shiro为何获取不到请求头中的token值

最新推荐文章于 2022-11-07 18:03:20 发布
最新推荐文章于 2022-11-07 18:03:20 发布
阅读量3.5k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: token 文章标签: shiro token 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43999127/article/details/95990498
本文探讨了跨域问题及如何影响Shiro权限控制管理获取Header中的Token值,并提供了解决方案,即通过增加过滤器来放行OPTIONS请求。

先简单介绍一下跨域是什么?
在开发中前后端并不在一个端口下,必然涉及到跨域:
XMLHttpRequest会遵守同源策略(same-origin policy). 也即脚本只能访问相同协议/相同主机名/相同端口的资源, 如果要突破这个限制, 那就是所谓的跨域, 此时需要遵守CORS(Cross-Origin Resource Sharing)机制。
解决跨域问题的方法网上有很多,这里就不给方法了。

关键的问题来了,为什么shiro权限控制管理获取不到header中的token值。我们都知道shiro权限控制管理一般都是通过判断请求头中的token来进行认证授权的。
然而在前后端分离项目中,由于跨域,会导致复杂请求,即会发送预检请求(preflighted request),这样会导致在GET/POST等请求之前会先发一个OPTIONS请求,但OPTIONS请求并不带shiro的’Authorization’字段(shiro的Session),即OPTIONS请求不能通过shiro验证,会返回未认证的信息。
当后台没有接收到token值时,开始认为可能是token没有放入headers中,然后当我们将请求的shiro拦截打开后,会发现后台会获取到token值。所以可以判断token值已经放入请求头中。

解决方法:给shiro增加一个过滤器,过滤OPTIONS请求
public class xxx extends FormAuthenticationFilter {
@Override
public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
//Always return true if the request’s method is OPTIONS
if (request instanceof HttpServletRequest) {
if (((HttpServletRequest) request).getMethod().toUpperCase().equals(“OPTIONS”)) {
return true;
}
}
return false;
}
}

SpringBoot+Shiro后端无法获取到Header里面的Token问题
relosy的博客
06-02 2251
最近在做一个后台用Spring boot、Shiro、Mybatis plus 前台用React的项目.前端调完登录接口后。在调后台接口的时候需要在浏览器中的headers头中添加token,后台有一个过滤器,获取到headers中的token并去验证token是否在有效期内,在进行其他操作,在这个过程中,shiro的过滤器中一直接收不到token,并且前端会报问题。 之前在写的时候一直用的postman测试,也没有遇到问题,其实是因为Postman本身就没有问题。前后端联调时就遇到了.
Shiro过滤器导致的前端
沐晨的博客
04-19 1501
问题背景 公司项目是前后端分离的,最近要求在请求时都要在请求头加入自定义的 token,在做接口调试时,前端总是请求不通,然而自己用 POSTMAN 等工具时都可以,这就出现了问题,也就是 复杂请求 的问题。 问题分析 部分文段摘自 资源共享 CORS 详解 复杂请求 浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple req...
springboot,shiroCORS请求,拿不到headers中的token解决
m0_67402774的博客
08-25 1736
最近在做一个后台用Spring boot、Shiro、Mybatis plus 、Oauth2,前台用layui的项目.前端在调后台接口的时候需要在浏览器中的headers头中添加token和userId的(根据业务不同可能传不一样),后台有一个过滤器,获取到headers中的token和userId,并去验证token是否在有效期内,在进行其他操作,在这个过程中,shiro的过滤器中一直接收不到token和userId的,并且前端会报问题。所以我们要做的就是把所有的OPTIONS请求统统放行。
shiro - 使用 token
bhegi_seg的博客
03-28 1344
整合文章: 为什么使用token?session与token的区别 shiro使用(使用token预热,为什么要使用token) shiro使用(使用token) 文章目录 一、session的状态保持及弊端 二、token认证机制 Apache Shiro 用户信息保存在 Session 方案 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时, 服务器会验证用户数据, 验证成功后在服务器端写入session数据, 向客户端浏览器返回sessionid,.
后台获取不到请求头token信息的解决方法
weixin_45151960的博客
11-03 9629
项目要做单点登录功能,于是在shiro的基础上加入了自定义的Filter,使用JWT自定义生成和校验token信息。功能写好后自己在postman中测试了效果,将token放在Headers中请求后台接口(如下图,还没发现问题),结果是测试成功开心的告诉前端可以对接了。过了一会,前端说接口一直返回token为空的错误信息。然后我就开始debug测试,发现前端发来请求头中确实没有找到token,但是Network。
在springboot中使用JWT自定义生成Token信息,接口请求时校验Token(在Shiro基础上)
weixin_45151960的博客
11-07 2019
项目原有使用的是springboot+shiro的环境,后来由于应用要与OA对接单点登录,所以在原有基础上,修改成使用JWT自定义生成token信息和校验token功能。1、创建类/**/*** @Description: 校验token信息* @Returni ++) {//有储存token的cookie token = cookies [ i ] . getValue();break;} //验证token的真实性 try {
springboot整和jwt、shiro、redis实现token自动刷新
08-19
此外,还需要编写一个TokenFilter,这个过滤器会在每次请求时检查请求头中的JWT,如果发现Token即将过期,就调用刷新接口获取新的Token。这个过程应该设计为无感知的,即用户在正常使用应用时,后台自动完成Token的...
Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案.zip
02-04
本方案主要涉及Spring Boot、Apache Shiro、JSON Web Token (JWT)、Redis以及Mybatis等技术,它们共同构建了一个高效且灵活的身份验证和令牌刷新机制。下面我们将深入探讨这个方案的各个组件及其作用。 首先,...
shiro登陆后没有返回设置的successUrl
weihuiming
09-18 5131
iframe的页面,shiro登陆后没有返回设置的successUrl
Shiro doGetAuthenticationInfo方法登录获取不到正确的权限
wjzhang5514的博客
06-25 1万+
前提: Shiro的认证依赖AuthenticatingRealm里的getAuthenticationInfo方法,该方法会调用我们自定义的认证方法doGetAuthenticationInfo获取本次认证的结果,如下: public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken ...
springboot整合shiro无法获取当前用户session中为null
web18484626332的博客
04-08 1329
maven包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.3</version> </dependency> 实现AuthorizingRealm接口 //校验权限
后端接收不到前端传入的header参数信息
~~~~~~~BUG FLY~~~~~~~~~
04-14 9187
问题描述: 在局网下,前端页面请求时在请求头里携带token信息,后台获取不到header里的token参数 String token = request.getHeader("accessToken"); if (!StringUtil.hasText(token)) { token = request.getParameter("accessToken"); } ... 原因分析: debug查看了下返回的request参数 host = 172.16.115.198:8080 conn
shiro后端接收不到数据
p4d的博客
07-18 857
1.出现后台接受不到数据 也许是出了302 看了下以下文章    302定义 302 redirect: 302 代表暂时性转移(Temporarily Moved )。 意思就是你访问网址A,但是网址A因为服务器端的拦截器或者其他后端代码处理的原因,会被重定向到网址B。 解决方法 我这里出现302错误的原因是由于我的后端代码写了拦截器Filter,当从网站A访问带有某关键词路径的接口时...
swagger文档页面添加token请求头
hydy的博客
03-25 5021
使用swagger-ui的过程中,swagger页面调用的时候会统一在header里面加入输入token参数的位置 1. 在pom中加入依赖 <properties> <maven.compile.source>1.8</maven.compile.source> <maven.compile.target>1.8</maven.compile.target> <project.buil
Shiro请求头获取sessionId以及rememberMe信息
热门推荐
_好好学习的博客
01-30 1万+
默认情况,Shiro会把sessionId或rememberMe放入cookie中,每次请求会在cookie中获取,但在前后端分离下,请求会导致cookie保存失败,本人介绍把sessionId或rememberMe放入request header中,兼容PC、App以及移动端浏览器。
Shiro JWT shiro自定义filter实现前置拦截获取header中的token,并且放行登录和注册接口
Falser101的博客
09-06 2140
1.自定义filter @Slf4j public class ShiroFilter extends FormAuthenticationFilter { @Autowired(required = false) private RedisUtils redisUtils; @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Objec
java清除shiro里的token_shiro 获取当前用户token
weixin_30527151的博客
02-25 870
//获取当前登录用户的用户名AppSecurityUtils.obtainLoginedUsername()//获取当前用户tokenAppSecurityUtils.obtainAccessToken()AppSecurityUtils.javaimport org.apache.shiro.subject.Subject;/*** @author yangty**/public class A...
如何放开Shiro对OPTIONS请求的拦截
bhegi_seg的博客
04-12 557
如何放开Shiro对OPTIONS请求的拦截 最近出现前台访问后端接口预请求,返回302重定向到shiro登录地址的bug。定位好久后发现是OPTIONS请求的时候没有带token,导致shiro认为是未登录状态,然后重定向到登录地址。所以我们现在的解决方法就是放开shiro对所有OPTIONS的拦截。 首先确定后端是否配置好,允许所有请求方式访问。然后建立ShiroUserFilter。 package com.jokerliu.config.shiro; import com.jokerli
那我只在shiro项目中,只想根据token获取权限,怎么做
最新发布
03-22
首先,用户之前的提问是关于为什么仅携带Token不带Cookie无法访问权限,现在他们想知道在Shiro中如何配置才能仅依赖Token进行权限控制。这说明用户可能在开发一个基于Token认证的应用,比如前后端分离的项目,需要无...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值