springboot+spring-security+ajax+前后端分离解决Authorization请求头跨域问题

最新推荐文章于 2025-04-03 07:49:10 发布
最新推荐文章于 2025-04-03 07:49:10 发布
阅读量2.2k 收藏 4
点赞数 2
分类专栏: java 文章标签: 跨域 security 前后端分离 token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43834425/article/details/100143815
版权

security+ajax+前后端分离解决Authorization请求头跨域问题

背景

后端采用 springboot+spring-security+oauth2开发
前台采用纯静态页面的形式开发。()
以此做到前后端分离。采用token的形式做无状态登录。为以后业务扩张的分布式扩展做准备。

问题

前后端分离第一个要解决的是跨域问题。为此我再后台起了一个bean

	import org.springframework.context.annotation.Bean;
	import org.springframework.context.annotation.Configuration;
	import org.springframework.web.cors.CorsConfiguration;
	import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
	import org.springframework.web.filter.CorsFilter;

	@Configuration
	public class ConfigurationBeans {

    @Bean
	    public CorsFilter corsFilter() {
	        final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
	        final CorsConfiguration corsConfiguration = new CorsConfiguration();
	        corsConfiguration.addAllowedOrigin("*");
	        corsConfiguration.setAllowCredentials(true);
	        corsConfiguration.addAllowedHeader("*");
	        corsConfiguration.addAllowedMethod("*");
	        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
	        return new CorsFilter(urlBasedCorsConfigurationSource);
	    }
	}

sercurity配置也得加上这段代码

protected void configure(HttpSecurity http) throws Exception {
        http.cors()
                .and()
                .csrf()
                .disable();
        //下面是http其它配置项
}

附上ajax代码

	var data = getData();
	var auth = getToken();
	var returnData = null;
	 $.ajax({
      type: api.type,
      url: webDomain + api.url,
      data: data,
      async: false,
      contentType: false,
      processData: false,
      beforeSend : function(request) {
        request.setRequestHeader("Authorization",auth);
      },
      success: function (result) {
        console.log(2)
        if (result.code == 200) {
          returnData = successFunction(result);
        } else {
          alert(result.msg)
        }
      },
      error: function (jqXHR) {
        console.log(jqXHR)
        alert("发生错误:" + jqXHR.status);
      }
    });
  }

但是除了登录等不需要不需要token的接口,调用其它的接口都一脸懵逼的报找不到token异常,为此,我猜想是跨域配置时,我没有允许Authorization请求头放行。也就是上面这句Java代码配置不对:

	corsConfiguration.addAllowedHeader("*");

我开始尝试重新配置这个addAllowedHeader:

 corsConfiguration.addAllowedHeader("Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,Authorization");
 corsConfiguration.addAllowedHeader("Authorization,*");
 corsConfiguration.addAllowedHeader("*,Authorization");

无一例外,失败了。重新审视一下问题,有没有可能是springsecurity的过滤器链的优先级比这个跨域过滤器的优先级高?
因为前台小弟等着对接,所以没那么多时间去考虑那么多,就采取了一种简单粗暴的形式去解决。来不及去深究真正原因,直接不采用bean的形式去做跨域处理,而采用实现filter的形式,并通过 Integer.MIN_VALUE 指定优先级最高。


import lombok.extern.slf4j.Slf4j;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Enumeration;

@Configuration
@Order(Integer.MIN_VALUE)
@Slf4j
public class CustomCorsFilter implements Filter {

   @Override
   public void destroy() {

   }

   @Override
   public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
           throws IOException, ServletException {

       HttpServletRequest request = (HttpServletRequest) req;
       HttpServletResponse response = (HttpServletResponse) res;
       log.info("Authorization={}",request.getHeader("Authorization"));
       Enumeration<String> es = request.getHeaderNames();
       String s = "";
       while (es.hasMoreElements()){
           s = es.nextElement()+","+s;
       }
       log.info(s);
       response.setHeader("Access-Control-Allow-Origin", "*");
       response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE,PUT");
       response.setHeader("Access-Control-Max-Age", "3600");
       response.setHeader("Access-Control-Allow-Headers", "Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,Authorization");
       chain.doFilter(req, res);

   }

   @Override
   public void init(FilterConfig arg0) throws ServletException {

   }

}
B站云E办Vue+SpringBoot前后端分离项目——搭建vue.js项目(一)
涵盖了计算机专业基础知识、数学建模相关实践、复杂网络论文研究、LeetCode算法刷题经验、C语言开发经验、前端Vue、React框架开发实战相关知识
05-01 2976
前后端之间通过 RESTful API 传递 JSON 数据进行交流。不同于 JSP 之类,后端是不涉及页面本身的内容的。在开发的时候,前端用前端的服务器(Nginx),后端用后端的服务器(Tomcat),当我开发前端内容的时候,可以把前端的请求通过前端服务器转发给后端(称为反向代理),这样就能实时观察结果,并且不需要知道后端怎么实现,而只需要知道接口提供的功能。 一、搭建vue.js项目 1.vue介绍 原生JS虽能实现绝大部分功能,但要么就是过于繁琐,要么就是存在缺陷,故绝大多数开发者都会首选
2、Vue + SpringBoot前后端项目实例
advent86的专栏
12-02 3432
Vue + SpringBoot3 前后端项目实例,SpringSecurity,Redis,MyBatis分页,文件下载,文件上传
authorization 传 就_将Token添加到请求头Heade
weixin_39992072的博客
12-19 2322
概述在使用JSON Web Token作为单点登录的验证媒介时,为保证安全性,建议将JWT的信息存放在HTTP的请求头中,并使用https对请求链接进行加密传输,效果如下图所示:问题1.由于项目是前后端分离的,不可避免的就产生了问题,导致Authorization始终无法添加到请求头中去,出现的请求如下图所示:原因:理论请看这篇文章:(点这里),简单来说就是,当在进行请求的时候,如图自定义...
SpringSecurity前后端分离Header中添加Authorization的设置以及问题踩坑记录
qq_61887118的博客
05-01 6700
OPTIONS请求即为预检请求,用于判断后端服务是否能接受OPTIONS请求,注意这个请求是没有Auh字段的。OPTIONS请求失败,我全局配置的CORS应该是晚于自定义的handler,所以出现了即使CORS配置了OPTIONS操作的许可,还是出现问题了。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为 “预检” 请求(preflight)。由于我向请求头中添加了自定义的属性,所以发送请求时就属于非简单请求。的方法为执行,所以造成了问题,即使自己已经全局配置了
SpringBoot中6种请求解决方案
最新发布
风象南的专栏
04-03 1557
在Web开发中,浏览器的同源策略(Same-Origin Policy)是一项重要的安全机制,它限制了一个源(Origin)中加载的文档或脚本如何与另一个源的资源进行交互。所谓同源,指的是协议、名和端口号都相同。当前端应用试图请求与自身不同源的后端API时,就会遇到问题。例如,当的前端应用尝试访问资源共享(CORS,Cross-Origin Resource Sharing)是一种标准机制,允许服务器声明哪些源可以访问其资源。
authorization 传 就_“与jquery.ajax Authorization'头()
weixin_39862985的博客
12-19 192
I'm trying to send a cross-origin domain and adding a custom 'Authorization'-header.Please see the code below.Error:XMLHttpRequest cannot load {url}. Request header field Authorization is not allowed ...
springboot多种方式
xdkprosperous的博客
03-20 387
方式一:通过在webMvcConfigurer配置,但是当有拦截器的时候,无法对拦截器进行处理。 package com.fx110.api.site.aspect; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.an...
authorization 传 就_请求-JWT认证将token添加到Authorization
weixin_28844235的博客
01-12 1061
请求-JWT认证将token添加到Authorization后端增加代码:header('Access-Control-Allow-Origin:header('Access-Control-Allow-Headers:Origin,X-Requested-With,Content-Type,Accept,Authorization');header('Access-Control-Allow...
Spring Boot+Vue+Spring Security OAuth2的前后端分离项目实现研究
icarusliu的专栏
05-09 1万+
业余在开发一个Spring Boot+Vue+Spring Security OAuth2的一个前后端分离项目,其中遇到不少如、OPTIONS请求处理、PreAuthorize注解无效、Token失效处理等问题,记录如下。 在此项目中,资源服务与授权服务在同一应用中,使用端口8081;前端应用使用端口8080。前端使用axios进行ajax调用。 关于Spring Security OAuth...
sping cloud gateway集成spring security实现前后端分离模式下的后端微服务认证授权
热门推荐
MongolianWolf的专栏
06-30 4万+
# 引言   由于目前网上大部分spring security的集成都是基于传统的spring servlet机制,而spring cloud gateway 采用webflux作为底层web技术支持,不支持servlet,笔者在集成的过程中走了很多弯路,所以特地写一篇spring cloud gateway和security的集成实践博客,如有错误,欢迎指正。 Spring Security  ...
记录一次SpringBoot的踩坑经历——SpringSecurity解决方案(/oauth/token 401)
Harrison
04-23 2894
项目场景: 目前在重构一个导购后端系统,我负责用户的模块和登录鉴权的整个业务的架构设计和代码编写 利用SpringBoot + SpringSecurity + Oauth2完成了简单的登录和鉴权 登录功能:首先需要调用/oauth/token接口,根据用户名密码获取toke,拿到token后将token放入请求头Header中再去请求其它接口。 接口开发完成并使用Postman测试通过,再由前端去画页面联调接口。 问题描述: 问题就出现在了前端接口联调这里,前端是用Vue完成的,安装好Node
实现用户鉴权
06-13
(需要BASS和console)
ajax添加tokenAuthorization请求问题
qq_40010745的博客
07-03 2130
package com.zrgk.yfs.framework.config; import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cor.
前后端分离SpringSecurity问题解决方案(亲测可用)
Code_Guan的博客
12-06 1850
SpringBoot使用SpringSecurity问题解决方案,亲测可用
angular+springboot前后端分离无法获取返回response头中的Authorization
a391557355的博客
11-21 3204
问题描述:项目前后端分离时,因为使用到jwt需要将jwt设置到Authorization中,页面也可以显示Authorization。但是angular无法获取到。 解决办法: 后台服务器解决的地方添加设置: config.addExposedHeader("Authorization"); 后台完整代码: // cors资源共享过滤器 @Bean public Cor...
laravel5.8开启解决鉴权信息在Authorization
l2x1314258的博客
06-21 582
# 生成Cross中间件 php artisan make:middleware EnableCrossRequestMiddleware # 修改http/middleware/EnableCrossRequestMiddleware public function handle($request, Closure $next) { header('Content-Type: text/html;charset=utf-8'); header('Access-Control-
corsFilter java ajax解决认证(Authorization问题
Larry的博客
06-15 5794
corsFilter java ajax解决认证(Authorization问题 一开始就搞错了方向,想要直接在客户端去解决问题,及jsp或者html中,其实应该从服务端入手,客户端不需要修改任何东西。 所谓的就是希望客户端能够调用与本地不同的ip或者同一个ip不同的端口或者是不同的名。 用的是corsFilter,apachetomcat已经对这个过滤器以及使用方法做了详细的说
authorization 传 就_corsFilter java ajax解决认证(Authorization问题
weixin_39561179的博客
12-19 760
这两天被问题搞得心力交瘁,好在最终解决了。一开始就搞错了方向,想要直接在客户端去解决问题,及jsp或者html中,其实应该从服务端入手,客户端不需要修改任何东西。所谓的就是希望客户端能够调用与本地不同的ip或者同一个ip不同的端口或者是不同的名。用的是corsFilter,apachetomcat已经对这个过滤器以及使用方法做了详细的说明,地址是:https://tomcat.apac...
React学习笔记_利用cors实现ajax_Tomcat 获取Authorization
架构师的成长之路的博客
12-01 1102
js访问得到 headers 中的Authorization更多干货React 入门实战(干货)分布式实战(干货)spring cloud 实战(干货)mybatis 实战(干货)spring boot 实战(干货)构建中小型互联网企业架构(干货)1. js 代码const authorization = () =&gt; { const user = loginUser(); ...
前后端分离 单点登陆 springboot
01-09
### 单点登录(Single Sign-On, SSO)概述 在前后端分离架构中,单点登录允许用户在一个地方完成认证后能够无缝访问多个相互信任的服务。这不仅提升了用户体验还简化了安全管理和身份验证流程[^3]。 ### 使用Spring Boot与JWT实现SSO的关键要素 为了实现在基于Spring Boot的微服务环境中有效的单点登录机制,通常会采用JSON Web Token (JWT)作为令牌标准来传递经过加密签名的身份信息给前端应用。这种方式可以确保请求的安全性和效率。 #### 配置OAuth2 Server 创建一个专门负责处理认证逻辑的服务实例,该实例需配置为OAuth2授权服务器并支持多种grant types以便适应不同场景下的需求: ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("client-id") .secret("{noop}secret") .authorizedGrantTypes("authorization_code", "refresh_token", "password") .scopes("read", "write"); } } ``` 此段代码定义了一个内存中的客户端详情存储器,并指定了所使用的授权模式及其对应的范围权限。 #### JWT Token Enhancer 为了让生成出来的token携带更多自定义的信息,可以通过扩展`JwtAccessTokenConverter`类来自定义Token增强处理器: ```java @Component public class CustomTokenEnhancer implements TokenEnhancer { private final JwtAccessTokenConverter accessTokenConverter; public CustomTokenEnhancer(JwtAccessTokenConverter accessTokenConverter){ this.accessTokenConverter = accessTokenConverter; } @Override public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) { Map<String,Object> additionalInfo = new HashMap<>(); // Add custom claims here... ((DefaultOAuth2AccessToken)accessToken).setAdditionalInformation(additionalInfo); return accessToken; } } ``` 这段Java代码展示了如何通过继承`TokenEnhancer`接口向已有的access token添加额外的数据字段。 #### 客户端资源保护 对于每一个受保护的应用程序来说,都需要设置相应的Security Configurations以拦截未经许可的HTTP请求。这里展示的是其中一个可能的例子——Resource Server Configuration: ```java @Configuration @EnableResourceServer public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter { @Value("${security.oauth2.resource.jwt.key-uri}") private String keyUri; @Bean public RemoteTokenServices remoteTokenService() { RemoteTokenServices service = new RemoteTokenServices(); service.setCheckTokenEndpointUrl(keyUri+"/oauth/check_token"); return service; } @Override public void configure(HttpSecurity http) throws Exception { http.authorizeRequests().antMatchers("/api/**").authenticated(); } } ``` 上述配置使得只有持有有效Access Token才能成功调用API接口;同时利用RemoteTokenServices组件去远程校验传入的token合法性。 #### 前端集成 当涉及到实际开发时,前端应用程序应当能够在首次加载页面之前先尝试获取当前用户的登录状态。如果发现未处于登录状态下,则重定向至统一入口进行身份验证过程。一旦获得合法凭证(即JWT),则将其保存到本地浏览器缓存或sessionStorage内供后续API交互使用。 ```javascript axios.interceptors.request.use( config => { const token = localStorage.getItem('jwt'); if(token){ config.headers['Authorization'] = `Bearer ${token}`; } return config; }, error => Promise.reject(error) ); // 登录函数示例 function login(username,password){ axios.post('/auth/login', { username, password }) .then(response=>{ const jwt=response.data.token; localStorage.setItem('jwt',jwt); }); } ``` 以上JavaScript片段说明了怎样自动附加Authorization header于每次发出AJAX请求前,并提供了一种简单的模拟登录方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我的孤独与美酒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值