package com.interceptor;
import java.io.IOException;
import java.io.PrintWriter;
import com.alibaba.fastjson.JSONObject;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import com.annotation.IgnoreAuth;
import com.entity.TokenEntity;
import com.service.TokenService;
import com.utils.R;
@Component
public class AuthorizationInterceptor implements HandlerInterceptor {
public static final String LOGIN_TOKEN_KEY = "Token";
@Autowired
private TokenService tokenService;
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
// ========== 1. 先设置跨域响应头 ==========
String origin = request.getHeader("Origin");
if (StringUtils.isNotBlank(origin)) {
response.setHeader("Access-Control-Allow-Origin", origin);
} else {
response.setHeader("Access-Control-Allow-Origin", "http://localhost:8082");
}
response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Headers", "x-requested-with,request-source,Token, Origin,imgType, Content-Type, cache-control,postman-token,Cookie, Accept,authorization");
// ========== 2. 放行 OPTIONS 预检请求 ==========
if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
response.setStatus(HttpServletResponse.SC_OK);
return true; // ← 改这里
}
// ========== 3. Token 校验逻辑 ==========
IgnoreAuth annotation;
if (handler instanceof HandlerMethod) {
annotation = ((HandlerMethod) handler).getMethodAnnotation(IgnoreAuth.class);
} else {
return true;
}
String token = request.getHeader(LOGIN_TOKEN_KEY);
if (annotation != null) {
return true;
}
TokenEntity tokenEntity = null;
if (StringUtils.isNotBlank(token)) {
tokenEntity = tokenService.getTokenEntity(token);
}
if (tokenEntity != null) {
request.getSession().setAttribute("userId", tokenEntity.getUserid());
request.getSession().setAttribute("role", tokenEntity.getRole());
request.getSession().setAttribute("tableName", tokenEntity.getTablename());
request.getSession().setAttribute("username", tokenEntity.getUsername());
return true;
}
PrintWriter writer = null;
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json; charset=utf-8");
try {
writer = response.getWriter();
writer.print(JSONObject.toJSONString(R.error(401, "请先登录")));
} finally {
if (writer != null) {
writer.close();
}
}
return false;
}
}
跨域问题不知道怎么解决(语言-java)
- 写回答
- 好问题 0 提建议
- 关注问题
分享- 邀请回答
-
2条回答 默认 最新
檀越@新空间 2026-04-13 05:30关注上午好☀️☀️☀️️
本答案参考通义千问跨域问题(CORS, Cross-Origin Resource Sharing)是前端与后端进行通信时常见的问题,尤其是在前后端分离的架构中。你提供的代码是一个 Spring Boot 的拦截器类
AuthorizationInterceptor,用于处理 Token 验证和跨域配置。但是当前的跨域设置方式存在一些 不规范 和 潜在的问题,需要进行优化。
✅ 一、为什么会出现跨域问题?
当你的前端应用(例如部署在
http://localhost:8082)请求后端服务(例如部署在http://localhost:8081),浏览器会根据同源策略判断是否允许该请求。如果 域名、协议或端口不同,就会触发 CORS 预检请求(OPTIONS),并要求后端返回相应的响应头信息。
✅ 二、当前代码中的跨域配置问题
你目前的跨域配置是在
preHandle方法中手动设置的响应头,但这种做法有以下 问题:- 不规范:Spring Boot 提供了更标准的 CORS 配置方式。
- 无法处理 OPTIONS 请求:虽然你对 OPTIONS 请求做了处理,但可能没有完全覆盖所有情况。
- 动态 Origin 设置不稳定:使用
request.getHeader("Origin")来动态设置Access-Control-Allow-Origin可能导致安全风险。 - 无法处理复杂请求(如 Cookie、认证等):需要额外设置
Access-Control-Allow-Credentials等字段。
✅ 三、推荐解决方案(标准做法)
🔧 方案 1:通过
@CrossOrigin注解全局设置(适用于简单项目)如果你的项目规模较小,可以在主类或 Controller 上添加注解:
@SpringBootApplication @CrossOrigin(origins = "http://localhost:8082", allowCredentials = "true") public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } }📌 注意:这种方式只适用于简单的接口,不适合复杂的场景。
🔧 方案 2:通过
WebMvcConfigurer全局配置 CORS(推荐)这是最标准的做法,适用于大多数 Spring Boot 项目。
步骤 1:创建一个配置类
@Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://localhost:8082") // 允许的来源 .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS") // 允许的方法 .allowedHeaders("*") // 允许的请求头 .exposedHeaders("Token") // 暴露给客户端的响应头 .allowCredentials(true); // 是否允许凭证(Cookie) } }📌 重点说明:
allowedOrigins是你前端的地址,可以是多个(用逗号分隔)。allowCredentials必须设为true,如果你的请求中包含 Cookie 或 Token。- 如果你使用了 JWT 或其他 Token 认证,确保
Token响应头被正确暴露。
🔧 方案 3:修改你的拦截器逻辑(如果必须保留)
如果你确实要通过拦截器处理跨域,建议优化如下:
修改后的
AuthorizationInterceptor代码:@Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // ========== 1. 跨域配置(推荐统一通过 WebMvcConfigurer 处理) ========== String origin = request.getHeader("Origin"); if (StringUtils.isNotBlank(origin)) { response.setHeader("Access-Control-Allow-Origin", origin); } else { response.setHeader("Access-Control-Allow-Origin", "http://localhost:8082"); } response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Credentials", "true"); response.setHeader("Access-Control-Allow-Headers", "x-requested-with,request-source,Token, Origin,imgType, Content-Type, cache-control,postman-token,Cookie, Accept,authorization"); // ========== 2. 放行 OPTIONS 预检请求 ========== if ("OPTIONS".equalsIgnoreCase(request.getMethod())) { response.setStatus(HttpServletResponse.SC_OK); return true; } // ========== 3. Token 校验逻辑(保持不变) ========== IgnoreAuth annotation; if (handler instanceof HandlerMethod) { annotation = ((HandlerMethod) handler).getMethodAnnotation(IgnoreAuth.class); } else { return true; } String token = request.getHeader(LOGIN_TOKEN_KEY); if (annotation != null) { return true; } TokenEntity tokenEntity = null; if (StringUtils.isNotBlank(token)) { tokenEntity = tokenService.getTokenEntity(token); } if (tokenEntity != null) { request.getSession().setAttribute("userId", tokenEntity.getUserid()); request.getSession().setAttribute("role", tokenEntity.getRole()); request.getSession().setAttribute("tableName", tokenEntity.getTablename()); request.getSession().setAttribute("username", tokenEntity.getUsername()); return true; } PrintWriter writer = null; response.setCharacterEncoding("UTF-8"); response.setContentType("application/json; charset=utf-8"); try { writer = response.getWriter(); writer.print(JSONObject.toJSONString(R.error(401, "请先登录"))); } finally { if (writer != null) { writer.close(); } } return false; }⚠️ 注意:
- 不推荐在拦截器中处理跨域,因为这可能导致重复设置响应头,或者在某些情况下失效。
- 如果你仍然希望在拦截器中处理跨域,请确保 只在预检请求中处理,避免干扰正常业务逻辑。
✅ 四、总结:推荐做法
| 方案 | 推荐程度 | 说明 | |------|----------|------| | 使用
@CrossOrigin注解 | 中 | 适合小型项目,简单快捷 | | 使用WebMvcConfigurer配置 CORS | ⭐⭐⭐⭐⭐ | 最标准、最推荐的方式 | | 在拦截器中处理跨域 | ❌ | 不推荐,容易出错 |
✅ 五、最终建议
强烈建议你采用方案 2:通过
WebMvcConfigurer全局配置 CORS。这样不仅能够统一管理跨域规则,还能保证安全性、可维护性和性能。同时,它不会干扰你的 Token 验证逻辑。
如有更多关于 Token 认证或跨域的疑问,欢迎继续提问!
解决 无用评论 打赏举报 分享
- 2025-01-10 15:31小沈同学呀的博客 总的来说目前推荐的跨域方式是使用代理服务器来解决跨域的问题,比如Nginx反向代理 ,除了可以跨域还能够负载均衡。一般在我们Java后端项目搭建过程中也会考虑到跨域的问题,比如使用我们上面说的的全局CROS配置。...
- 2025-02-17 14:53敲代码的小王!的博客 CROS和nginx解决前后端分离框架的跨域问题。
- 2021-01-11 18:59标签“java ajax jsonp”表明这个压缩包内容与Java编程语言、AJAX以及JSONP这三种技术有关。 压缩包内的文件名称列表: 1. "jsonp能跨域即在服务器A上访问服务器B.txt" - 这个文件可能包含了关于JSONP如何实现跨域...
- 2020-02-14 21:37SOAP是一种基于HTTP的协议,它允许应用程序在不同的操作系统和编程语言之间传递结构化的信息。这些信息通常以XML格式封装,确保了数据的可读性和可解析性,使得任何支持XML的语言都能够理解和处理这些消息。 Web...
- 2025-07-17 07:29Java作为编程语言,一直以来以其平台无关性和面向对象的特性受到广大开发者的喜爱。在Web开发领域,Java更是拥有丰富的资源和成熟的框架。kisso作为一个专注于Java语言开发的单点登录(SSO)框架,为Java Web应用...
- 2025-03-09 06:05在探讨Sa-Token-Java资源的背景下,我们首先要了解Java编程语言及其在Web开发中的应用。Java是一种广泛用于服务器端开发的语言,特别是在构建Web应用程序方面。它具备跨平台、面向对象、安全稳定等特点,这使得Java...
- 2021-05-22 09:19爱就码上行动的博客 看到这张图,不难发现一套流程虽然执行下来了,但是页面没跳转,又出现10个vue warn,心态炸了,我在网上找原因,没找到,如果有大佬知道怎么回事可以在下面评论区说一下! 前后端分离登陆二 之后用了另外一种方式在...
- 2025-03-05 09:19HoRain云小助手的博客 跨域(Cross-Origin Resource Sharing, CORS)是由于浏览器的同源策略限制导致的资源访问问题。当网页的协议(HTTP/HTTPS)、域名或端口三者中任意一项与请求的目标资源不同时,浏览器会阻止请求,以防止恶意网站...
- 2024-07-15 03:42人生谈数码的博客 实现文件上传跨域 Java 1. 流程步骤 以下是实现文件上传跨域的整个流程: 文件上传跨域实现流程#render_9_872711570-svg{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#render_9...
- 2021-01-08 15:28**Ajax跨域问题详解** 在Web开发中,前端与后端通常通过Ajax进行通信,以实现前后端分离。...对于其他编程语言和框架的实现,可以参考相应文档或搜索网络资源。如果遇到任何问题,欢迎进一步咨询。
- 没有解决我的问题, 去提问
问题事件
创建了问题
4月13日