[前后端分离]Springboot2.x解决加入shiro拦截器后才出现的Cors跨域问题

最新推荐文章于 2023-02-20 15:25:08 发布
最新推荐文章于 2023-02-20 15:25:08 发布
阅读量507 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: shiro+springboot CORS跨域问题 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangzai_a/article/details/119302592
本文介绍在使用Shiro进行身份认证时遇到的跨域问题及其解决方法。通过在Shiro配置中加入CORSFilter,强制添加必要的Header信息,解决了因重定向导致的跨域访问失败问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用Shiro认证授权拦截器再次出现Cors跨域问题:重定向错误

——————验证成功——————

一、背景

启用shiro的身份认证之前(其他已开),已经实现前后端分离的数据调用,但当我打开shiro认证拦截器后,出现跨域问题如下:

打开浏览器自带的开发人员工具(Shift+Ctrl+I),发现错误如下

在这里插入图片描述

翻译:从“http://本地主机:8080”从‘http://localhost:8081/gas/facility/queryFacilityList’访问XMLHttp请求已被CORS策略阻止:请求的资源上没有“访问-控制-允许起源”标头。
GET,网:ERR_FAILED,
未捕获(承诺)错误:创建时网络错误XMLHttpRequest.handleError时错误

二、原因

后端通过Shiro配置URL过滤时,如

        //设置未授权提示页面
        bean.setUnauthorizedUrl("/gas/myWeishouquan");
        //设置登录错误提示页面
        bean.setLoginUrl("/gas/toLogin");

默认对于没有授权的访问请求会redirect至LoginUrl.但在跨域访问时,redirect失败.原因是基于安全考虑,redirect发生时Response Header的信息会被清除,导致client端的访问被server端拒绝.

三、解决

配置文件强制加上Header的信息,如下

package com.company.gas.config;

import org.apache.shiro.web.servlet.OncePerRequestFilter;
import org.springframework.stereotype.Component;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
//                !!!!!!!!!!!!!!!!!! :此文件是为了解决重定向redirect的问题,如果不用重定向可不配置
@Component
public class CORSFilter extends OncePerRequestFilter {

  /*
   * 在ResponseBodyWrapHandler中已处理跨域问题
   * 但是在shiro验证未通过跳转/unauth时, 因为redirect 重定向会丢失所有请求头,跨域问题重新出现
   * */
  @Override
  protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws ServletException, IOException {
      HttpServletResponse res = (HttpServletResponse) servletResponse;

      res.setContentType("text/html;charset=UTF-8");

      res.setHeader("Access-Control-Allow-Origin", "*");

      res.setHeader("Access-Control-Allow-Methods", "*");

      res.setHeader("Access-Control-Max-Age", "0");

      res.setHeader("Access-Control-Allow-Headers", "Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,userId,token");

      res.setHeader("Access-Control-Allow-Credentials", "true");

      res.setHeader("XDomainRequestAllowed","1");

      filterChain.doFilter(servletRequest, servletResponse);

  }
}

重新运行项目,结果如下
运行成功,无报错
另附上我的解决普通跨域的文件

package com.company.gas.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class CorsConfig{

    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.setMaxAge(3600L);         // 预检请求的有效期,单位为秒。
        corsConfiguration.setAllowCredentials(true);// 是否支持安全证书(必需参数)
        return corsConfiguration;
    }

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", buildConfig());
        return new CorsFilter(source);
    }
}

上述方法参自一位大牛的文章,耗时两天几乎试遍所有方法中唯一有效的方法
感谢!!!
参考文献

前后端分离后台基于springboot,shiro,auth2,前端vue集成cas
qq_37494229的博客
04-30 2564
增加三个拦截 package kwc.app.filter; import kwc.app.common.enums.NoLoginEnum; import kwc.app.common.utils.RedisUtils; import org.jasig.cas.client.Protocol; import org.jasig.cas.client.configuration.Con...
spring boot + shiro 前后端分离做权限控制 bean.setLoginUrl("/auth/unauthentication.do") redirect 跳转登录失效
liuzhen_333的专栏
07-18 7920
直接配置跳转 起先是在ShiroConfiguration里直接这么写的: bean.setLoginUrl("/auth/unauthentication.do"); 前端请求时候报错: Failed to load http://192.168.1.38:3333/menu/updatePermission.do: Redirect from 'http://192.168.1...
springboot2.0+拦截器解决前后端分离时产生的问题
l1016337816的博客
11-27 1720
springboot2.0+拦截器解决前后端分离时产生的问题) package com.sdpc.common.config; import java.util.Enumeration; import java.util.concurrent.TimeUnit; import javax.servlet.http.HttpServletRequest; import javax.servle...
如何解决前后端分离开发,问题(后端解决
m0_44990803的博客
09-01 1438
如何解决前后端分离开发,问题(后端解决) 1.前后端开发遇到问题,前端一般会报这样的错误,请求直接被浏览器直接拦截,并不会引起后端报错,但是后端确实存在问题2.首先我们要再meavn项目中引入解决问题的依赖 <!--配置--> <dependency> <groupId>com.thetransactioncompany</groupId> <artifactId&gt
springboot 整合shiro出现的cors问题解决
王威振的博客
07-29 1538
如果你在后端配置好了配置。还是不生效的。来到这里希望会帮到你! 其实想快速追踪到问题的话。就从打断点开始。 我的猜想是。shiro的过滤器过滤优先级>cors的过滤器,所以才导致的此类问题 结果,果然是这样(以下图片,是我调整后的。所以corsFilter在shiroFilterFactoryBean之上) 所以要想解决这个问题,就要把cors的过滤器的优先级提升。 代码如下: @Bean public FilterRegistrationBean filterRe..
shiro过滤器,web.xml中默认访问页面,springMVC拦截器执行顺序
TYOUKAI_的博客
11-08 7322
shiro过滤器,web.xml中默认访问页面以及springMVC拦截器执行顺序及shiroFilter部分参数含义
Apache Shiro框架在CORS访问中遇到的问题解决
全能程序员Tony
04-10 888
背景 最近做一个前后端分离的项目时,遇到了一系列访问的相关问题,这里做一下总结,也希望能对遇到同样问题的同学有所帮助. 后端主要采用技术体系: SpringBoot 2.0.1.RELEASE Shiro 1.4.0 Spring Data JPA 2.0.6.RELEASE 前端采用技术体系: ReactJS Ant Design 问题 1. redirect问题 现象: 后端通过Shi...
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
通过以上步骤,我们可以构建出一个基于Springboot+Vue+Shiro前后端分离应用,实现了权限控制,同时解决问题。这种架构不仅提高了开发效率,也使得前后端可以独立迭代,便于维护和扩展。
基于springboot+mybatis+shiro+vue的前后端分离汽车租赁管理系统.zip
05-30
- **处理**:通过CORS源资源共享)解决前后端部署在不同名下的问题。 - **状态管理**:前端通过Vuex管理组件状态,后端通过Session或Token实现用户登录状态管理。 综上所述,这个项目涵盖了现代Web...
SpringBoot2.5解决问题2021年秋季新方法 SpringBoot+Vue前后端分离解决session不一致的问题
weixin_43408882的博客
09-01 2253
SpringBoot2.5解决问题2021年秋季新方法 SpringBoot2.5+Vue前后端分离解决session不一致的问题配置后端 (针对springboot2.5)直接在启动类加一个配置前端的遇到的坑(我是新手)总结一句话:用localhost和127.0.0.1不好用的话用局网ip试试 配置后端 (针对springboot2.5)直接在启动类加一个配置 我之前也一直看网上的做法,各种版本不一致,最后我准备放弃了,结果我吃了个饭想到直接去google搜了一下,然后真的发现了新的方法,只能说官
Shiro框架在CORS访问中遇到的问题解决
Reid的专栏
08-14 3443
转自: https://www.jianshu.com/p/e56362315581
第八章 拦截器机制——《跟我学Shiro
jinnianshilongnian的专栏
03-05 1431
  目录贴: 跟我学Shiro目录贴   8.1 拦截器介绍 Shiro使用了与Servlet一样的Filter接口进行扩展;所以如果对Filter不熟悉可以参考《Servlet3.1规范》http://www.iteye.com/blogs/subjects/Servlet-3-1了解Filter的工作原理。首先下图是Shiro拦截器的基础类图: 1、NameableFilte...
前后端分离,如何解决(代理模式)、路由拦截(进入页面需要登录)以及请求拦截(登录TOKEN失效)等问题(初学者)
鹤汀凫渚 的博客
12-21 1672
一条龙服务
Angular2Springboot,Zuul,ShiroCORS请求踩坑实录
weixin_30564901的博客
11-17 331
前言:前后端分离,业务分离,网关路由等已经成为当下web application开发的流行趋势。前端以单页面路由为核心的框架为主体,可以单独部署在nodejs或nginx上。后端以springboot为代表的分布式微服务框架为主体,可以独立运行在任何端口上。相互通过符合restful规范的接口访问或数据交换。在这样的开发模式下,首先需要解决的就是由于而引起的访问,cookie传递以及权限管理问...
shiro 前后端分离问题
web15536243458的博客
08-24 533
但是由于问题,浏览器是禁止的,这个时候你会在返回的header浏览器的setcookie 那个属性那边看到一个黄色的警告,这代表问题还在,所以浏览器不会让你携带上后端返回的cookie里的jssessionid,这个配置的意思就是,后端shiro认证成功后,返回的sessionId在浏览器里,会被浏览器自动的添加到header里携带。最后我发现由于是开发环境,我前端的名有问题,用127.0.0.1访问,才能免去问题。axios 是下面这样配置的。
解决SpringBoot整合Shiro 问题及前端报错401问题解决——亲测有效!
qq_54502508的博客
02-20 3030
解决SpringBoot整合Shiro 问题及前端报错401问题解决——亲测有效!
shiro学习分享(三)——解决问题时遇到的坑
热门推荐
madonghyu的博客
04-21 1万+
解决了整合shiro框架之后的时候无法传输cookie的问题
vue 后台重定向不成功_前后端分离实践:基于vue实现网站前台的权限管理
weixin_35217123的博客
12-09 1247
Javascript做为当下的热门语言,用途很广泛,从前端到后端处处可见其存在,该技术如今在我们项目内部也大量使用来开发诸如CMS系统以及其他其他一些数据分析系统的前端页面,为此个人非常感兴趣并将其作为帽子卡的扩展内容来进行课余学习。Javascript框架鳞次栉比,但基本原理大致相同,因此选用国内人开发的vue.js进行一个初步的尝试。学习vue.js也一周多的时间了,说起vue的主要用法,无外...
Apache Shiro 前后分离
最新发布
01-19
由于是前后端分离的应用程序,因此还需要解决浏览器同源策略带来的问题。可以通过全局拦截器或者直接修改 Web 安全配置的方式来进行 CORS 的预检响应头设置。 ```java @Bean CorsConfigurationSource ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值