shiro拦截axios请求导致@RequireRole注解失效
最近在整理一个自己以前做过的系统,想要添加一些功能,发现shiro框架出现了点问题,觉得这个错误应该还是蛮有价值的,就写出来和大家分享下…
ShiroRequiresRole注解对于axios请求无效
场景再现
前端发送一个POST请求,而后端对应的接口是有一个RequiresRole注解。
出现的问题:
-
前端发送请求发现没有反应,只执行认证代码
-
使用接口文档swagger在线测试和Post Man测试这个接口,发现这个@RequiresRole是起作用的,对于没有权限的用户是可以成功拦截的。
-
将@RequiresRole注解注释掉,axios请求可以成功进入该接口
解决方案
通过上面的尝试,我们大概可以猜到问题出现的位置大概是shiro框架和axios的问题,于是我们就进行网上的解决方案的查找。
网上的解决方案
**一、**网上的很多解决方案都说是跨域的问题,于是,我们在vue-config中已经配置了跨域请求,但是我们只是本地测试,没有进行跨域,自然不是跨域的问题。
module.exports = defineConfig({
transpileDependencies: true,
devServer: {
host: 'localhost',
port: 8080,
proxy: {
'/api': {
target: 'http://localhost:9527/api',
changeOrigin: true
}
}
}
})
二、 axios在发送请求的时候先发送OPTIONS请求,然后再发送POST,OPTIONS请求status返回200才会正常发起请求,我们需要对OPTION请求进行放行
在我们自定义的Filter对OPTIONS进行放行
@Override
protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
HttpServletRequest httpServletRequest = (HttpServletRequest) request;
HttpServletResponse httpServletResponse = (HttpServletResponse) response;
httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS");
httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
httpServletResponse.setStatus(HttpStatus.OK.value());
return false;
}
return super.preHandle(request, response);
}
三、 未携带cookie的问题
在axios的默认配置中,axios.defaults.withCredentials 默认是false,而shiro框架用户认证是需要浏览器cookie存在JSESSIONID信息,发送请求需要携带信息,因此在前后端都需要允许Credentials。
前端
axios.defaults.withCredentials = true
后端
在WebMvcConfig中
@Override
protected void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**").allowCredentials(true);
}
发现请求还是被拦截了,到这里可能就有一点疑问
为什么配置了还是没有成功,然后我在网上又找到一篇博客提到在返回response的请求头上还要Access-Control-Allow-Credentials为true,于是我们修改一下我们自己的BasicHttpAuthenticationFilter,然后惊奇的发现成功了
@Override
protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
HttpServletRequest httpServletRequest = (HttpServletRequest) request;
HttpServletResponse httpServletResponse = (HttpServletResponse) response;
httpServletResponse.setHeader("Access-control-Allow-Origin", httpServletRequest.getHeader("Origin"));
httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS");
httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true"); // 这里
if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
httpServletResponse.setStatus(HttpStatus.OK.value());
return false;
}
return super.preHandle(request, response);
}
如果上面有什么写错的地方,希望各位大神多多指点一下,也希望分享的可以帮助到大家。