shiro拦截axios请求导致@RequireRole注解失效

文章目录

• ShiroRequiresRole注解对于axios请求无效
• • 场景再现
  • 解决方案
  • • 网上的解决方案

最近在整理一个自己以前做过的系统，想要添加一些功能，发现shiro框架出现了点问题，觉得这个错误应该还是蛮有价值的，就写出来和大家分享下…

ShiroRequiresRole注解对于axios请求无效

场景再现

前端发送一个POST请求，而后端对应的接口是有一个RequiresRole注解。

出现的问题：

1. 前端发送请求发现没有反应，只执行认证代码

2. 使用接口文档swagger在线测试和Post Man测试这个接口，发现这个@RequiresRole是起作用的，对于没有权限的用户是可以成功拦截的。

3. 将@RequiresRole注解注释掉，axios请求可以成功进入该接口

解决方案

通过上面的尝试，我们大概可以猜到问题出现的位置大概是shiro框架和axios的问题，于是我们就进行网上的解决方案的查找。

网上的解决方案

**一、**网上的很多解决方案都说是跨域的问题，于是，我们在vue-config中已经配置了跨域请求，但是我们只是本地测试，没有进行跨域，自然不是跨域的问题。

module.exports = defineConfig({
  transpileDependencies: true,
  devServer: {
    host: 'localhost',
    port: 8080,
    proxy: {
      '/api': {
        target: 'http://localhost:9527/api',
        changeOrigin: true
      }
    }
  }
})

二、 axios在发送请求的时候先发送OPTIONS请求，然后再发送POST，OPTIONS请求status返回200才会正常发起请求，我们需要对OPTION请求进行放行

在我们自定义的Filter对OPTIONS进行放行

@Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;
        httpServletResponse.setHeader("Access-control-Allow-Origin",  httpServletRequest.getHeader("Origin"));
        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS");
        httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));

        if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
            httpServletResponse.setStatus(HttpStatus.OK.value());
            return false;
        }
        return super.preHandle(request, response);
    }

三、 未携带cookie的问题

在axios的默认配置中，axios.defaults.withCredentials 默认是false，而shiro框架用户认证是需要浏览器cookie存在JSESSIONID信息，发送请求需要携带信息，因此在前后端都需要允许Credentials。

前端

axios.defaults.withCredentials = true

后端

在WebMvcConfig中

@Override
protected void addCorsMappings(CorsRegistry registry) {
    registry.addMapping("/**").allowCredentials(true);
}

发现请求还是被拦截了，到这里可能就有一点疑问

为什么配置了还是没有成功，然后我在网上又找到一篇博客提到在返回response的请求头上还要Access-Control-Allow-Credentials为true，于是我们修改一下我们自己的BasicHttpAuthenticationFilter，然后惊奇的发现成功了

 @Override
 protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
     HttpServletRequest httpServletRequest = (HttpServletRequest) request;
     HttpServletResponse httpServletResponse = (HttpServletResponse) response;
     httpServletResponse.setHeader("Access-control-Allow-Origin",  httpServletRequest.getHeader("Origin"));
     httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS");
     httpServletResponse.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
     httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true"); // 这里
     if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
         httpServletResponse.setStatus(HttpStatus.OK.value());
         return false;
     }
     return super.preHandle(request, response);
 }

---

如果上面有什么写错的地方，希望各位大神多多指点一下，也希望分享的可以帮助到大家。