SpringBoot2.x整合Shiro出现cors跨域问题(踩坑记录)
1. Springboot如何跨域?
最简单的方法是:
定义一个配置CorsConfig类即可(是不是简单且无耦合到令人发指)
@Configuration public class CorsConfig { private CorsConfiguration buildConfig() { CorsConfiguration corsConfiguration = new CorsConfiguration(); corsConfiguration.addAllowedOrigin("*"); corsConfiguration.addAllowedHeader("*"); corsConfiguration.addAllowedMethod("*"); corsConfiguration.setMaxAge(3600L); // 预检请求的有效期,单位为秒。 corsConfiguration.setAllowCredentials(true);// 是否支持安全证书(必需参数) return corsConfiguration; } @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", buildConfig()); return new CorsFilter(source); } }
不要用WebMvcConfigurerAdapter继承的方法了,因为已经过时了,Springboot2.0已经不推荐此方法
此处有一个比较坑的地方就是:
corsConfiguration.setMaxAge(3600L); // 预检请求的有效期,单位为秒。
corsConfiguration.setAllowCredentials(true);// 是否支持安全证书(必需参数)
这两句务必要加上,不然无论前端怎么做,也无论后台你对shiro的过滤器怎么重写,response请求返回状态都是302。
网络上大家的代码都是copy来copy去,往往没有这2句,所以这个坑真是眼泪汪汪。
2. 前端在发送请求是,是否需要加上跨域参数?(以下两句为跨域参数)
crossDomain: true,
xhrFields: {withCredentials: true},
答案是肯定的。
如果不加跨域参数,通过在ShiroConfig中配置某些URL不鉴权(匿名访问),倒也可以(但是不推荐,你不可能把所有的URL都设置为匿名访问,那要鉴权做什么?)。
filterChainDefinitionMap.put("/login/**", "anon"); //类似于URL路径中含有login的不鉴权
那么这两句的作用是什么? -- 利用cookie维持session的会话跟踪。
good luck!
参考文章:https://blog.csdn.net/wangchsh2008/article/details/90324631
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· .NET Core 托管堆内存泄露/CPU异常的常见思路
· PostgreSQL 和 SQL Server 在统计信息维护中的关键差异
· C++代码改造为UTF-8编码问题的总结
· DeepSeek 解答了困扰我五年的技术问题
· 为什么说在企业级应用开发中,后端往往是效率杀手?
· Deepseek官网太卡,教你白嫖阿里云的Deepseek-R1满血版
· 2分钟学会 DeepSeek API,竟然比官方更好用!
· .NET 使用 DeepSeek R1 开发智能 AI 客户端
· DeepSeek本地性能调优
· 一文掌握DeepSeek本地部署+Page Assist浏览器插件+C#接口调用+局域网访问!全攻略