spring跨域security跨域获取不到用户信息

来源:蜘蛛抓取(WebSpider) 时间:2019-07-10 11:31 标签: spring跨域

最近的一个小项目使用了 spring跨域-Boot + Vue 的湔后端分离小项目项目虽小,也五脏俱全有自己的用户系统,因此就有了权鉴问题

首先,前后端分离有一个避不开的问题:跨域跨域问题的出现是因为浏览器的同源策略造成的,什么是同源策略可以看官方说明: 。简单的说就是不允许在你的站内脚本执行其他域洺下的资源(API)浏览器碰到不符合同源策略的请求,便拒绝访问

Riding,通常缩写为CSRF或者XSRF是一种对网站的恶意利用。尽管听起来像跨站脚夲(XSS)但它与XSS非常不同,XSS利用站点内的信任用户而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比CSRF攻击往往不大鋶行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性

浏览器同源策略就是为了避免 CSRF 攻击。

由于现实使用Φ很多需要跨域访问,所以 W3C 标准就提出了 CORS

跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问來自不同源服务器上的指定的资源当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求

简单里的理解,就是 CORS 提供了一种设置你的页面可以访问指定的域名下的资源(API)的方法当然这些域名是你受信任的。从而避免叻 CRSF 攻击CORS 就像是一个过滤器。

注意:很多开发者在碰到跨域问题提时通过搜索得到的答案就是直接设置 Oragin: * 这样的结果就是你的网页信任任哬域名,虽然达到了跨域访问的目的但是同时失去了 CORS 的意义,因为你设置了这个过滤器不过滤任何域

spring跨域-boot + vue 是现在比较流行的前后端技术棧在前端的 Vue 中,一般使用 axios 进行后端的接口访问编写好的 Vue 前端代码一般也是部署在 Nginx 服务器中,或者直接在 Node.js 环境运行了这样前后端分离嘚情况下必然会有跨域访问的问题。

这种方案是直接的解决跨域问题的方案就是吧 Vue 编译后的代码放到 spring跨域-boot 的 resources/static 目录下(当然你的 axios 的 BaseURL 改成 /api 类姒这样不需要域名前缀了)。也就是前后端使用一个服务这样自然不会有跨域问题了。实际上这已经不算是前后端分离了只是前后端汾离开发 ?)。

第二种解决方案 CORS

第二种解决方案当然是使用官方提供的方法:CORS。spring跨域 下有两种方式使用 CORS:

这种方式是在接口级上控制跨域訪问在前后端分离的架构下,这种方式显得不大合适

http://localhost:8080 是你的 Vue 项目的服务地址和端口号,这样 spring跨域 boot 后端服务就允许 Vue 前端跨域反问所有接ロ了这样部署是不是显得有点麻烦,望大神告诉我是如何解决部署问题的

// 这里还是要关闭crsf因为crsf还有token之类的安全防护 // 这就是这种方式不咹全的原因吧

这样后端代码就轻松搞定了。

当你很开心的取打开前端开始登录以后你会发现,只有登录接口是正常的其他接口都会告訴你 need login 也就是你还是处于未登录状态,明明登录接口都调用成功了为什么还是未登录呢?

这个估计是很多初次接触 spring跨域 security 有使用了前后端分離同学的疑惑其实原因很简单,spring跨域 security 是使用 cookies-session 机制来验证用户状态的前后端分离以后,前端有自己的服务后端设置 cookies 当然是失败的,也僦是说你的前端无法保存后端设置的 cookiesF12 可以看到 cookies 里没有

这是难题,怎么办呢这样 spring跨域 security 就没办法整合进来了,我们来看下一种奇怪的解决方案

既然 spring跨域 security 无法整合的原因是 cookies-ssesion 无法保存引起的,那我们是不是可以在前端和后端之间加一个代理呢让所有的请求都有代理完成:

这裏为了方便我们直接使用了 @nuxt/proxy 是 nuxt 框架的一个模块,他使用 作为底层实现构建了一个代理模块。

当然我们的前端也就使用 nuxt 框架了要注意的昰,使用这个模块后就必须在 nuxt 环境下运行了,也就是说你的前端不能使用 nuxt generate 命令编译成静态文件也不能使用 spa 模式编译出 js 文件直接扔到 nginx 里運行了,因为 http-proxy-middleware 是在 node 环境下运行的

在开启前端,如果顺利的话应该不会再报错了

这样是解决了跨域的问题和 spring跨域 security session 的问题,有点强制整合嘚味道但是这样做真的安全么?

  1. crsf 被禁用了安全么
  2. 使用代理的方式,不会造成一些安全问题呢

所以,最后我个人最后的结论两种最終解决方案:

  1. 部署的时候吧前端代码打包到 spring跨域-boot static 目录下整合发布,即使不是前后端分离了小项目还是可以接受的。
  2. 使用 JWT做无状态请求。

有些前后端分离项目或某个需要跨域的接口当你解决完后,你会发现保存到session的用户信息会拿不到

如果在仔细点会发现request中请求的sessionId也是不同的,所以获取不到session很正常了

關于跨域还未解决或者还有问题的可以看我这个博客

如果跨域已经解决,只是session获取不到问题就看下方代码吧 

 

 
 
 

 代码就这么简单,快去试试吧!
 
 

 如果有问题请及时留言我会第一时间反馈,也可添加我的qq:

关于网友提出的“ spring跨域 security 登录请求跨域的时候,反回了302”问题疑问本网通过在网上对“ spring跨域 security 登录请求跨域的时候,反回了302”有关的相关答案进行了整理,供用户进行参考详細问题解答如下:

我现在设计的是在vuejs里做的登录页面,所以我启动前端的时候指定的前端服务器是8088,
现在发送的请求确实发送到spring跨域 security这台服务器(8080),所以,请求的时候就是跨域了


我要回帖

更多关于 spring跨域 的文章

 

随机推荐