先后端分离项目,如何解决跨域问题

时间  2019-11-17
标签 后端 分离 项目 如何 解决 问题 繁體版
原文   原文链接

SpringBoot实战电商项目mall(18k+star)地址:github.com/macrozheng/…前端

摘要

跨域资源共享(CORS)是先后端分离项目很常见的问题,本文主要介绍当SpringBoot应用整合SpringSecurity之后如何解决该问题。java

什么是跨域问题

CORS全称Cross-Origin Resource Sharing,意为跨域资源共享。当一个资源去访问另外一个不一样域名或者同域名不一样端口的资源时,就会发出跨域请求。若是此时另外一个资源不容许其进行跨域资源访问,那么访问的那个资源就会遇到跨域问题。git

跨域问题演示及解决

咱们使用mall项目的源代码来演示一下跨域问题。此时前端代码运行在8090端口上,后端代码运行在8080端口上,因为其域名都是localhost,可是前端和后端运行端口不一致,此时前端访问后端接口时,就会产生跨域问题。github

点击前端登陆按钮

此时发现调用登陆接口时出现跨域问题。web

展现图片
展现图片
展现图片

覆盖默认的CorsFilter来解决该问题

添加GlobalCorsConfig配置文件来容许跨域访问。spring

package com.macro.mall.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

/** * 全局跨域配置 * Created by macro on 2019/7/27. */
@Configuration
public class GlobalCorsConfig {

    /** * 容许跨域调用的过滤器 */
    @Bean
    public CorsFilter corsFilter() {
        CorsConfiguration config = new CorsConfiguration();
        //容许全部域名进行跨域调用
        config.addAllowedOrigin("*");
        //容许跨愈加送cookie
        config.setAllowCredentials(true);
        //放行所有原始头信息
        config.addAllowedHeader("*");
        //容许全部请求方法跨域调用
        config.addAllowedMethod("*");
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", config);
        return new CorsFilter(source);
    }
}

复制代码

从新运行代码,点击登陆按钮

发现须要登陆认证的/admin/info接口的OPTIONS请求没法经过认证,那是由于复杂的跨越请求须要先进行一次OPTIONS请求进行预检,咱们的应用整合了SpringSecurity,对OPTIONS请求并无放开登陆认证。json

展现图片
展现图片

设置SpringSecurity容许OPTIONS请求访问

在SecurityConfig类的configure(HttpSecurity httpSecurity)方法中添加以下代码。后端

.antMatchers(HttpMethod.OPTIONS)//跨域请求会先进行一次options请求
.permitAll()
复制代码

展现图片

从新运行代码,点击登陆按钮

发现已经能够正常访问。跨域

展现图片
展现图片

一次完整的跨域请求

先发起一次OPTIONS请求进行预检

  • 请求头信息:
Access-Control-Request-Headers: content-type
Access-Control-Request-Method: POST
Origin: http://localhost:8090
Referer: http://localhost:8090/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36
复制代码
  • 响应头信息:
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: content-type
Access-Control-Allow-Methods: POST
Access-Control-Allow-Origin: http://localhost:8090
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Content-Length: 0
Date: Sat, 27 Jul 2019 13:40:32 GMT
Expires: 0
Pragma: no-cache
Vary: Origin, Access-Control-Request-Method, Access-Control-Request-Headers
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
复制代码
  • 请求成功返回状态码为200

发起真实的跨域请求

  • 请求头信息:
Accept: application/json, text/plain, */*
Content-Type: application/json;charset=UTF-8
Origin: http://localhost:8090
Referer: http://localhost:8090/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36
{username: "admin", password: "123456"}
password: "123456"
username: "admin"
复制代码
  • 响应头信息:
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: http://localhost:8090
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Content-Type: application/json;charset=UTF-8
Date: Sat, 27 Jul 2019 13:40:32 GMT
Expires: 0
Pragma: no-cache
Transfer-Encoding: chunked
Vary: Origin, Access-Control-Request-Method, Access-Control-Request-Headers
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
复制代码
  • 请求成功返回状态码为200

项目源码地址

github.com/macrozheng/…cookie

公众号

mall项目全套学习教程连载中,关注公众号第一时间获取。

公众号图片
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程