Apache Shiro框架在CORS跨域访问中遇到的问题及解决
背景
最近做一个前后端分离的项目时,遇到了一系列跨域访问的相关问题,这里做一下总结,也希望能对遇到同样问题的同学有所帮助.
后端主要采用技术体系:
- SpringBoot 2.0.1.RELEASE
- Shiro 1.4.0
- Spring Data JPA 2.0.6.RELEASE
前端采用技术体系:
- ReactJS
- Ant Design
问题
1. redirect问题
现象:
后端通过Shiro配置URL过滤,
shiroFilterFactoryBean.setLoginUrl("/unauth");
默认对于没有授权的访问请求会redirect至LoginUrl.但在跨域访问时,redirect失败.原因是基于安全考虑,redirect发生时Response Header的信息会被清除,导致client端的访问被server端拒绝.
解决方案:
前后端分离的场景下, client端并不需要服务端发起的redirect, 只要获取一个没有授权的状态码,然后自行控制跳转即可. 所以让Shiro在鉴权失败后不要redirect,而是返回status 401. 通过自定义AuthenticatingFilter实现.
public class MyAuthenticationFilter extends FormAuthenticationFilter {
@Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response)
throws Exception {
WebUtils.toHttp(response).sendError(HttpServletResponse.SC_UNAUTHORIZED);
return false;
}
}
然后配置ShiroFilterFactoryBean注入MyAuthenticationFilter, 这里要注意不要将MyAuthenticationFilter通过@Bean交给Spring托管,会被自动注册至FilterChain,从而导致ShiroFilter默认的其他filter无效. 可参考Shiro 自定义 filter 匹配异常
Map<String, Filter> filterMap = shiroFilterFactoryBean.getFilters();
filterMap.put("authc", new MyAuthenticationFilter());
经过这样的配置后, 对于没有授权的Request, Shiro就仅返回401, client端做相应判断即可, 这里还有一些小Tips:
前端使用Fetch Api进行请求, 当接收到一个代表错误的 HTTP 状态码时, 如401, 不会进入exception catch, 可正常进行response.status判断:
fetch(...).then(res => {
if (res.status === 401) {
history.push('/login');
return Promise.reject('Unauthorized.');
}
})
而axios则是在异常捕获中判断:
axios(...).then(...).catch(error => {
if (error.response.status === 401) {
history.push('/login');
return Promise.reject('Unauthorized.');
}
})
2. OPTIONS Request问题
现象
关于什么是OPTIONS Request, 可以参考浏览器跨域方法与基于Fetch的Web请求最佳实践,简单来说,是在跨域访问的场景下, 正式访问之前增加的一次预检性质访问,以确定能否正确获取所请求的资源.
通常是OPTIONS Reqeust正常返回status 200,然后才发起正式的GET/POST等访问,但因为Shiro配置了URL过滤, 对于OPTIONS Request也进行了拦截,所以无法继续访问.
解决方案
让Shiro对OPTIONS Request不进行鉴权操作, 在MyAuthenticationFilter基础上增加isAccessAllowed方法即可.
public class MyAuthenticationFilter extends FormAuthenticationFilter {
@Override
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
if (request instanceof HttpServletRequest) {
if (((HttpServletRequest) request).getMethod().toUpperCase().equals("OPTIONS")) {
return true;
}
}
return super.isAccessAllowed(request, response, mappedValue);
}
@Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response)
throws Exception {
WebUtils.toHttp(response).sendError(HttpServletResponse.SC_UNAUTHORIZED);
return false;
}
}