前后端分离Shiro + springboot跨域问题

前后端分离Shiro + springboot跨域问题

    • 问题- 修改请求头后请求两次:
    • 解决办法-跳过检测请求:

  1. 前后端分离项目 前端VUE 后台 springboot+shiro+mybatis

问题- 修改请求头后请求两次:

请求携带请求头后 VUE发送请求两次 , 第一次OPTIONS检测服务器状态后 , 再发送正常请求, 此时 shiro 会拦截不再白名单中的URI 的 OPTIONS请求 ,当浏览器发送OPTIONS请求的时候是没有请求头的 , 此时验证失败,跳转登录页,但属于前后台分离项目 ,跨域拦截器还没有生效,so! 出现跨域问题。

解决办法-跳过检测请求:

重写 org.apache.shiro.web.filter.authc.UserFilter 的preHandle

贴代码

package com.hiynn.cms.common.shiro;

import org.apache.shiro.web.filter.authc.UserFilter;
import org.springframework.http.HttpMethod;
import org.springframework.http.HttpStatus;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 解决前后端分离 OPTIONS 请求 被拦截的问题
 * 

* 重写 shiro 的 UserFilter 过滤器 OPTIONS 请求 返回成功 并设置跨域 * * @author 张朋 * @email [email protected] * @date 2019/11/5 18:27 */ public class ShiroUserFilter extends UserFilter { /** * 在访问过来的时候检测是否为OPTIONS请求,如果是就直接返回true */ @Override protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception { HttpServletRequest httpRequest = (HttpServletRequest) request; // 如果是 OPTIONS 请求 直接返回成功 并设置跨域 if (httpRequest.getMethod().equals(HttpMethod.OPTIONS.name())) { //设置跨域 setHeader((HttpServletResponse) response); return true; } return super.preHandle(request, response); } /** * 该方法会在验证失败后调用,这里由于是前后端分离,后台不控制页面跳转 因此重写改成传输JSON数据 捕获了全局异常所以暂时不用 */ // @Override // protected void saveRequestAndRedirectToLogin(ServletRequest request, ServletResponse response) throws IOException { // saveRequest(request); // setHeader((HttpServletResponse) response); // PrintWriter out = response.getWriter(); // //自己控制返回的json数据 // out.println(JSON.toJSONString(Result.error(HCMSConstants.ResultCode.NOT_LOGIN, HCMSConstants.ResultMessage.NOT_LOGIN))); // out.flush(); // out.close(); // } private void setHeader(HttpServletResponse httpResponse) { httpResponse.setHeader("Access-Control-Allow-Origin", "*"); httpResponse.setHeader("Access-Control-Allow-Headers", "*"); httpResponse.setHeader("Access-Control-Allow-Methods", "*"); httpResponse.setHeader("Access-Control-Allow-Credentials", "true"); httpResponse.setHeader("Access-Control-Max-Age", "3600"); //防止乱码,适用于传输JSON数据 httpResponse.setHeader("Content-Type", "application/json;charset=UTF-8"); httpResponse.setStatus(HttpStatus.OK.value()); } }

重写后需要再 shiro 配置中进行注册
其他配置就不写了 重点是shiroFilter Bean 的写法 @Order(205) 是控制 配置类中 Bean的加载顺序

@Bean
    @Order(205)
    public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) {

        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        // 前后端分离 未登录 跳转到 控制器来返回JSON
        shiroFilterFactoryBean.setLoginUrl("/sys/user/unauth");
        Map filters = shiroFilterFactoryBean.getFilters();
        // 注意这里不要用Bean的方式,否则会报错
        filters.put("authc", new ShiroUserFilter());
        shiroFilterFactoryBean.setFilters(filters);
        
        // 一定要采用链表Map 有序的特性 来配置
        Map shiroFilterMap = new LinkedHashMap<>();
        // --- 跳过一些控制器API接口
        // 登录
        shiroFilterMap.put("/sys/user/login", "anon");
        // 退出登录
        shiroFilterMap.put("/sys/user/logout", "anon");
        // 首页
        shiroFilterMap.put("/", "anon");
        // ...

        // ---swagger配置
        shiroFilterMap.put("/swagger-ui.html", "anon");
        shiroFilterMap.put("/swagger-resources/**", "anon");
        shiroFilterMap.put("/v2/api-docs/**", "anon");
        shiroFilterMap.put("/webjars/springfox-swagger-ui/**", "anon");
        // ...

        // --- 静态文件资源
        shiroFilterMap.put("/**.jpg", "anon");
        shiroFilterMap.put("/**.png", "anon");
        shiroFilterMap.put("/**.gif", "anon");
        shiroFilterMap.put("/**.jpeg", "anon");
        shiroFilterMap.put("/**.js", "anon");
        shiroFilterMap.put("/**.css", "anon");
        shiroFilterMap.put("/**.html", "anon");
        // ...

        // 以上之外的所有请求进行验证 注意配置顺序
        shiroFilterMap.put("/**", "authc");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(shiroFilterMap);

        return shiroFilterFactoryBean;
    }

测试 VUE 在修改请求头的情况下 会先发送一次OPTIOS 请求检测返回200 后 第二次 正常携带请求头与参数,问题解决。

你可能感兴趣的:(前后端分离Shiro + springboot跨域问题)