIONS解决方案
Welcome
08-15 1531
这边设置了http://localhost:5173,之前设置的是通配符 * ,然后我自信满满的重新运行、刷新、好,它报错,问题解决,我抓耳挠腮的在服务器和本地都调试了一遍,都不行!后面网上找了一大堆,我看到一个OPTIONS解决的一个问题,哦豁!运行,刷新,问题解决~
SpringBoot+Shiro+JWT实现「登录认证」和「权限校验」
m0_74255195的博客
02-09 1030
shiro + jwt 实现认证鉴权
Springboot+Shiro+Vue博客管理系统
weixin_45670060的博客
07-27 2486
Springboot+vue博客管理系统 项目是前后端分离的一个项目,文章总体分为java后端接口和vue前端页面。 Java后端接口 1.前言 编译器使用的IDEA2021,一开始先创建新的项目骨架,直接选择Spring Initializr创建。数据层一开始学习springboot的时候用的mybatis,易上手也很方便,但是编写SQL语句时工作量很大,尤其是字段多、关联表多时,更是如此,所以用的mybatis-plus(https://baomidou.com/guide/),为简化而生只…,启动自
springboot+vue前后端分离整合shiro+jwt
weixin_45803046的博客
04-26 1060
0.实现逻辑 1.导入依赖 导入shiro-redis的starter包:还有jwt的工具包 <dependency> <groupId>org.crazycake</groupId> <artifactId>shiro-redis-spring-boot-starter</artifactId> <version>3.2.1</version> </dependency> <!-
SpringBoot整合JWT + Shiro
weixin_43920711的博客
10-28 7353
一、什么是Shiro Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 三个核心组件:Subject, SecurityManager 和 Realms 三大核心组件: Subject:主体 主体,代表了当前的“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是主体,如第三方进程、网络爬虫、机器人等,Subject是一个抽象概念,所有的Subject都绑定到Securi
SpringBoot配置请求,前端先OPTIONS请求资源后POST请求
fatesgo的博客
04-12 519
1、一个简单得配置即可,后需要进行token认证等,请自行编写拦截器 package com.fatesgo.api.config; import org.springframework.beans.factory.annotation.Configurable; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotati
SpringBoot 参数处理器处理Optional和Pageable参数
qq_45149567的博客
04-25 731
在实际应用中,处理器方法的参数各式各样,遇到 Optional< Boolean > 和 Pageable 参数,SpringBoot 是如何进行解析的呢?参数 5 和参数 6 对应的参数是 Optional< Boolean > 和 Pageable 类型,下面我们进到 SpringBoot 参数解析部分看看这俩特殊参数是如何进行解析的;
若依shiro添加对外开放的接口
baidu_39212797的博客
11-24 4571
若依对外开放接口
springboot 解决问题(options)
snowysoft的专栏
12-12 6155
@Configuration public class MyConfiguration { @Bean public FilterRegistrationBean corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
spring boot 添加 Authorization OPTIONS 问题处理
aataxuefeihong的博客
09-02 632
解决
SpringBoot_Ajax_处理options请求
Onion的博客
03-28 1375
function https(url,type,data,header,callback) { $.ajax({ url:url, type:type, data:data, contentType:'application/json', headers:header, crossDomain...
关于springBoot 使用Mybatis的@Options注解的使用
qq_44686406的博客
11-15 1026
数据库中,id为自增。 @Insert("insert into blog(title, content, picture, createTime, updateTime, type, author) VALUES " + " (#{title},#{content},#{picture},#{createTime},#{updateTime},#{type},#{user.id}) ") @Options(useGeneratedKeys = true,keyProperty =
SpringBoot+Shiro结合Jwt实现前后端分离
Shiro具有简单易用的特点,是Java应用中常用的安全解决方案。 3. **自定义拦截器**:在Shiro框架中,拦截器用于在请求处理过程中添加特定的安全逻辑。本项目通过自定义拦截器来实现额外的安全控制,这通常涉及实现`...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值