目前项目上采用架构是springboot 2.0版本,前后端分离项目。
由于前后端项目不在同一个服务器上,所以前端请求后端数据时,会出现跨域问题。这时候就需要设置允许跨域。
一般有以下几种方式。
-
在controller类上添加@CrossOrigin注解
@Controller @CrossOrigin public class WebController { }但是这种方式需要在每个controller上添加,太麻烦。不采用。
-
添加全局跨域配置类
继承WebMvcConfigurationSupport类。实现里面的方法。
addCorsMappings方法详解:
allowedOrigins:允许所有域名访问。
allowCredentials:允许携带缓存。
allowedMethods:允许通过的方法。
maxAge:设置预请求的生效时间,发过一次后,一定时间内不在发送。
allowedHeaders:允许获取所有的头信息。
其他方法和跨域无关。
package com.standard.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.*;
@Configuration
public class CorsConfig extends WebMvcConfigurationSupport {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("*")
.allowCredentials(true)
.allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
.maxAge(3600)
.allowedHeaders("*");
}
@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
registry.addResourceHandler("swagger-ui.html")
.addResourceLocations("classpath:/META-INF/resources/");
registry.addResourceHandler("/webjars/**")
.addResourceLocations("classpath:/META-INF/resources/webjars/");
}
/**
* 配置的拦截器
* @return
*/
@Bean
public SecurityInterceptor getSecurityInterceptor() {
return new SecurityInterceptor();
}
/**
* 配置的拦截器
* @return
*/
@Bean
public AdminInterceptor getAdminInterceptor() {
return new AdminInterceptor();
}
/**
* 拦截的url
* @param registry
*/
@Override
public void addInterceptors(InterceptorRegistry registry) {
InterceptorRegistration addInterceptor = registry.addInterceptor(getSecurityInterceptor());
// InterceptorRegistration registration = registry.addInterceptor(getAdminInterceptor());
// registration.addPathPatterns("/sysconfig/**"); //所有路径都被拦截
// registration.excludePathPatterns(
// "user/**", //添加不拦截路径
// "user/login", //登录
// "/**/*.html", //html静态资源
// "/**/*.js", //js静态资源
// "/**/*.css", //css静态资源
// "/**/*.woff",
// "/**/*.ttf"
// );
// 排除配置--对下面的不进行拦截
// addInterceptor.excludePathPatterns("/user/**");
// 拦截配置
addInterceptor.addPathPatterns("/homepage/**");
}
}
- 通过过滤器实现
实现原理第二种没区别,实现方式不同而已。
package com.xdx97.backstage.filter;
//判断是否登陆的 filter
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Arrays;
import java.util.Collections;
import java.util.HashSet;
import java.util.Set;
// /* 表示全部拦截
@WebFilter(filterName = "loginFilter",urlPatterns = "/*")
public class LoginFilter implements Filter {
//这里面 填写不需要 被拦截的地址
private static final Set<String> ALLOWED_PATHS = Collections.unmodifiableSet(
new HashSet<String>( Arrays.asList("/login","/isLogin","/findCategory") )
);
//初始化调用的方法
//当服务器 被启动的时候,调用
public void init(FilterConfig filterConfig) throws ServletException { }
//拦截的方法
public void doFilter(ServletRequest req, ServletResponse res, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
//解决跨域的问题
response.setHeader("Access-Control-Allow-Origin","http://localhost:3030");
response.setHeader("Access-Control-Allow-Credentials","true");
response.setHeader("Access-Control-Allow-Headers", "Content-Type,Content-Length, Authorization, Accept,X- Requested-With,X-App-Id, X-Token");
response.setHeader("Access-Control-Allow-Methods","PUT,POST,GET,DELETE,OPTIONS");
response.setHeader("Access-Control-Max-Age", "3600");
String path = request.getRequestURI().substring(request.getContextPath().length()).replaceAll("[/]+$","");
boolean allowePath = ALLOWED_PATHS.contains(path);
if (!allowePath) { //需要拦截的方法
Object aa = request.getSession().getAttribute("user");
if (aa != null) {
filterChain.doFilter(request,response);
}
else {
response.getWriter().write("noLogin");
}
} else { //不需要被拦截的方法
//直接放行
filterChain.doFilter(request,response);
}
}
//销毁时候调用的方法
public void destroy() { }
}
重要会遇到问题
一开始感觉没啥问题,后来实际上出的问题导致浪费了很长时间在上面。
问题就是前端对于跨域请求会发送预请求
后端虽然实现了跨域支持,但是后端会对url进行一次拦截。用来校验是否登录。
然后前端发送预请求时,是不会携带登录信息的。这就导致前端一直访问不了后台页面。解决办法就是把预请求直接放行。
if (RequestMethod.OPTIONS.name().equals(request.getMethod())) {
return super.preHandle(request, response, handler);
}
以下shiro中放开过滤做参考:
网友评论