前端请求进入后端,异常捕获返回结果后前端却显示跨域

1、前言

  后端是 Springboot 项目,通过自定义拦截器进行 token 校验,校验不通过则抛出异常让全局捕获异常返回。自认为逻辑相当合理,且 postman 都已测试过没问题。
  然后问题来了,前端通过 ajax 请求,request 到了后端校验进行 token 校验,抛出了自定义 Token 校验异常后被捕获返回了结果,该请求肆虐了后端这些步骤后返回,但是前端却显示跨域。

Access to XMLHttpRequest at ‘http://192.168.129.155:9999/affairs/api/commons/locker/check’ from origin ‘http://jsrun.net’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the requested resource.

  而后端已经进行了跨域的处理,通过 @CrossOrigin(allowCredentials = “true”) 添加到 BaseController 上。

注: postman 或浏览器直接访问目标地址不是跨域问题。跨域问题是存在两个站点间的调用。

2、代码

2.1 token 拦截器
/**
 * Token 拦截器
 * @author pkyShare
 */
@Slf4j
public class TokenInterceptor implements HandlerInterceptor {

    @Autowired
    YunBasicApiService yunBasicApiService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws Exception {
        // 从 http 请求头中取出 token
        String token = request.getHeader("token");
        // 如果不是映射到方法直接通过
        if (!(object instanceof HandlerMethod)) {
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod) object;
        Method method = handlerMethod.getMethod();
        // 检查用户权限的注解(带有 @CheckToken 注解的地址都会进行 token 校验)
        if (method.isAnnotationPresent(CheckToken.class)) {
            CheckToken checkToken = method.getAnnotation(CheckToken.class);
            if (checkToken.required()) {
                return checkToken(request, response, token);
            }
        }
        return true;
    }

    /**
     * 校验 token
     * @param request 请求
     * @param token 令牌
     * @return 校验结果,true/通过;false/不通过
     * @throws Exception 可能出现的异常
     */
    private boolean checkToken(HttpServletRequest request, String token) throws Exception {
        // 执行认证
        if (StringUtils.isBlank(token)) {
            log.error(request.getContextPath() + ":token为空");
            throw new TokenException();
        }
        // 基础平台获取用户信息
        UserInfo userInfo = yunBasicApiService.getUserInfo(token);
        if(userInfo == null || StringUtils.isBlank(userInfo.getUserId())) {
            log.error(request.getContextPath() + ":token认证失败:" + token);
            throw new TokenException();
        }
        request.setAttribute("userInfo", userInfo);
        return true;
    }
}
2.2 自定义 token 校验注解
/**
 * 自定义 Token 校验注解
 * @author pkyShare
 */
@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface CheckToken {
    boolean required() default true;
}
2.3 拦截器配置

/**
 * 拦截器路径配置
 * @author pky
 */
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    /**
     * 配置拦截路径
     * @param registry 拦截器参考
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // token 拦截所有请求,通过判断是否有 @CheckToken 注解 决定是否需要校验
        registry.addInterceptor(tokenInterceptor()).addPathPatterns("/**");
    }

    /**
     * token 拦截器注入
     * @return Token 拦截器
     */
    @Bean
    public TokenInterceptor tokenInterceptor() {
        return new TokenInterceptor();
    }
}
2.4 自定义 Token 校验异常
/**
 * 自定义 Token 校验异常
 * @author pkysHARE
 */
public class TokenException extends Exception {

    private static final long serialVersionUID = 845941496134964616L;

    public TokenException() {
        super("Token 无法认证");
    }
}
2.5 全局捕获异常
/**
 * 全局异常捕捉
 * @author pkyShare
 */
@ControllerAdvice
public class GlobalExceptionHandler {

    /**
     * 捕获自定义访问异常处理
     * @param e Token 认证异常
     * @return 错误响应结果
     */
    @ExceptionHandler(TokenException.class)
    public ResponseEntity<Map<String, Object>> tokenException(TokenException e) {
        e.printStackTrace();
        Map<String, Object> map = setResultMap(401, "token 认证失败");
        return new ResponseEntity<>(map, HttpStatus.UNAUTHORIZED);
    }

    /**
     * 捕获全局异常
     * @param e 全局异常
     * @return 错误响应结果
     */
    @ExceptionHandler(Exception.class)
    public ResponseEntity<Map<String, Object>> globalException(Exception e) {
        Map<String, Object> map = setResultMap(500, "服务器异常,请联系管理员:" + e.getMessage());
        e.printStackTrace();
        return new ResponseEntity<>(map, HttpStatus.INTERNAL_SERVER_ERROR);
    }

    /**
     * 设置返回状态码和信息
     * @param code 状态码
     * @param msg  信息
     * @return 错误响应结果
     */
    private Map<String, Object> setResultMap(Integer code, Object msg) {
        Map<String, Object> map = new HashMap<>(16);
        map.put("code", code);
        map.put("msg", msg);
        return map;
    }
}
2.6 Controller
/**
 * 锁控控制器
 * @author pkyShare
 */
@RestController
@RequestMapping(value = "commons/locker")
public class LockerController extends AbstractBaseController {

    @Autowired
    YunBasicApiService yunBasicApiService;

    /**
     * 校验锁控
     * @return BaseResult 通用返回结果
     * @throws Exception 除了自定义异常外,其他一般都为代码错误导致的
     */
    @GetMapping(value = "check")
    @CheckToken
    public BaseResult checkLock() throws Exception {
        return success(yunBasicApiService.checkLocker());
    }
}

3、尝试并解决

3.1 查询资料

  网上查看资料,后端处理很多都说是设置响应头如下:

response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));

  还有在上述代码中的 InterceptorConfig 里重写 WebMvcConfigurer 接口里的 addCorsMappings 方法,如下

@Override
public void addCorsMappings(CorsRegistry registry) {
	registry.addMapping("/**")// 允许跨域访问的路径
	.allowedOrigins("*")// 允许跨域访问的源
	.allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")// 允许请求方法
	.maxAge(168000)// 预检间隔时间
	.allowedHeaders("*")// 允许头部设置
	.allowCredentials(true);// 是否发送cookie
}

   然而上述方法都无效。

3.2 猜想并测试

  无法解决后,我就用正确的 token 测试,结果是成功的。然后再次用错误的 token 测试,还是出现一开始的问题。我就想,都是通过拦截器进行校验,正确的返回 true,错误的一般情况下返回 false,而我这里是抛出异常进行全局捕获后返回结果。那会不会是在拦截器抛出异常出现的问题呢?

  然后则修改上述代码中的 TokenInterceptor 拦截器的校验token的方法,改为:不抛异常,校验失败返回 false,然后直接返回 response,在 response 里设置 Access-Control-Allow-Origin,如下:

 /**
     * 校验 token
     * @param request 请求
     * @param token 令牌
     * @return 校验结果,true/通过;false/不通过
     * @throws Exception 可能出现的异常
     */
    private boolean checkToken(HttpServletRequest request, HttpServletResponse response, String token) throws Exception {
        // ----  避免前端出现无法获取返回结果的情况,以下校验不通过不进行抛出异常,直接设置返回 ---- //
        // 执行认证
        if (StringUtils.isBlank(token)) {
            log.error(request.getContextPath() + ":token为空");
            setResultJson(response, "token 不可为空");
            return false;
        }
        // 基础平台获取用户信息
        UserInfo userInfo = yunBasicApiService.getUserInfo(token);
        if(userInfo == null || StringUtils.isBlank(userInfo.getUserId())) {
            log.error(request.getContextPath() + ":token认证失败:" + token);
            setResultJson(response, "token 认证失败");
            return false;
        }
        request.setAttribute("userInfo", userInfo);
        return true;
    }

    /**
     * 设置响应json数据
     * @param response 响应
     * @param msg 返回说明
     * @throws Exception 可能出现的异常
     */
    private void setResultJson(HttpServletResponse response, String msg) throws Exception {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json;charset=utf-8");
        response.setStatus(HttpStatus.UNAUTHORIZED.value());
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        PrintWriter writer = response.getWriter();
        JSONObject resultJson = new JSONObject();
        resultJson.put("code", 401);
        resultJson.put("msg", msg);
        writer.append(resultJson.toJSONString());

  这样就成功了

4、待解决

  至于原来的方式无法解决跨域,并不是无法解决。无需经过 token 拦截器的 API 就可以解决,经过 token 拦截器且校验失败的则不行

  我猜想是因为拦截器中抛出异常,全局捕获后返回的结果在两个域间出现了问题。但具体为啥会这样,还有待研究。

你可能感兴趣的:(常见问题,后端,前端,java)