springBoot跨域解決

原創 喝酒敲代码 2020-02-22 08:57

首先配置允許跨域

@Configuration
public class CorsConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowCredentials(true)
                .allowedMethods("GET", "POST", "DELETE", "PUT")
                .maxAge(3600);
    }
}

因項目需對用戶校驗,因此配置了過濾器,
然後出現問題:

  **1.過濾器攔截後,頁面提示沒有跨域
  2.在過濾器配置跨域後,返回responsebody是空的**

代碼如下:


import com.fasterxml.jackson.databind.ObjectMapper;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.ApplicationContext;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.http.HttpStatus;
import org.springframework.stereotype.Component;
import org.springframework.web.context.support.WebApplicationContextUtils;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Slf4j
@Component
@WebFilter(filterName = "sessionFilter", urlPatterns = {"/*"})
public class SessionFilter implements Filter {

    @Value("${manage.session.timeout}")
    private long timeout;

    private final ObjectMapper mapper = new ObjectMapper();

    //不需要登錄就可以訪問的路徑(比如:註冊登錄等)
    String[] includeUrls = new String[]{
            "/web-manage/su/submitLogin", "/su/submitLogin"};

    /**
     * 登錄校驗
     *
     * @param servletRequest
     * @param servletResponse
     * @param filterChain
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
                         FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        log.info("Headers:{}", response.getHeader("Access-Control-Request-Headers"));
        //String origin = request.getHeader("Origin");
        //if (origin == null) {
        //    origin = request.getHeader("Referer");
        //}
         //response.setHeader("Access-Control-Allow-Origin", origin);
        //使用通配符responseBody是空的!放開上段代碼後項目正常
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "*");
        response.setHeader("Access-Control-Allow-Headers", "Content-Type,Access-Token");
        response.setHeader("Access-Control-Expose-Headers", "*");
        String uri = request.getRequestURI();
        String jsessionId = "";

        log.info("uri :{}, request.getContentType(): {}", uri, request.getContentType());
        //是否需要過濾
        boolean needFilter = isNeedFilter(uri, includeUrls);
        if (!needFilter) {
            //不需要過濾直接傳給下一個過濾器
            filterChain.doFilter(servletRequest, servletResponse);
        } else {
            Cookie[] cookies = request.getCookies();
            if (cookies == null || cookies.length == 0) {
                cookieNoJessionid(response);
            } else {
                for (Cookie cookie : cookies) {
                    if (CommonConstant.JSESSIONID.equals(cookie.getName())) {
                        jsessionId = cookie.getValue();
                        break;
                    }
                }

                log.info("ContentType:" + request.getContentType());


                if (request.getMethod().equals("OPTIONS")) {
                    response.setStatus(HttpStatus.OK.value());
                    return;
                }

                RequestWrapper requestWrapper = null;
                if (request instanceof HttpServletRequest) {
                    if ("POST".equals(request.getMethod().toUpperCase())
                            && request.getContentType() != null
                            && request.getContentType().contains("application/json")) {
                        requestWrapper = new RequestWrapper(request);
                    }
                }

                judgeLogin(jsessionId, response, request, requestWrapper, filterChain);
            }
        }
    }


    /**
     * 判斷是否已登錄
     *
     * @param jsessionId
     * @param response
     * @param request
     * @param requestWrapper
     * @param filterChain
     * @throws IOException
     * @throws ServletException
     */
    private void judgeLogin(String jsessionId, HttpServletResponse response, HttpServletRequest request,
                            RequestWrapper requestWrapper, FilterChain filterChain) throws IOException, ServletException {
        // 判斷 jsessionId 是否爲空
        if (StringUtils.isBlank(jsessionId)) {
            cookieNoJessionid(response);
        } else {
            // 獲取ValueOperations bean
            ServletContext context = request.getServletContext();
            ApplicationContext ctx = WebApplicationContextUtils.getWebApplicationContext(context);
            ValueOperations valueOperations = (ValueOperations) ctx.getBean("valueOperations");

            // 獲取用戶信息
            String userBoStr = (String) valueOperations.get(RedisConstant.REDIS_LOGIN + jsessionId);
            SysUserBo sysUserBo = mapper.readValue(userBoStr, SysUserBo.class);
            if (sysUserBo != null) {
                filterChain.doFilter(request == null ? requestWrapper : request, response);
            } else {
                // 返回登錄超時提醒
                response.setContentType("application/json");
                response.setCharacterEncoding("UTF-8");
                response.setStatus(HttpStatus.UNAUTHORIZED.value());
                response.getWriter().write(this.mapper.writeValueAsString(ResultUtil.errorResult(
                        ExceptionEnum.ERROR_PARAMETERS.getCode(), "jsessionid 登錄超時")));
            }
        }
    }

    /**
     * cookie 無jsessionid
     * @param response
     * @throws IOException
     */
    private void cookieNoJessionid(HttpServletResponse response) throws IOException {
        response.setContentType("application/json");
        response.setCharacterEncoding("UTF-8");
        response.setStatus(HttpStatus.UNAUTHORIZED.value());
        response.getWriter().write(this.mapper.writeValueAsString(ResultUtil.errorResult(
                ExceptionEnum.ERROR_PARAMETERS.getCode(),
                "jsessionid 爲空!")));
    }

    /**
     * @param uri
     * @Description: 是否需要過濾
     */
    public boolean isNeedFilter(String uri, String[] includeUrls) {
        for (String includeUrl : includeUrls) {
            if (includeUrl.equals(uri)) {
                return false;
            }
        }

        return true;
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void destroy() {

    }
}

百度一波,給出的解釋是:
出自:https://www.cnblogs.com/nopnog/articles/9133115.html
Access-Control-Allow-Origin 的正確玩法
  前端發起的跨域請求需要適當地響應 Access-Control-Allow-Origin 頭。但是這個頭目前並不支持部分通配符,無法匹配某個域名下的子域。直接使用星號又可能帶來各種問題。更坑爹的是它還不支持設置多個值。那麼如果一個後端程序用於多個域名的訪問該怎麼辦呢?
  很多時候一套後端的程序都對應了多個調用方,它們使用的的域名不同,scheme 可能也不同。所以 Access-Control-Allow-Origin 的值沒法寫死一個域名。如果直接暴力地將其設置爲「」,可能導致一些未被授權的域名也能請求到資源。而且當 Access-Control-Allow-Credentials 的值爲 true 時會導致Access-Control-Allow-Origin 無法被設置爲「」。
  正確的玩法應該是在後端程序中獲取從 HTTP 請求頭傳過來的 Origin 字段,然後在程序中驗證它的值是否合法,並且做出適當的響應。也就是說,可以不依賴前端的跨域限制,後端如果認爲一個請求的 Origin 來自不正確的地方就直接毫不留情地 403 掉。其它情況如果沒有 Origin 或者 Origin 正確則將 Origin 的值原原本本地放入 Access-Control-Allow-Origin 中響應回去。
  其實雖然這個問題可以完全通過後端解決,但我還是很費解規範中無法使用局部通配符,和無法配置多個值的設定。也許這麼設計的目的就是希望後端直接 403,而不是讓瀏覽器來攔截吧(反正讓瀏覽器來攔截還需要額外的傳輸成本,有點浪費)

喝酒敲代碼
發佈了38 篇原創文章 · 獲贊 4 · 訪問量 1萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

分佈式系統各個節點狀態如何同步?淺談一下

寫在前面:2020年面試必備的Java後端進階面試題總結了一份複習指南在Github上,內容詳細,圖文並茂,有需要學習的朋友可以Star一下! GitHub地址:https://github.com/abel-max/Java-S

毛发旺盛的程序员 2020-07-08 12:27:30

阿里年薪破百架構師推薦:鳥哥的Linux私房菜,搭配面試題,真香

在Linux實操的過程中,你是否有過這些疑問: 如何提取日誌中含有關鍵字的指定行,上一行或上幾行? ln 做了符號鏈接,對符號鏈接進行權限修改,原文件是否會受到影響? Shell 腳本里有很多特殊符號,到底該怎麼用?網上流傳的

毛发旺盛的程序员 2020-07-08 12:27:30

ZooKeeper 一致性協議 ZAB 原理,瞭解一下

一致性協議有很多種,比如 Paxos,Raft,2PC,3PC等等,在這講一種協議,ZAB 協議,該協議應該是所有一致性協議中生產環境中應用最多的了。爲什麼?因爲它是爲 Zookeeper 設計的分佈式一致性協議! 1. 什麼是

毛发旺盛的程序员 2020-07-08 12:27:20

Spring中Transactional 失效的解決方案,讓我們一起探討一下

寫在前面:2020年面試必備的Java後端進階面試題總結了一份複習指南在Github上,內容詳細,圖文並茂,有需要學習的朋友可以Star一下! GitHub地址:https://github.com/abel-max/Java-S

毛发旺盛的程序员 2020-07-08 12:27:20

太狠了,Spring全家桶筆記,一站式通關全攻略,已入職某廠漲薪18K

Spring 早已成爲 Java 後端開發事實上的行業標準,無數的公司選擇 Spring 作爲基礎的開發框架,大部分Java 後端程序員在日常工作中也會接觸到 Spring ,因此,如何用好 Spring ,也就成爲 Java

毛发旺盛的程序员 2020-07-08 12:27:20

面試準備季——MyBatis 面試專題(含答案)

寫在前面:2020年面試必備的Java後端進階面試題總結了一份複習指南在Github上,內容詳細,圖文並茂,有需要學習的朋友可以Star一下! GitHub地址:https://github.com/abel-max/Java-S

毛发旺盛的程序员 2020-07-08 12:27:20

【JAVA】 try catch finally 中包含return的幾種情況,及返回結果

第一種情況:在try和catch中有return,finally中沒有return,且finally中沒有對try或catch中要 return。這種情況,無論如何finally中的代碼塊都會執行,然後再執行try或者finall

never疯 2020-07-08 12:23:53

劍指Offer_編程題_二叉搜索樹的後序遍歷序列

題目描述 輸入一個整數數組,判斷該數組是不是某二叉搜索樹的後序遍歷的結果。如果是則輸出Yes,否則輸出No。假設輸入的數組的任意兩個數字都互不相同。 補充: 二叉查找樹(Binary Search Tree)又:二叉搜索樹,二叉排序樹,它

浮煌 2020-07-08 11:43:28

劍指Offer_編程題_樹的子結構

題目描述 輸入兩棵二叉樹A,B,判斷B是不是A的子結構。(ps:我們約定空樹不是任意一個樹的子結構) 思路:將B與A,A的左子樹,A的右子樹分別進行判斷,如果元素不相等返回 false ,運用遞歸直到A子樹爲空此時返回 false /*

浮煌 2020-07-08 11:43:28

java的二分查找源碼分析

前言:         之前用到二分查找的時候,都是自己手寫一個,雖然並不難,但是有的時候會忽略邊界條件,然後時間久了還會忘記,然後今天發現,Java其實已經實現了數組的二分查找,這裏就分析一下它的源碼   1:該方法在 Arrays.j

Cison chen 2020-07-08 11:07:50

android程序退出方案

在Android中退出程序比較麻煩,尤其是在多個Activity的程序中,在2.2之前可以採用如下代碼退出程序: Java代碼   ActivityManager am = (ActivityManager)getSystemS

shangmin1990 2020-07-08 11:03:08

啥時候用interface,啥時候用abstract類? 就一句話

有初學者問interface和abstract類該怎樣選擇的問題,不扯麪試題那些,其實就一句話:   定義爲abstract類, 就是爲了定義較多的已實現方法好讓人繼承;繼承者就不用寫這麼多的實現了,可以直接拿來用; 定義爲interfa

_躬行_ 2020-07-08 10:35:56

#idea#一個Java工程頻繁被idea修改jdk版本問題

困擾。。。 發現創建maven工程師pom.xml文件中編譯版本寫爲1.7了,修改後再沒出現。 <properties> <project.build.sourceEncoding>UTF-8</project.build.sou

码农丁丁 2020-07-08 10:28:41

Head First Servlet/JSP 學習筆記(1)

     一次在逛書店的時候,偶然發現這本書的,爲之驚豔,所以買了回來給學生看。過了幾個月,自己閒下來,也準備系統看看,雖然做了兩個Struts, Spring, Hibernate的項目,覺得知識還不是很系統。 1. servlet沒有

fan_7 2020-07-08 09:39:41

【MAVEN】編譯報錯Perhaps you are running on a JRE rather than a JDK?

問題:mvn -e clean package 報錯log: [ERROR] Failed to execute goal org.apache.maven.plugins:maven-compiler-plugin:3.1:co

弘毅密令 2020-07-08 09:18:10