springboot,shiro跨域CORS请求,拿不到headers中的token值解决

最新推荐文章于 2025-07-14 15:02:53 发布
原创 最新推荐文章于 2025-07-14 15:02:53 发布 · 1.7w 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #前端 #后端

本文详细解析了在使用Springboot、Shiro、Mybatisplus等技术栈时遇到的CORS跨域问题,特别是在前后端分离场景下,如何在Shiro过滤器中正确处理OPTIONS预检请求及实现数据的正常传输。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

项目背景:

最近在做一个后台用Spring boot、Shiro、Mybatis plus 、Oauth2,前台用layui的项目.前端在调后台接口的时候需要在浏览器中的headers头中添加token和userId的值(根据业务不同可能传值不一样),后台有一个过滤器,获取到headers中的token和userId,并去验证token是否在有效期内,在进行其他操作,在这个过程中,shiro的过滤器中一直接收不到token和userId的值,并且前端会报跨域问题


前端错误信息
在这里插入图片描述

后端拦截器一直接收不到token和userId信息
在这里插入图片描述

但这个时候尝试用postman(postman不会出现跨域问题)发送试试,结果可以收到值,WTF???,开始考虑的原因可能是token和userId没有放入headers中,后来通过仔细看了下没问题啊(下图)

在这里插入图片描述
在这里插入图片描述

为什么不发送值呢。仔细又去看了CROS的介绍。原来CROS复杂请求时会先发送一个OPTIONS请求,来测试服务器是否支持本次请求,这个请求时不带数据的,请求成功后才会发送真实的请求。所以前面那个只发送key的问题是要确认服务器支不支持接收这个headers。所以每次获取不到数据的请求都是OPTIONS请求?。所以我们要做的就是把所有的OPTIONS请求统统放行。

做法是在 StatelessAuthcFilter(自定义的过滤器) 中继承AccessControlFilter(Shiro自带的过滤器) 并重写其中的 preHandler 方法。 代码如下:

    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpRequest = WebUtils.toHttp(request);
        HttpServletResponse httpResponse = WebUtils.toHttp(response);
        if (httpRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpResponse.setHeader("Access-control-Allow-Origin", httpRequest.getHeader("Origin"));
            httpResponse.setHeader("Access-Control-Allow-Methods", httpRequest.getMethod());
            //  httpResponse.setHeader("Access-Control-Allow-Methods", "POST, GET, PATCH, DELETE, PUT");
            httpResponse.setHeader("Access-Control-Allow-Headers", httpRequest.getHeader("Access-Control-Request-Headers"));
            httpResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
     } 

这个时候还没有完全解决问题,上面步骤完成后,第一次OPTIONS请求成功,第二次真实请求也发送成功(状态为200),但是response里面没有数据,此时需要再次添加一个CrosFilter类,如下

package com.welsee.shiro;

import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class CorsFilter implements Filter {


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        httpResponse.setHeader("Access-Control-Allow-Origin", httpRequest.getHeader("Origin"));
        httpResponse.setHeader("Access-Control-Allow-Methods", httpRequest.getMethod());
        httpResponse.setHeader("Access-Control-Max-Age", "3600");
        httpResponse.setHeader("Access-Control-Allow-Headers", httpRequest.getHeader("Access-Control-Request-Headers"));
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {

    }
}

再次调试,可以了

jeecg微服务项目调用接口报错Token验证失效的解决方法
穆雄雄的博客
08-17 3472
今天,记录一篇啼笑皆非的问题。昨晚上在做微信公众号开发时,遇到了个解决好久的问题,即:微信公众号上配置服务器信息之后,回调服务器接口总是报错token验证失败。
SpringBoot+Shiro后端无法获取到Header里面的Token问题
relosy的博客
06-02 2247
最近在做一个后台用Spring bootShiro、Mybatis plus 前台用React的项目.前端调完登录接口后。在调后台接口的时候需要在浏览器中的headers头中添加token,后台有一个过滤器,获取到headers中的token并去验证token是否在有效期内,在进行其他操作,在这个过程中,shiro的过滤器中一直接收不到token,并且前端会报问题。 之前在写的时候一直用的postman测试,也没有遇到问题,其实是因为Postman本身就没有问题。前后端联调时就遇到了.
shiro为何获取不到请求中的token
weixin_43999127的博客
07-16 3499
后端分离项目中,由于,会导致复杂请求,即会发送预检请求(preflighted request),这样会导致在GET/POST等请求之前会先发一个OPTIONS请求,但OPTIONS请求并不带shiro的’Authorization’字段(shiro的Session),即OPTIONS请求不能通过shiro验证,会返回未认证的信息。 先简单介绍一下是什么? 在开发中前后端并不在一个端口下...
SpringBoot中6种请求解决方案
最新发布
java_beautiful的博客
07-14 1194
请求是前后端分离开发中不可避免的问题,Spring Boot提供了多种解决方案。从简单的@CrossOrigin注解到复杂的网关配置,我们可以根据项目规模和需求选择合适的方案。在实际开发中,建议综合考虑安全性、灵活性和维护成本,选择最适合项目的CORS解决方案。对于大多数Spring Boot应用,推荐使用全局CORS配置(WebMvcConfigurer)方案,它提供了良好的平衡性;而对于微服务架构,则推荐在网关层统一处理CORS问题,以减少后端服务的配置负担。无论选择哪种方案,
java/springboot 浏览器获取不到header( cros 问题)
宁静致远
10-14 2727
在前后端分离的开发中,浏览器只会返回默认的header参数。 如果有自定义的参数的,需要如下解决 解决办法1 在做特殊处理 这个方法是主要针对option请求。 在正式请求前,浏览器会根据需要,发起一个“PreFlight”(也就是Option请求),用来让服务端返回允许的方法(如get、post),被访问的Origin(来源,或者),还有是否需要Credentials(认证信息) 所以 if (httpRequest.getMethod().equals("OPTIONS")) {
sringboot项目postman发送post请求Controller接收不到传过来的参数
mihe123的博客
07-08 2057
接口没有设置 Token,二次封装接口时若没有去掉默认的 Token,就会报错,状态码 403
shaylo的博客
04-01 1023
@/utils/auth.js import Cookies from 'js-cookie' const TokenKey = 'Admin-Token' export function getToken() { return Cookies.get(TokenKey) } @/utils/request.js 中设置了默认的 Token // request拦截器 service.interceptors.request.use(config => { // 是否需要设置 t
解决Axios发送Ajax请求获取不到Header响应头里的Token
"✧treasure mountain✧"
05-16 7850
问题描述 在做登录功能的时候 调用登录接口 想获取Header里的Token 然而发现里面并没有Token: 在用Postman测试的时候发现是正常的: 原因 浏览器默认只能访问以下几种响应头: Cache-Control Content-Length Content-Type Expires Pragma 若想让浏览器能访问到其它响应头 则需在服务器上设置Access-Control-Expose-Headers为要被访问的响应头的属性名 解决方法 在拦截器里进行配置 添加响应头 publi
springboot + shiro处理问题
lmsnice的博客
11-18 855
问题出现的原因:同源策略; 解决方法1、(局部解决问题) 对于某一个请求解决他的问题,在对应的controller上添加一个注解,如下 @RestController @RequestMapping("movie") //@CrossOrigin(origins = "http://localhost", allowCredentials = "true") @CrossOrigin public class MovieController { @GetMapping("list")
手把手教你用springboot打造标准系统(三)--Token登陆和处理
ox23t的专栏
08-12 1167
现在开发流行使用VUE做前端,通过前后端分离的方式来架构系统。那么为什么要前后端分离呢? 首先,前后端分离是团队合作的产物,团队任务分工后,前端工程师专注前端业务展现,后端工程师专注业务逻辑。 其次,前后端分离有利于系统大流量的并发处理。分离后,前端通常会采取CDN加速,以达到快速展现的目标,同时减轻了网络带宽和服务器的压力。 由于本人在VUE上的造诣一般,这里就不多讲VUE,只是用来做一些显示...
Shiro过滤器导致的前端
沐晨的博客
04-19 1497
问题背景 公司项目是前后端分离的,最近要求在请求时都要在请求头加入自定义的 token,在做接口调试时,前端总是请求不通,然而自己用 POSTMAN 等工具时都可以,这就出现了问题,也就是 复杂请求问题。 问题分析 部分文段摘自 资源共享 CORS 详解 复杂请求 浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple req...
后端分离后台基于springboot,shiro,auth2,前端vue集成cas
qq_37494229的博客
04-30 2567
增加三个拦截 package kwc.app.filter; import kwc.app.common.enums.NoLoginEnum; import kwc.app.common.utils.RedisUtils; import org.jasig.cas.client.Protocol; import org.jasig.cas.client.configuration.Con...
解决后端分离开发中登录验证码 和session不一致问题
weixin_44543219的博客
06-16 3003
使用工具:HBuilderX 使用语言:H5、jQuery、CSS 开发模式:前后端分离前后端分离开发模式下,实现网页的验证登录问题点1的解决方案:问题点2的解决方案:问题点3的解决方案:通过blob的处理,生成一个URL,作为图片的src属性的,显示验证码图片问题点4的解决方案:加上时间戳,可以实现点击图片换一张的效果 获取验证码 点击登录验证 4.获取用户信息 5.页面加载事件 6.全局参数...
问题中获取不到响应头header中的token
HPF_99的博客
02-03 3697
在前后端分离项目整合springboot于jwt的过程中遇到 后端在请响应头header中添加token 前端进行验证的时候只能获取部分header中的数据而获取不到token 解决方法就是在jwt生成token存入header中的时候添加header数据 Access-Control-Expose-headers为想让前端获取的数据,如token 之后在后端就可获取到header中的数据 测试: 前端获取代码(使用jquery) 向后端发出请求后 先看请求头,已经存在后端存入的数据: 再看控制台
SpringBoot——请求头header中的token信息部署在服务器上显示为null
櫆溟的博客
11-08 2059
今天发现部署在服务器上的项目一直提示我token验证失败,看日志发现token是空的。我马上在本地进行了测试,可本地却是正常的,心态顿时不好了。
springboot拦截器无法获取token的问题
cacheaads的博客
10-17 2624
springboot拦截器无法获取token的问题问题描述导致该问题的原因解决办法 问题描述 前后端分离项目使用token进行登录及接口校验,出现在后端拦截器中无法获取前端请求中的token,导致所有前端请求校验无法通过 导致该问题的原因 浏览器在发送请求时会默认先发送一次类型为’option’且不带任何参数的请求请求成功后才会发送真正的Post或者get请求,简单说明一下什么是optio...
2019JAVA中ajax不高亮_2019-01-18 ajax请求时,token死活放不大header中
weixin_39590739的博客
03-05 143
问题描述:token未使用:本项目前后分离,后台使用@CrossOrigin解决,至此所有请求都没问题。加入token实现思路:当对接登录功能的时候,使用jwt来实现的,第一次请求登录接口不拦截,然后jwt生成的token需要放入response的header中,前台获取header中的token存起来,第二次请求把此token取出来放入request的header中,后台用拦截器来拦截演...
BUG记录-Java服务端获取不到请求头里的token
瑶山的博客
04-11 5061
程序移植到生产环境发生了点问题,安卓反映token一直过期,我查了查放在请求头里的token没有获取到 String accessToken = request.getHeader(OAUTH_BEARER_TOKEN); 拉取服务器的日志 --------------- 日志 ----- BaseController : validateAccessToken2 fail :...
关于springboot集成shiro后遇到的CORS问题
LLittleF的博客
04-14 5377
废话不多说,先上解决办法,后边再说原理: 自定义MyFormAuthenticationFilter public class MyFormAuthenticationFilter extends FormAuthenticationFilter { /** * 在访问controller前判断是否登录,返回json,不进行重定向。 * @param request ...
后端接口 userInfo/export怎么找不到
03-20
<think>好的,用户现在遇到了后端接口userInfo/export找不到的问题。我需要先分析可能的原因,然后逐步引导用户排查。首先,用户之前询问了关于handleExport()方法的代码解释,现在可能是在实际使用中遇到了404错误或其他接口不可用的情况。 用户可能是开发者,或者是刚接触这个项目的新手,对后端路由配置不太熟悉。他们的真实需求是解决接口调用失败的问题,可能希望导出数据但遇到了阻碍。深层需求可能是想了解如何调试和解决这类常见的后端接口问题,而不仅仅是知道问题存在。 接下来,我应该考虑常见的导致接口不到的原因。首先检查URL是否正确,是否存在拼写错误或者路径错误。然后确认后端是否实际存在这个路由,并且是否处理了GET或POST请求。可能需要检查后端的路由配置文件,比如Spring Boot中的@GetMapping或@PostMapping,或者Node.js的Express路由设置。 另外,权限问题也可能导致404,比如用户没有访问该接口的权限,或者需要特定的请求头如Token问题(CORS)也可能导致前端无法访问接口,但通常会返回CORS错误而不是404。请求方法是否正确,比如应该用POST却用了GET,或者相反。 用户可能需要逐步排查,比如先测试接口Postman中的可用性,查看后端日志是否有请求到达,检查网络请求的详细信息,确认代理配置是否正确(尤其是在开发环境中使用webpack代理时)。还有可能是项目结构问题,比如接口路径没有正确嵌套在父路径下,或者配置文件没有正确加载。 最后,给出一个总结的排查步骤,帮助用户系统地检查每个可能的问题点,并建议他们如何与后端团队协作解决问题。确保回答结构清晰,分点说明,方便用户一步步操作。</think>以下是针对接口 `userInfo/export` 找不到问题的系统性排查指南,按优先级排序: --- ### 一、基础检查阶段 1. **URL 完整性验证** - 检查是否包含 **基础路径**(如开发环境为 `/api/`,生产环境为 `/prod-api/`) - 完整路径可能实际为:`/api/userInfo/export` 或 `/prod-api/userInfo/export` - ▶️ 打开浏览器开发者工具(F12),在 Network 面板查看实际请求的完整 URL 2. **请求方法匹配性验证** - 确认前端使用的 **HTTP 方法**(GET/POST)与后端定义一致 - ▶️ 常见错误:后端要求 POST 但前端发送 GET - ▶️ 检查后端代码注解(示例): ```java // Spring Boot 示例 @PostMapping("/userInfo/export") // 明确要求 POST 方法 public void export() { ... } ``` --- ### 二、后端配置排查 3. **路由映射检测** - 确认接口是否被正确注册到路由系统中 - ▶️ 重点检查位置: - Spring Boot:`@RestController` 类是否包含在包扫描路径 - Node.js:Express 路由是否被正确挂载到主应用 - Django:`urls.py` 中是否注册该路径 4. **权限拦截分析** - 检查是否被 **安全框架拦截**(常见于 Spring Security/Shiro) - ▶️ 典型表现:控制台出现 `403 Forbidden` 而非 404 - ▶️ 临时关闭权限验证测试接口可达性 5. **配置验证(CORS)** - 检查响应头是否包含: ```http Access-Control-Allow-Origin: * Access-Control-Allow-Methods: GET,POST ``` - ▶️ 开发环境下可通过浏览器控制台直接观察 CORS 错误提示 --- ### 三、进阶调试手段 6. **后端日志追踪** - 强制打印请求日志(推荐使用拦截器) - ▶️ Spring Boot 示例:添加日志拦截器 ```java @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) { System.out.println("收到请求路径:" + ((HttpServletRequest)request).getRequestURI()); chain.doFilter(request, response); } ``` 7. **接口存活测试** - 使用 Postman 直接访问(绕过前端) ```http POST http://localhost:8080/api/userInfo/export Content-Type: application/json { "pageNum": 1, "pageSize": 20 } ``` - ▶️ 若 Postman 可访问但前端报错,则问题出在 **前端请求构造** --- ### 四、特殊场景排查 8. **路径嵌套问题** - 检查父级路径是否冲突(常见于多模块开发) - ▶️ 错误示例: ```java @RestController @RequestMapping("system") public class UserController { @GetMapping("userInfo/export") // 实际路径为 /system/userInfo/export public void export() { ... } } ``` 9. **代理配置验证** - 检查前端工程配置文件(vue.config.js/webpack.config.js) - ▶️ 开发环境代理示例: ```javascript devServer: { proxy: { '/api': { target: 'http://localhost:8080', // 确保与后端端口一致 changeOrigin: true } } } ``` --- ### 五、终极解决方案 ```mermaid graph TD A[接口404] --> B{是否本地开发?} B -->|是| C[检查代理配置] B -->|否| D[检查生产环境Nginx配置] C --> E[确认后端服务已启动] D --> F[检查部署包版本] E --> G[查看后端控制台日志] F --> H[回滚最近部署] ``` 建议将以下信息提供给后端开发人员: 1. 请求的完整 URL(含端口) 2. 请求Headers 截图 3. 后端服务启动日志片段 4. 测试用的 Postman 请求示例
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值