spring security+vue+axios，为什么通过spring security认证成功之后，访问再次发送请求访问受保护资源，浏览器没有自动携带set-cookie？

spring security+vue+axios，为什么通过spring security认证成功之后，访问再次发送请求访问受保护资源，浏览器没有自动携带set-cookie？
这是spring security配置代码：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter{
    private final MyUserDetailService myUserDetailService;
    public SecurityConfig(MyUserDetailService myUserDetailService) {
        this.myUserDetailService = myUserDetailService;
    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth)throws Exception{
        auth.userDetailsService(myUserDetailService);
    }
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception{
        return super.authenticationManagerBean();
    }
    @Bean
    public LoginFilter loginFilter() throws Exception {
        LoginFilter loginFilter = new LoginFilter();
        loginFilter.setFilterProcessesUrl("/api/doLogin");//指定认证的url
        //指定用户名和密码的key
        loginFilter.setUsernameParameter("uname");
        loginFilter.setPasswordParameter("passwd");
        loginFilter.setAuthenticationManager(authenticationManagerBean());
        loginFilter.setAuthenticationSuccessHandler((request, response, authentication) -> {
            System.out.println(SecurityContextHolder.getContext().getAuthentication());
            HashMap<Object, Object> hashMap = new HashMap<>();
            hashMap.put("token", "646031654");
            hashMap.put("userinfo", authentication.getPrincipal());
            AjaxResult ajaxResult = new AjaxResult();
            ajaxResult.setResultObj(hashMap);
            String valueAsString = new ObjectMapper().writeValueAsString(ajaxResult);
            response.setContentType("application/json;charset=UTF-8");
            response.addHeader("Access-Control-Allow-Origin", response.getHeader("Origin"));
            response.setHeader("Access-Control-Allow-Credentials", "true");
            response.setHeader("Set-Cookie", "SameSite=None");
            response.getWriter().println(valueAsString);
        });//认证成功处理
        loginFilter.setAuthenticationFailureHandler((request, response, exception) -> {
            HashMap<Object, Object> hashMap = new HashMap<>();
            hashMap.put("msg", "登陆失败"+exception.getMessage());
            response.setContentType("application/json;charset=UTF-8");
            response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
            String valueAsString = new ObjectMapper().writeValueAsString(hashMap);
            response.getWriter().println(valueAsString);
        });//认证失败处理
        return loginFilter;
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .requestMatchers(CorsUtils::isPreFlightRequest).permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                .exceptionHandling()//认证异常处理
                .authenticationEntryPoint((request, response, authException) -> {
                    response.setContentType("application/json;charset=UTF-8");
                    response.setStatus(HttpStatus.UNAUTHORIZED.value());
                    response.getWriter().println(new AjaxResult().setMessage("请认证"));
                })
                .and()
                .logout()
                .logoutUrl("/logout")
                .logoutSuccessHandler((request, response, authentication) -> {
                    HashMap<Object, Object> hashMap = new HashMap<>();
                    hashMap.put("msg", "操作成功");
                    hashMap.put("status", "200");
                    hashMap.put("authentication",authentication.getPrincipal());
                    response.setContentType("application/json;charset=UTF-8");
                    String valueAsString = new ObjectMapper().writeValueAsString(hashMap);
                    response.getWriter().println(valueAsString);
                })
                .and()
                .cors()//跨域处理方案
                //.configurationSource(configurationSource())
                .and()
                .csrf().disable()
                .headers()
                .httpStrictTransportSecurity().disable()
                .referrerPolicy(Customizer.withDefaults())
                .contentSecurityPolicy("script-src 'self'");
        /**
         * At：用某个filter替换过滤器链的某个filter
         * Before：放在滤器链的某个filter之前
         * After：放在滤器链的某个filter之后
         */
        http.addFilterAt(loginFilter(), UsernamePasswordAuthenticationFilter.class);
    }
    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        //corsConfiguration.setAllowedOriginPatterns(Arrays.asList("http://.*"));
        //corsConfiguration.setAllowCredentials(true);
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfiguration);
        return source;
    }

}

这是axios代码：

import axios from "axios";

const http = axios.create({
    //通用请求地址前缀
    baseURL:'http://127.0.0.1:8011',
    //超时时间
    timeout:10000,
    withCredentials:true,
    crossDomain: true
})

前端api

import http from "@/utils/request";

//用户登录
export const userLogin =(data) => {
    return http.post('/api/doLogin', data)
}

登录成功之后浏览器响应接口：

再次发送请求浏览器的请求体：

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
CSDN-Ada助手 CSDN-AI 官方账号 2023-09-11 16:26
关注
【以下回答由 GPT 生成】

问题的根本原因是浏览器在进行跨域请求时，需要服务器在响应中设置Access-Control-Allow-Credentials为true，并且设置set-cookie时，还需要设置SameSite属性为None。

由于您使用的是Spring Security进行认证，所以可以通过添加一个CorsFilter来解决这个问题。下面是一个简单的示例代码：

@Configuration public class CorsConfig { @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration corsConfiguration = new CorsConfiguration(); corsConfiguration.setAllowCredentials(true); corsConfiguration.addAllowedOrigin("*"); corsConfiguration.addAllowedHeader("*"); corsConfiguration.addAllowedMethod("*"); corsConfiguration.addExposedHeader("Set-Cookie"); // 添加ExposedHeader，将Set-Cookie暴露给前端 source.registerCorsConfiguration("/**", corsConfiguration); return new CorsFilter(source); } }

请将上述代码添加到您的Spring Boot项目中，并且确保它被正确加载到应用程序中。

此外，请确保您的浏览器支持SameSite属性的设置，因为不是所有的浏览器都支持该属性。希望这可以解决您的问题。如果您还有其他问题，请随时向我询问。

如果你已经解决了该问题, 非常希望你能够分享一下解决方案, 写成博客, 将相关链接放在评论区, 以帮助更多的人 ^-^
解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

SpringSecurity + JWT + Vue 实现登录出现403 java vue.js 有问必答架构
2022-04-02 16:57

回答 6 已采纳跨域出错，使用Nginx开启反向代理然后进行跨域请求
spring security+vue 跨域请求权限丢失 java spring 有问必答
2021-04-08 15:12

回答 3 已采纳我的解决办法是去掉有关的权限认证, 在数据库中配置权限, 前后端分离, 采用Token 在验证Token的时候验证访问权限在此处验证请求地址权限 JwtRequestFilter.do
SpringSecurity+Vue登录失败求教怎么破 java mysql spring vue.js
2020-05-10 14:05

回答 1 已采纳 500是你的服务器的问题 spring security ,jpa这一块加上日志，输出下错误信息，然后排查下。
Spring Boot+Vue+Spring Security OAuth2的前后端分离项目实现研究
2019-05-09 19:12

icarusliu81的博客业余在开发一个Spring Boot+Vue+Spring Security OAuth2的一个前后端分离项目，其中遇到不少如跨域、OPTIONS请求处理、PreAuthorize注解无效、Token失效处理等问题，记录如下。在此项目中，资源服务与授权服务在...
springboot+vue+Security 请求路径被拦截 spring boot vue.js
2022-11-24 16:14

回答 2 已采纳可以多补充点信息的，这点信息看不太出来
springSecurity与Vue项目重定向404问题 java spring vue.js
2022-02-16 14:44

回答 1 已采纳普通的请求和ajax请求不太一样，使用ajax请求失败，会把登录页面当作数据返回给ajax请求。你试试实现SpringSecurity的这个类，来给ajax请求返回错误信息，然后ajax请求再转到登录
Vue框架的axios，为什么访问不到Java后端？ eclipse java node.js spring vue.js
2021-01-03 04:36

回答 2 已采纳额，大意了。没注意axios不封装的情况下，需要完整的url。建议你封装一下axios。
登录模块用户认证 SpringSecurity +Oauth2+Jwt
2020-10-14 23:48

Ybb_studyRecord的博客 SpringSecurity Oauth2 jwtSpringSecurity Oauth2 jwt1 用户认证分析1.1 单点登录1.2 第三方账号登录2 认证解决方案2.1 单点登录技术方案2.2 第三方登录技术方案2.2.1 Oauth2认证流程2.2.2 Oauth2在项目的应用2.3 ...
vue axios请求成功，在浏览器能看到请求回来的数据，但是调用回来是undefined ajax vue.js 前端
2022-05-26 09:59

回答 1 已采纳看一下这个写的，没有返回
vue+axios如何实现跳转post请求获取到的html ajax html5 vue.js
2022-02-26 15:22

回答 1 已采纳建议你这个请求放到新页面，把参数带到新页面然后请求，请求回来用v-html渲染如果你在这个页面请求的话，可以把请求回来的html存到本地，然后在新页面获取再用v-html渲染
Vue使用axios发送POST请求后端接收到的数据全是null spring boot vue.js
2022-10-15 21:16

回答 2 已采纳 returnBooksList 是数组还是对象传参换成{...this.returnBooksList }试试或者看一下请求体传参结构和字段是否能与后端一一对应
基于SpringSecurity + JWT的前后端分离登录模板（另有RBAC模型）
2022-10-20 21:20

neutron123ab的博客 //访问受保护对象所需要的权限 } 可能会有人对资源实体类存在疑问：为什么角色关联权限是在角色实体类中使用List，而权限关联资源却是在资源实体类中使用List，变成了“资源关联权限”。其实，这并不是任意而为...
vue中用axios向后端发送post请求，但是后端接收不到参数 ajax spring boot vue.js
2021-10-08 15:55

回答 5 已采纳主要问题是在于，你发起的请求提交的数据是application/json，这个类型代表你提交的data数据是json数据,此时对应后端需要加上@requestBody注解即可。在不更改后端代码的情况下
双Token方案实现Token自动续期（基于springboot+vue前后端分离项目）
2024-06-10 16:44

登山人在路上的博客 jwt理论介绍springboot+vue项目中使用jwt实现登录认证本篇文章的代码是在springboot+vue项目中使用jwt实现登录认证的基础上实现的Token自动续期的功能。双token解决方案是一种用于增强用户登录安全性和提升用户体验...
如何通过PKCE模式访问受Oauth2保护的资源
2020-09-08 23:35

Zhou JinGuang的博客本文用来说明vue如何使用PKCE模式访问受oauth2保护的资源。所用技术栈包括spring boot, spring security和vue.
没有解决我的问题, 去提问

问题事件

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
创建了问题 9月11日

悬赏问题

¥15 安装quartus II18.1时弹出此error，怎么解决？
¥15 keil官网下载psn序列号在哪
¥15 想用adb命令做一个通话软件，播放录音
¥30 Pytorch深度学习服务器跑不通问题解决？
¥15 部分客户订单定位有误的问题
¥15 如何在maya程序中利用python编写领子和褶裥的模型的方法
¥15 Bug traq 数据包大概什么价
¥15 在anaconda上pytorch和paddle paddle下载报错
¥25 自动填写QQ腾讯文档收集表
¥15 DbVisualizer Pro 12.0.7 sql commander光标错位显示位置与实际不符

spring security+vue+axios，为什么通过spring security认证成功之后，访问再次发送请求访问受保护资源，浏览器没有自动携带set-cookie？

1条回答 默认 最新

问题事件

悬赏问题

1条回答默认最新