devbox
alg789
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

springsecurity+vue解决跨域以及session问题_vue工程化前端session

作者:alg789 | 2024-02-01 13:51:32

vue工程化前端session

背景

最近在写一个前后端分离项目,后端我采用的是java作为服务端,前端我用vue3进行的开发,

主要是想写一套后台管理系统,后端采用springsecurity进行权限控制访问

问题

后端我当时是用postman进行测试开发的,再此并无任何问题。但是,当我把vue3前端的内容写的差不多进行前后端交互时,问题产生了!!!!

首先,就是跨域问题,用axios向后端发送请求时一直显示跨域!!!!经过不懈努力,解决的跨域的问题,但是又出现了一个更让人摸不着头脑的问题,那就是登录之后,用axios向后端再访问其他请求时,一直显示用户未登录!!!!!!

分析

首先,跨域问题,这个遇到的次数不少,让我想到了同源策略,我回头扒拉了一下以前SpringMVC的笔记,有查阅的大量资料,解决了这个问题。其次,这个vue请求默认不带cookie这个问题困扰了我很久,在偶然的一次机会,突然开窍,把它解决了。

经过一段时间的痛苦折磨,我终于解决了这俩问题,下面就具体分析一下,然后说一下我的解决方案

跨域

跨域介绍

在说跨域之前先说一下同源策略,同源指的是两个URL的协议、域名、端口相同,浏览器出于安全方面的考虑,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源  

跨域分为以下三种情况

http://127.0.0.1:8080 --> https://127.0.0.1:8080   协议跨域

http://127.0.0.1:8080 --> http://127.0.0.2:8080    IP跨域

http://127.0.0.1:8080 --> http://127.0.0.1:8081    端口跨域 
 

服务端解决跨域

首先是springsecurity,在配置类中进行以下配置:

  1. /**
  2.  * Security配置类
  3.  */
  4.  
  5. @Configuration
  6. @EnableGlobalMethodSecurity(prePostEnabled = true)// 开启鉴权配置注解
  7. public class SecurityConfig extends WebSecurityConfigurerAdapter {
  8.     //解决跨域
  9.     CorsConfigurationSource configurationSource() {
  10.         CorsConfiguration corsConfiguration = new CorsConfiguration();
  11.         corsConfiguration.setAllowedHeaders(Collections.singletonList("*"));
  12.         //允许跨域访问的请求方式Arrays.asList("GET","POST")
  13.         corsConfiguration.setAllowedMethods(Collections.singletonList("*"));
  14.         //允许跨域访问的站点Arrays.asList("http://127.0.0.1:5173/")Collections.singletonList("*")
  15.         corsConfiguration.setAllowedOrigins(Arrays.asList("http://127.0.0.1:5173/"));
  16.         // 允许携带凭证
  17.         corsConfiguration.setAllowCredentials(true);
  18.         corsConfiguration.setMaxAge(3600L);
  19.         UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
  20.         //对所有URL生效
  21.         source.registerCorsConfiguration("/**", corsConfiguration);
  22.         return source;
  23.     }
  24.     @Override
  25.     protected void configure(HttpSecurity http) throws Exception {
  26.         // 自定义表单登录
  27.         http.formLogin()
  28.                 .usernameParameter("username") // 用户名项
  29.                 .passwordParameter("password") // 密码项
  30.                 .loginProcessingUrl("/admin/login") // 登录提交路径
  31.                 .successHandler(new MyLoginSuccessHandler()) // 登录成功处理器
  32.                 .failureHandler(new MyLoginFailureHandler()) // 登录失败处理器
  33.                  // 跨域配置
  34.                 .and()
  35.                 .cors()
  36.                 .configurationSource(configurationSource());
  37.  
  38.  
  39.         // 权限拦截配置
  40.         http.authorizeRequests()
  41.                 //.antMatchers("/login").permitAll() // 登录页不需要认证
  42.                 .antMatchers("/admin/login").permitAll() // 登录请求不需要认证
  43.                 //.antMatchers("/admin/*").permitAll()
  44.                 .anyRequest().authenticated(); // 其余请求都需要认证
  45.  
  46.  
  47.         // 退出登录配置
  48.         http.logout()
  49.                 .logoutUrl("/admin/logout") // 注销的路径
  50.                 .logoutSuccessHandler(new MyLogoutSuccessHandler()) // 登出成功处理器
  51.                 .clearAuthentication(true) // 清除认证数据
  52.                 .invalidateHttpSession(true); // 清除session
  53.  
  54.  
  55.         // 异常处理
  56.         http.exceptionHandling()
  57.                 .authenticationEntryPoint(new MyAuthenticationEntryPoint()) // 未登录处理器
  58.                 .accessDeniedHandler(new MyAccessDeniedHandler()); // 权限不足处理器
  59.  
  60.  
  61.         // 关闭csrf防护,取消跨站请求伪造防护
  62.         http.csrf().disable();
  63.         // 开启跨域访问
  64.         http.cors();
  65.     }
  66.  
  67.  
  68.     @Bean
  69.     public PasswordEncoder passwordEncoder(){
  70.         return new BCryptPasswordEncoder();
  71.     }
  72. }

其次是控制器解决跨域

在类上加上此注解即可

@CrossOrigin

session ID

session介绍

session是一种用来解决http协议无状态的重要技术。具体是如何解决无状态的呢?

首先,当浏览器访问服务端且使用的session时,servlet容器(Tomcat)会为其创建一个Session对象,并为其生存一个session id(JSESSIONID),并通过写cookie的方式将sesssion id写入到浏览器的cookie中, 然后,浏览器将自动保存session ID ,最后,当浏览器再次发起其他请求时,将会自动的携带该session ID

session的使用是和cookie紧密关联的

cookie存储在客户端(浏览器负责记忆),session存储在服务端(在Java中是web容器对象,服务端负责记忆)

每个session对象有一个sessionID,这个ID值还是用cookie方式存储在浏览器,浏览器发送cookie,服务端web容器根据cookie中的sessionID得到对应的session对象,这样就能得到各个浏览器的“会话”信息

vue的axios请求发送时是默认不保存cookie的

解决Session ID未保存的问题

vue的axios配置

  1. const instance = axios.create({
  2.     baseURL: "http://localhost:8001",//公共配置url     
  3.     timeout: 5000,//配置5s超时
  4.     withCredentials: true//访问允许携带cookie
  5.     
  6.   
  7. })

另外springsecurity中有个配置一定要注意

 corsConfiguration.setAllowedOrigins(Arrays.asList("http://127.0.0.1:5173/"));

这个跨域配置允许跨域访问的站点一定要具体!!!!!(本人已踩坑)

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/article/detail/53942
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号