国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

使用Spring Security中遇到的Preflight請求和跨域的問題

EscapedDog / 1054人閱讀

摘要:首先遇到的就是跨域問題,但是在攜帶請求過程中出現(xiàn)了服務(wù)端獲取不到情況。瀏覽器將請求分成兩類簡單請求和非簡單請求。而瀏覽器對這兩種請求的處理是不一樣的。

背景

在一個前后端分離開發(fā)的項目中,使用SpringSecurity做安全框架,用JWT來實現(xiàn)權(quán)限管理提升RESTful Api的安全性。首先遇到的就是跨域問題,但是在攜帶jwt請求過程中出現(xiàn)了服務(wù)端獲取不到j(luò)wt情況。

跨域問題

在開發(fā)過程中遇到CORS (跨域資源共享) 的問題,簡單的在服務(wù)器端設(shè)置了允許跨域訪問,但是在攜帶jwt請求過程中出現(xiàn)

因為jwt是放在request header中,忽略了在跨域處理是加上允許自己定于的header字段

@Component
public class CorsFilter implements Filter {

    Logger logger= LoggerFactory.getLogger(CorsFilter.class);

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request= (HttpServletRequest) servletRequest;
        HttpServletResponse response= (HttpServletResponse) servletResponse;
        response.setHeader("Access-Control-Allow-Origin",request.getHeader("origin"));
        response.setHeader("Access-Control-Allow-Origin","*");  //允許跨域訪問的域
        response.setHeader("Access-Control-Allow-Methods","POST,GET,OPTIONS,DELETE,PUT");  //允許使用的請求方法
        response.setHeader("Access-Control-Expose-Headers","*");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with,Cache-Control,Pragma,Content-Type,Authorization");  //允許使用的請求方法
        response.setHeader("Access-Control-Allow-Credentials","true");//是否允許請求帶有驗證信息
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {

    }
}

在網(wǎng)上搜索提到要對OPTIONS請求進(jìn)行處理返回200,但是測試并沒有起到效果
這里的OPTIONS請求實際上就是preflight請求

Preflight請求

但是問題依然沒有解決,出現(xiàn)如下

google了之后才知道preflight 請求的相關(guān)信息

在我們調(diào)用后臺接口的時候,經(jīng)常會發(fā)現(xiàn)請求了兩次,其實第一次發(fā)送的就是preflight request(預(yù)檢請求)。

為什么需要preflight request

我們都知道瀏覽器的同源策略,就是出于安全考慮,瀏覽器會限制從腳本發(fā)起的跨域HTTP請求,像XMLHttpRequest和Fetch都遵循同源策略。
瀏覽器限制跨域請求一般有兩種方式:

瀏覽器限制發(fā)起跨域請求 跨域請求可以正常發(fā)起,但是返回的結(jié)果被瀏覽器攔截了
一般瀏覽器都是第二種方式限制跨域請求,那就是說請求已到達(dá)服務(wù)器,并有可能對數(shù)據(jù)庫里的數(shù)據(jù)進(jìn)行了操作,但是返回的結(jié)果被瀏覽器攔截了,那么我們就獲取不到返回結(jié)果,這是一次失敗的請求,但是可能對數(shù)據(jù)庫里的數(shù)據(jù)產(chǎn)生了影響。

為了防止這種情況的發(fā)生,規(guī)范要求,對這種可能對服務(wù)器數(shù)據(jù)產(chǎn)生副作用的HTTP請求方法,瀏覽器必須先使用OPTIONS方法發(fā)起一個預(yù)檢請求,從而獲知服務(wù)器是否允許該跨域請求:如果允許,就發(fā)送帶數(shù)據(jù)的真實請求;如果不允許,則阻止發(fā)送帶數(shù)據(jù)的真實請求。

瀏覽器將CORS請求分成兩類:簡單請求和非簡單請求。

簡單請求

請求方法是以下三種方法之一

HEAD

GET

POST

HTTP的頭信息不超出以下幾種字段

Accept

Accept-Language

Content-Language

Last-Event-ID

Content-Type:只限于三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同時滿足上面兩個條件,就屬于非簡單請求。
而瀏覽器對這兩種請求的處理是不一樣的。

非簡單請求

非簡單請求是那種對服務(wù)器有特殊要求的請求,比如請求方法是PUT或DELETE,或者Content-Type字段的類型是application/json。
非簡單請求的CORS請求,會在正式通信之前,增加一次HTTP查詢請求,稱為"預(yù)檢"請求(preflight)

與cors相關(guān)更詳細(xì)的看參考底部鏈接

解決方法

在我們后臺用了Spring Security作為安全框架,并且沒有對Preflight這個請求做出相應(yīng)的處理,那么這個請求會導(dǎo)致權(quán)限管控失敗。
處理起來也很簡單,只需要在spring security配置類configure方法中增加放行preflight請求

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                // 由于使用的是JWT,我們這里不需要csrf
                .csrf().disable()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                .authorizeRequests()
                // 所有 / 的所有請求 都放行
                .requestMatchers(CorsUtils::isPreFlightRequest).permitAll()    //對preflight放行
                .antMatchers("/*").permitAll()
                .antMatchers("/u").denyAll()
                .antMatchers("/article/**").permitAll()
                .antMatchers("/video/**").permitAll()
                .antMatchers("/api/**").permitAll()
                .antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**","/swagger-ui.html", "/webjars/**")
                .permitAll()
                .antMatchers("/manage/**").hasRole("ADMIN") // 需要相應(yīng)的角色才能訪問
                // 除上面外的所有請求全部需要鑒權(quán)認(rèn)證
                .anyRequest().authenticated();

        // 禁用緩存
        http.headers().cacheControl();
        // 添加JWT filter
        http.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
        //添加未授權(quán)處理
        http.exceptionHandling().authenticationEntryPoint(getAuthenticationEntryPoint());
        //權(quán)限不足處理
        http.exceptionHandling().accessDeniedHandler(getAccessDeniedHandler());

    }

最終問題得到解決!

參考:
前端 | 淺談preflight request
跨域資源共享 CORS 詳解

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/68049.html

相關(guān)文章

  • 使用Spring Security遇到Preflight請求跨域問題

    摘要:首先遇到的就是跨域問題,但是在攜帶請求過程中出現(xiàn)了服務(wù)端獲取不到情況。瀏覽器將請求分成兩類簡單請求和非簡單請求。而瀏覽器對這兩種請求的處理是不一樣的。 背景 在一個前后端分離開發(fā)的項目中,使用SpringSecurity做安全框架,用JWT來實現(xiàn)權(quán)限管理提升RESTful Api的安全性。首先遇到的就是跨域問題,但是在攜帶jwt請求過程中出現(xiàn)了服務(wù)端獲取不到j(luò)wt情況。 跨域問題 在開...

    shengguo 評論0 收藏0
  • 跨域問題一次深入研究

    摘要:前言最近在業(yè)務(wù)代碼中深受跨域問題困擾,因此特別寫一篇博客來記錄一下自己對跨域的理解以及使用到的參考資料。內(nèi)嵌式跨域通常也是允許的。而我使用時因為這個響應(yīng)報文最后被認(rèn)為是跨域問題,無法從中獲得的狀態(tài)碼。它代表服務(wù)器支持跨域時攜帶認(rèn)證信息。 前言 最近在業(yè)務(wù)代碼中深受跨域問題困擾,因此特別寫一篇博客來記錄一下自己對跨域的理解以及使用到的參考資料。本文的項目背景基于vue+vuex+axio...

    X_AirDu 評論0 收藏0
  • 同源策略跨域

    摘要:一些技術(shù)都默認(rèn)采取了同源策略,這些技術(shù)范圍包括但不限于。但是相比較以上的各種場景和繞過同源策略的方法,的跨域請求設(shè)置很容易,只需要在目標(biāo)服務(wù)的根目錄下 在前端開發(fā)的過程中,我們經(jīng)常遇到跨域的問題,以下的文章將列舉一下我在工作中碰到的跨域問題。以及稍稍的探討一下為什么會有跨域問題的出現(xiàn),和所謂的同源策略 同源策略 1. 歷史 1995 年由 Netscape 公司提出,之后被其他瀏覽器廠...

    Achilles 評論0 收藏0
  • 同源策略跨域

    摘要:一些技術(shù)都默認(rèn)采取了同源策略,這些技術(shù)范圍包括但不限于。但是相比較以上的各種場景和繞過同源策略的方法,的跨域請求設(shè)置很容易,只需要在目標(biāo)服務(wù)的根目錄下 在前端開發(fā)的過程中,我們經(jīng)常遇到跨域的問題,以下的文章將列舉一下我在工作中碰到的跨域問題。以及稍稍的探討一下為什么會有跨域問題的出現(xiàn),和所謂的同源策略 同源策略 1. 歷史 1995 年由 Netscape 公司提出,之后被其他瀏覽器廠...

    ideaa 評論0 收藏0
  • 同源策略跨域

    摘要:一些技術(shù)都默認(rèn)采取了同源策略,這些技術(shù)范圍包括但不限于。但是相比較以上的各種場景和繞過同源策略的方法,的跨域請求設(shè)置很容易,只需要在目標(biāo)服務(wù)的根目錄下 在前端開發(fā)的過程中,我們經(jīng)常遇到跨域的問題,以下的文章將列舉一下我在工作中碰到的跨域問題。以及稍稍的探討一下為什么會有跨域問題的出現(xiàn),和所謂的同源策略 同源策略 1. 歷史 1995 年由 Netscape 公司提出,之后被其他瀏覽器廠...

    Seay 評論0 收藏0

發(fā)表評論

0條評論

EscapedDog

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<