2. 程式人生 > >SpringSecurity使用JWT與前端互動跨域解決後端獲取header中的Authorization的token值

SpringSecurity使用JWT與前端互動跨域解決後端獲取header中的Authorization的token值

阿新 發佈:2019-02-19

主要問題:針對前後端分離後,前端使用ajax進行請求,存在一些跨域的問題。

後端對跨域的問題進行解決,因為我是使用的Springboot框架做的後端,首先解決普通請求跨域的問題

@CrossOrigin

每一個controller類上需要新增CrossOrigin的註解進行處理。

新增之後在使用SpringSecurity時允許匿名訪問的介面都沒有跨域的問題了,不過使用JWT對使用者身份進行驗證時雖然前端已經將token的值新增到了header中,還是值獲取不到header中的token值。

關鍵的問題就是在這裡:

    瀏覽器會在ajax傳送請求之前傳送一個預請求,確認當請的介面是不是有效的介面,此時的請求方式是OPTIONS的請求方式


因為之前一直沒有判斷是否是預請求,所以security直接將請求的方式做了正常的處理,導致沒有獲取到token值所以返回的相應一直是401未授權。這時候就看到前端即使是在頭部添加了token但是請求介面一直提示身份認證失敗。

需要更改JWT過濾器中的對前端請求的處理方式:

@Slf4j
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
private UserDetailsService userDetailsService;
@Autowired
private JwtTokenUtil jwtTokenUtil
 
;
//定義的tokenHeader的名稱
private String tokenHeader = "Authorization";
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        if (request.getMethod().equals("OPTIONS")){
            log.info("瀏覽器的預請求的處理
 
..");
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Methods", "POST,GET,PUT,OPTIONS,DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "Origin,X-Requested-With,Content-Type,Accept,Authorization,token");
            return;
}else {
            String authToken = request.getHeader(this.tokenHeader);
String username = jwtTokenUtil.getUsernameFromToken(authToken);
log.info("checking authentication for user " + username);
//token中的username不為空是進行驗證token是否是有效的token
if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                log.info("token中的username不為空,Context中的authentication為空時,進行token的驗證..");                //TODO,從資料庫得到帶有密碼的完整user資訊
UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
log.info("載入userdetails:{}",userDetails.getUsername());
// For simple validation it is completely sufficient to just check the token integrity. You don't have to call
                // the database compellingly. Again it's up to you ;)
if (jwtTokenUtil.validateToken(authToken, userDetails)) {
                    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
log.info("authenticated user " + username + ", setting security context");
SecurityContextHolder.getContext().setAuthentication(authentication);
}
            }

            chain.doFilter(request, response);
}


    }
}

對第一次的請求進行判斷是否是OPTIONS的請求方式,如果是則在對應的response中新增對跨域和header的配置資訊

            response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Methods", "POST,GET,PUT,OPTIONS,DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "Origin,X-Requested-With,Content-Type,Accept,Authorization,token");

如果不是則進行後面的token驗證。

相關推薦

SpringSecurity使用JWT前端互動解決獲取header的Authorization的token

主要問題:針對前後端分離後,前端使用ajax進行請求,存在一些跨域的問題。後端對跨域的問題進行解決,因為我是使用的Springboot框架做的後端,首先解決普通請求跨域的問題@CrossOrigin每一個controller類上需要新增CrossOrigin的註解進行處理。新

前端常見解決方案(全)

-type crm api war str bsp 斷開 jquery 數據塊 什麽是跨域? 跨域是指一個域下的文檔或腳本試圖去請求另一個域下的資源,這裏跨域是廣義的。 廣義的跨域: 1.) 資源跳轉: A鏈接、重定向、表單提交 2.) 資源嵌入: <link

前端常見解決方案

自定義 兩個 ech cors onload 消息 strong put 普通 什麽是跨域? 跨域是指一個域下的文檔或腳本試圖去請求另一個域下的資源,這裏跨域是廣義的。 廣義的跨域: 1.) 資源跳轉: A鏈接、重定向、表單提交 2.) 資源嵌入:<lin

前端JS解決方案

JS跨域請求 這裡說的js跨域是指通過js在不同的域之間進行資料傳輸或通訊,比如用ajax向一個不同的域請求資料,或者通過js獲取頁面中不同域的框架中(iframe)的資料。只要協議、域名、埠有任何一個不同,都被當作是不同的域 跨域解決方案 CORS方案 COR

前端常見解決方法

什麼是跨域? 跨域是指一個域下的文件或指令碼試圖去請求另一個域下的資源,這裡跨域是廣義的。 廣義的跨域: 資源跳轉: A連結、重定向、表單提交 資源嵌入: <link>、<script>、<img>、<fram

【2019】問題記錄一:獲取URL引數的內加號“+”變成空格“ ”

問題:URL引數中加號“+”變成空格“ ” 一、現象      URL如:http://example.****.com/controller/action?param=rice+cook+panda   後端通過Request.Que

前端如何去做解決方案

時也 for 前後端 define 影響 list nts 告訴 iframe 前言 那些你,你常用的跨域解決方案除了jsonp 之外,還有其他的嗎?今日早讀文章可以告訴你,本文由 金蝶 @scq000授權分享。 正文從這開始~ 瀏覽器在請求不同域的資源時,會因為同源策略的

前端常見的解決方案

params 分離 true local img 原生 AI spa 共享 什麽是跨域: 一個域名下的文檔或者腳本試圖請求另外一個域名的下的資源 廣義的跨域: 資源跳轉:a鏈接、重定向、表單提交 資源嵌入:<link> <script> &

前端解決

跨域 端口 xhr 協議 同源策略 source 場景 ram 服務器 瀏覽器的同源策略會導致跨域,這裏同源策略又分為以下兩種: DOM同源策略:禁止對不同源頁面DOM進行操作。這裏主要場景是iframe跨域的情況,不同域名的iframe是限制互相訪問的。 XmlHttpR

同源策略解決方案

本文將介紹兩種重要的ajax跨域解決方案(jsonp、CORS),在網上看了這麼多有關同源策略的介紹,感覺都說得不是很清楚,都只是提到了一部分,站在巨人的肩膀上我簡單總結所謂的 “同源策略” 同源策略

前端常見的比較全的解決方案

什麼是跨域? 跨域是指一個域下的文件或指令碼試圖去請求另一個域下的資源,這裡跨域是廣義的。 廣義的跨域: 1.) 資源跳轉: A連結、重定向、表單提交 2.) 資源嵌入: <link>、<script>、<img&

前後互動問題解決方案,資源共享(CORS)

跨域資源共享(CORS) 普通跨域請求:只服務端設定Access-Control-Allow-Origin即可,前端無須設定,若要帶cookie請求:前後端都需要設定。 需注意的是:由於同源策略的限制,所讀取的cookie為跨域請求介面所在域的cookie,而非當前頁。如

前端解決方案

什麼是跨域?跨域是指一個域下的文件或指令碼試圖去請求另一個域下的資源。同源策略:同源是指“協議+域名+埠”三者相同。跨域解決方案:1.通過jsonp跨域;2.document.domain+iframe

CORS 前端請求時遇到的一些坑 後臺解決方法

最近寫介面和前端vue互動,這樣就需要定義token來驗證,之前的專案都是前後臺不分離,我們都是服務的使用cookie或session。來存取資料。現在前後端分類,那麼token驗證是必不可少的,之前由於跨域問題,我們開始的解決辦法是每次提交資料都攜帶token

前端解決辦法之JSONP

由於JavaScript的同源策略限制,在當前JavaScript指令碼中並不能操作來自非同一域下的資源,這就使得跨域問題之於前端工程師就像彈吉他之於民謠歌手——是非常重要的基本功。 跨域問題解決辦法有很多種,比如W3C給出的CORS(Cross-Origin Resour

前端解決方法總結

同源策略: 所謂同源策略,指的是瀏覽器對不同源的指令碼或者文字的訪問方式進行的限制。 同源:協議相同,域名相同,埠相同。 同源策略主要帶來三個方面的行為限制: 1、cookie,localstorage和IndexDB無法讀取 2、DOM無法獲取 3

前端解決辦法(待整理)

重點記住的有:domain+iframe , jsonp , poseMessage , webSocket  伺服器端跨域有:ngix反向代理,設定Access-Control-Allow-Origin 待實踐。。。

第四期《前端解決

什麼是跨域? 跨域,指的是瀏覽器不能執行其他網站的指令碼。它是由瀏覽器的同源策略造成的,是瀏覽器對javascript施加的安全限制。 所謂同源是指,域名,協議,埠均相同,不明白沒關係,舉個栗子: http://www.123.com/index.html 呼叫 http

ASP.Net WebAPIAjax進行數據交互時Cookies數據的傳遞

調整 ucc header set 定義 div ren ext domain 前言 最近公司項目進行架構調整,由原來的三層架構改進升級到微服務架構(準確的說是服務化,還沒完全做到微的程度,顆粒度沒那麽細),遵循RESTFull規範,使前後端完全分離,實現大前端思想。由於是

JSON解決方案收集

get ogl obb 本地 allow con mesa 跨域請求 loader 最近面試問的挺多的一個問題,就是JavaScript的跨域問題。在這裏,對跨域的一些方法做個總結。由於瀏覽器的同源策略,不同域名、不同端口、不同協議都會構成跨域;但在實際的業務中,很多