拦截器拦截options请求,导致无法获得自定义的请求头

最新推荐文章于 2025-07-25 11:33:07 发布
最新推荐文章于 2025-07-25 11:33:07 发布
阅读量2.3k 收藏 3
点赞数 2
CC 4.0 BY-SA版权
分类专栏: SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41835813/article/details/113477586
该博客介绍了如何在Spring MVC中实现一个权限拦截器`AuthInterceptors`,通过检查请求头中的`x-token`来验证用户权限。在预处理方法`preHandle`中,首先获取请求头的所有信息,然后针对OPTIONS请求直接返回成功状态,对于其他请求则调用`Varifcation`服务进行令牌验证。如果验证通过,则允许请求继续,否则拒绝访问。 
package com.qyc.interceptor;

import com.qyc.cfg.SpringContextUtils;
import com.qyc.service.Varifcation;
import org.apache.ibatis.plugin.Intercepts;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.resource.ResourceHttpRequestHandler;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Enumeration;


public class AuthInterceptors implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        //参数
        Enumeration<String> headerNames = request.getHeaderNames();
                while (headerNames.hasMoreElements()) {
                        String name = headerNames.nextElement();
                       //根据名称获取请求头的值
                    String value = request.getHeader(name);
                       System.out.println(name+"---"+value);
                   }
        if (request.getMethod().equals("OPTIONS")) {
            response.setStatus(HttpServletResponse.SC_OK);
            System.out.println("进入判断"+request.getMethod());
            return true;
        }
        String token = request.getHeader("x-token");
        Varifcation varifcation = (Varifcation) SpringContextUtils.getBeanByClass(Varifcation.class);
        System.out.println("tokeninin ======== " + token);
        boolean mess = varifcation.verifyToken(token);
        return mess;
    }
}

原因:https://blog.csdn.net/qq_38261174/article/details/90691058

《Uniapp-Vue 3-TS 实战开发》构建HTTP请求拦截器
前端-尔嵘
04-10 484
定义了一个名为的拦截器对象,它包含一个invoke方法。invoke方法在每次请求拦截时触发,接收一个options参数,类型为,这个参数包含了本次请求的所有配置信息,我们可以在这个方法中对这些配置进行修改。result: T// 2.2 添加类型,支持泛型//1.返回Promise对象// 请求处理逻辑})定义了一个名为http的函数,它是对的封装。通过泛型<T>支持不同类型的响应数据。函数返回一个Promise对象,这样可以使用。
基于 Spring 的自定义注解和请求拦截器实现认证机制
李长渊的博客
12-31 1183
基于 Spring 的自定义注解和请求拦截器实现认证机制
关于options请求的一点理解
weixin_30951389的博客
07-30 1966
最近最项目改造,对所有的ajax请求统一做了一点处理,发现原来很正经的ajax请求突然不正常了,每个ajax之前都多了一个相应的method为options请求。虽然之前知道ajax的请求中method有这个,但是一直没怎么去了解过,这次复盘做个小的学习总计吧~ 什么是options请求?为什么会有options请求? 首先还是看一下官方或者比较官方的定义: HTTP 的 OPTIO...
springboot拦截器实现权限认证 axios中get或post请求变成OPTIONS(遇到的Request Method: OPTIONS已解决)handler instanceof Hand
可控的事情要谨慎,不可控的事情要乐观。
01-21 3871
一、 1.首先登录: Login.vue axios.post(url,{"userName":this.userName,"password":this.password}) .then(response=>{ if(response.data.code==0) { //console.log(respo...
SpringSecurity跨域预检拦截解决方案--- OPTIONS 预检请求
最新发布
m0_74296492的博客
07-25 615
【摘要】前端跨域请求被Spring Security拦截导致CORS预检失败。问题核心在于未放行OPTIONS请求,使浏览器预检请求返回403错误。解决方案包括:1)配置CORS过滤器允许所有源、头和方法;2)在Spring Security中显式放行OPTIONS请求。关键代码为.antMatchers(HttpMethod.OPTIONS,"/**").permitAll()和CorsFilter配置。修复后预检请求将通过,跨域通信可正常进行,生产环境建议细化域名限制提升安全性。
06-HTTP-Request获取请求头数据方法
记录java学习日常~
06-03 1万+
在这个示例中,我们使用request.getHeaders("Accept-Language")语句获取HTTP请求头Accept-Language的所有值,并将其存储在headerValues枚举对象中。然后,使用while循环依次遍历枚举中的每个元素,即HTTP请求头Accept-Language的值。getHeader()方法的参数为一个字符串,表示要获取的HTTP请求头的名称。方法返回一个字符串,表示该HTTP请求头的值。如果指定名称的HTTP请求头不存在,则返回null。
拦截器获取不到token
pyon_的博客
01-06 1748
今天遇见了个问题 token被前端保存在请求头里 返回给后端验证是否正确和过期(没有持久化 根据时间戳判断的)拦截器里面取不到token 查阅大量资料无果 猜想是否因为拦截器性质 看了半天代码和资料得出token被过滤掉了原因如下 我把第一次的请求放行了 对于第一次请求我的理解就是经过拦截器去设置跨域和白名单了(不对就指出我 骂我两句都可以) 问题解决 ...
OPTIONS请求时设置了Header请求和token可是后台接收不到,为什么?
热门推荐
code_monkey的博客
12-29 20万+
人工智能,零基础入门!http://www.captainbed.net/inner 1、首先,说一下我们的项目情况,我们项目中后端有一个拦截器,如果必须要登录的接口路径会被拦下来检查,前端要传一个token【我们项目中叫sessionId】,然后后端根据这个token来判断redis中这个用户是否已经登录。 2、但是现在问题出现了,就是这个sessionId就是死活传不过来,试了各种办法...
springboot使用filter获取自定义请求头的实现代码
08-26
Spring Boot 使用 Filter 获取自定义请求...本文主要介绍了 Spring Boot 使用 Filter 获取自定义请求头的实例代码,包括 Filter 的基本概念、使用 Filter 获取自定义请求头、解决跨域问题、处理 OPTIONS 请求等知识点。
【springboot跨域】自定义拦截器自定义过滤器互斥、springsecurity拦截预检请求OPTIONS
weixin_41955471的博客
01-19 2712
问题描述: 由于在项目中自定义了一个拦截器,这个拦截器会在filter过滤器之前执行,并且在此中间还会被springSecurity拦截一次,前端请求会先发送一次预检请求,由于SpringSecurity对该OPTIONS请求进行了拦截,发现头部没有携带Token信息,直接返回了401的状态,浏览器认为预检请求不通过,之后的真实请求当然也认为是不通过的。 解决方案: 因为使用的是SpringBoot+SpringSecurity框架,所以需要编写Cors跨域的配置,并在WebSecurityCon
javascript实现fetch请求返回的统一拦截
10-15
然而,fetch默认并不提供请求和响应的拦截器,这对于需要进行全局处理,比如鉴权、错误处理等场景并不方便。本篇文章主要探讨如何使用JavaScript实现fetch请求返回的统一拦截。 首先,我们需要理解拦截器的目的。...
获取不到http请求头自定义参数
ibigboy
01-26 3533
对外提供的API,需在http请求头传app_id(下划线分割),服务端通过request.getHeader("app_id")获取不到对应的参数值,排查原因,是因为nginx默认将带下划线的header自定义参数中的下划线去掉了(有的说过滤掉了,这个没有去查证) 解决办法:将nginx的配置underscores_in_headers参数设置成on。 该参数默认为off会替换下划线,导致服务端通过request.getHeader("app_id")获取不到对应的参数值。 ...
过滤器filter中得到请求头的值
qq_43470725的博客
06-29 4081
方法: public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws ServletException, IOException { request = (HttpServletRequest) req; response = (HttpServletResponse) resp; request.getHeader("token"); chain.
无法获取HttpServletRequest中header中设置的信息
黑色灯泡的博客
08-17 7868
请求heades中设置了信息,但是后端总是无法获取到相应的信息,检查后发现headers中的信息不能设置成中文,否则后端无法收到header的信息
学习记录-跨域拦截器获取不到请求头的解决办法
unlike353035108的博客
12-15 1133
/log.info("解析令牌失败");//3.获取请求头令牌并判断是否有TOKEN。//log.info("合法令牌,放行");//1.1 对OPTION预检验放行。//2.判断url是否是登录请求。@Override //拦截请求后调用。//1.获取请求url。//4.解析JWT令牌。
springboot HttpServletRequest 传 header参数 取不到
流浪猿
12-09 3643
最近在写 springboot +dubbo 的项目 今天遇到个很恶心的问题 前后端协议添加了一个 header access_token 开发环境在本地没什么问题 传到阿里云测试环境后取不到数据 查阅多方。。。。。。。 后来发现和 nginx 配置有关 默认会去掉 带_的参数 改成AccessToken 后 OK 了 所有文章紧问记录开发过程遇到的问题,欢迎一起讨论 ...
使用Nginx过滤OPTIONS请求,避免后台大量204响应
南来北往技术小栈
12-10 9884
使用Nginx过滤OPTIONS请求(204) 在前后端分离项目中,由于跨域,导致前端每次请求后台都会发送一个options请求去检查目标站点是否可达,这样后台就会收到很多响应码为204的OPTIONS请求,虽然每次请求都耗时极少,但是一旦请求量大了,还是会占用部分连接资源,并且日志中也会存在很多没用的数据,导致日志文件体积增加。下面就来讲讲如何利用Nginx拦截这些OPTIONS请求 拦截请求之前 浏览器的请求信息 可以看到每个200响应之前都有一个204响应,耗时也就几毫秒,但是就是看它不爽。 同
vue跨域拦截浏览器options预检
qq_34295211的博客
06-09 7018
当你跨域访问接口的时候,会发现你的接口请求了两次,然后仔细对比一下会发现请求类型并不一致,一个是OPTIONS,另一个是你的POST请求。事情是这样发生的,当浏览器发现你准备跨域进行非简单请求的时候(有关简单请求说明请移步https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#Simple_requests),他会自发的发出一个O...
vue拦截axios的OPTIONS请求
weixin_42401291的博客
01-21 5084
目的:为了减少后台的多次请求 结果:安装qs 请求拦截安装qs拦截:vue安装qs拦截 一个OPTIONS请求预请求 代码: 在admin.js: import qs from 'qs' Vue.prototype.$qs = qs   ////////////////// 在具体的xxxx.vue 的项目 import qs from 'qs' //用于拦截OPTIONS的...
拦截器每次拦截了预检请求,里面没有token导致请求失败
05-08
<think>好的,我现在需要解决用户的问题:如何处理拦截器中预检请求OPTIONS没有携带token导致请求失败的情况。用户提到他们的拦截器在预检请求时因为缺少token而拦截请求导致后续的真实请求无法通过。 首先,我需要回忆一下关于跨域请求和预检请求的知识。根据引用[4],跨域请求中的复杂方法或特殊头会触发浏览器发送OPTIONS预检请求。这个预检请求本身不携带任何认证信息,比如token,所以如果拦截器检查到缺少token而拦截OPTIONS请求,就会导致后续的真实请求被浏览器阻止。 接下来,我需要分析用户的配置。用户提到他们使用了自定义拦截器,可能在Spring框架中,同时还有Spring Security的拦截。根据引用[3],Spring Security可能会拦截OPTIONS请求,并且因为没有token而返回401,导致预检失败。所以问题可能出在拦截器没有正确处理OPTIONS方法,直接进行了token验证。 解决方案的关键点在于区分预检请求和实际请求OPTIONS请求的HTTP方法是OPTIONS,所以拦截器中应该先检查请求的方法。如果是OPTIONS,应该直接放行,不进行token验证。这样可以允许预检请求通过,之后浏览器发送的真实请求(如GET、POST)才会携带token,这时候再进行验证。 另外,用户可能需要在Spring Security的配置中允许OPTIONS请求的访问。例如,配置忽略OPTIONS请求的安全检查,或者设置跨域配置(CORS)来正确处理预检请求。比如,使用CorsConfigurationSource来定义允许的来源、头和方法,这样Spring Security会自动处理OPTIONS请求,而无需经过拦截器的token检查。 还需要考虑拦截器的执行顺序。如果自定义拦截器在Spring Security之前执行,可能需要调整顺序,或者确保在拦截器中正确处理OPTIONS方法。例如,在拦截器的preHandle方法中,判断如果是OPTIONS请求则返回true,直接放行。 用户提到的引用[2]中,sa-token框架的问题也是类似的,需要确保预检请求不被拦截。所以可能的解决步骤是: 1. 修改拦截器逻辑,对OPTIONS请求放行。 2. 配置Spring Security允许OPTIONS请求。 3. 设置正确的CORS策略,确保服务器响应包含必要的头信息,如Access-Control-Allow-Origin等。 在代码实现方面,拦截器中的preHandle方法需要添加对请求方法的判断。例如,在Java中: ```java if ("OPTIONS".equalsIgnoreCase(request.getMethod())) { return true; } ``` 同时,在Spring Security的配置类中,配置CORS并允许OPTIONS方法: ```java @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http.cors().configurationSource(corsConfigurationSource()) .and() // 其他配置... return http.build(); } private CorsConfigurationSource corsConfigurationSource() { CorsConfiguration config = new CorsConfiguration(); config.setAllowedOrigins(Arrays.asList("http://localhost:8080")); config.addAllowedHeader("*"); config.addAllowedMethod("*"); config.setAllowCredentials(true); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", config); return source; } ``` 这样,预检请求会被CORS配置处理,而不会被拦截器拦截。同时,拦截器OPTIONS请求放行后,后续的真实请求携带token时才会被验证,避免被拦截。 还需要测试这些修改是否有效,确保预检请求返回200状态码,并且真实请求携带token后能正常通过拦截器。另外,要确认CORS头是否正确设置,避免其他跨域问题。 可能的问题包括:拦截器的顺序是否正确,CORS配置是否覆盖了所有需要的路径,是否漏掉了某些HTTP方法或头信息。需要确保配置的全面性,例如允许所有必要的方法和头,或者根据实际需求进行限制。 总结来说,解决这个问题的核心在于识别并放行OPTIONS预检请求,同时正确配置CORS策略,确保服务器正确处理跨域请求,避免拦截器在预检阶段进行不必要的验证。</think>### 解决方案 处理预检请求拦截问题的核心思路是**区分OPTIONS预检请求和实际请求**,通过以下三个步骤实现: --- ### 一、拦截器中放行OPTIONS请求自定义拦截器的`preHandle`方法中添加对请求方法的判断: ```java public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { // 放行所有OPTIONS请求 if ("OPTIONS".equalsIgnoreCase(request.getMethod())) { return true; // 直接放行不验证 } // 其他请求需验证Token String token = request.getHeader("Authorization"); if (token == null || !validateToken(token)) { sendError(response, 401); return false; } return true; } ``` --- ### 二、配置Spring Security允许OPTIONS请求 在Spring Security配置类中明确放行OPTIONS请求: ```java @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeRequests() .requestMatchers(HttpMethod.OPTIONS).permitAll() // 关键配置 .anyRequest().authenticated() .and() .cors().configurationSource(corsConfigurationSource()) .and() .csrf().disable(); return http.build(); } ``` --- ### 三、配置CORS策略 通过CorsConfigurationSource定义跨域规则: ```java private CorsConfigurationSource corsConfigurationSource() { CorsConfiguration config = new CorsConfiguration(); config.setAllowedOrigins(Arrays.asList("http://your-frontend-domain.com")); config.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE", "OPTIONS")); config.setAllowedHeaders(Arrays.asList("Authorization", "Content-Type")); config.setAllowCredentials(true); config.setMaxAge(3600L); // 预检结果缓存1小时 UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", config); return source; } ``` --- ### 技术原理 1. **预检请求机制**:浏览器对跨域复杂请求自动发送OPTIONS预检请求,该请求不含业务参数或Token[^4] 2. **拦截器优先级**:确保Spring Security的CORS配置优先于自定义拦截器执行[^3] 3. **缓存优化**:通过`MaxAge`减少重复预检请求,提升性能[^4] --- ### 验证流程 1. 浏览器发送OPTIONS预检请求 → 服务器返回200并携带CORS头 2. 浏览器发送真实请求(GET/POST等) → 携带Token → 拦截器验证通过 3. 若Token无效 → 返回401拒绝访问 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值