记一次使用sa-token导致的预检请求跨域问题

最新推荐文章于 2026-02-26 00:49:29 发布
原创 最新推荐文章于 2026-02-26 00:49:29 发布 · 403 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#状态模式

问题描述:

        前端请求只要 header 中携带 token 就会导致请求跨域

问题分析:

        当请求为复杂请求时浏览器会发送一个预检请求,就像图中那样

        预检请求跨域需要额外在 sa-token 的配置文件中配置

  • 预检请求:属于CORS机制中的重要环节,在发送复杂跨域请求之前,浏览器先向目标服务器发送一个探测性的 OPTIONS HTTP 请求,来询问服务器是否允许该跨域请求;
  • 复杂请求:只要满足下面一条就是复杂请求:使用了非 GET、HEAD、POST的HTTP方法;使用了 Content-Type: application/json 或其他非简单请求允许的 Content-Type;包含了任何自定义头;

解决方法:

        在 sa-token 的全局配置中增加方法

    /**
     * CORS 跨域处理策略
     */
    @Bean
    public SaCorsHandleFunction corsHandle() {
        return (req, res, sto) -> {
            res.
                    // 允许指定域访问跨域资源
                            setHeader("Access-Control-Allow-Origin", "*")
                    // 允许所有请求方式
                    .setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE")
                    // 有效时间
                    .setHeader("Access-Control-Max-Age", "3600")
                    // 允许的header参数
                    .setHeader("Access-Control-Allow-Headers", "*");
            // 如果是预检请求,则立即返回到前端
            SaRouter.match(SaHttpMethod.OPTIONS)
                    .free(r -> System.out.println("--------OPTIONS预检请求,不做处理"))
                    .back();
        };
    }
深入解析Android HWASAN:内存错误检测的新利器
weixin_33713350的博客
04-15 517
本文深入解析Android HWASAN技术,作为内存错误检测的新利器,HWASAN通过硬件辅助显著降低内存开销,提升检测精度。对比传统ASAN,HWASAN采用创新的内存标机制,漏检率从15%降至0.4%,适用于Android开发中的内存越界、野指针等问题检测。文章还提供实战指南、性能优化建议和疑难解决方案,帮助开发者高效应用HWASAN提升代码质量。
使用 Sa-Token 的全局过滤器解决问题
热门推荐
shengzhang_的博客
08-26 1万+
SaTokenConfigure.java 中设置响应头即可 /** * [Sa-Token 权限认证] 配置类 */ @Configuration public class SaTokenConfigure { /** * 注册 [sa-token全局过滤器] */ @Bean public SaServletFilter getSaServletFilter() { return new SaServletFilter()
同源策略(CORS policy) 预检请求 实现
weixin_45917427的博客
10-04 2139
同源策略(CORS policy) 预检请求 实现
CORS 问题解决&&预检(OPTIONS)请求解释
weixin_42118323的博客
04-15 1万+
浏览器使用 OPTIONS 方法发起一个预检请求(preflight request),来感知服务端是否允许该请求,服务器确认允许之后,才发起实际的 HTTP 请求,OPTIONS 请求没有附带请求数据,响应体也为空,简单来说就是一种探测,这就是预检请求,是浏览器的一种保护机制。简单请求的对立面就是非简单请求,也就是说不能同时满足简单请求条件的请求就是非简单请求,就可能会触发预检(OPTIONS)请求。Nginx 增加配置解决问题,只使用一种解决问题即可,不要同时配置多个。
使用 Sa-Token 的全局过滤器解决问题(三种方式全版)
他很懒,但也在努力的生活着
07-24 2582
在 web 开发中,绝对是比较折磨新同学的一个问题,本文将讲解三种常见的情形,并讲解如何使用 Sa-Token 框架解决问题
一次浏览器预检请求问题的踩坑
纯爱枫若情的博客
05-17 2809
通用的处理方案 如果你是一枚前端工程师,我想应该或多或少对浏览器请求有一些了解。 的详细知识,就不再这篇文章里赘述了。 不太了解或者有兴趣了解一下的童鞋可以参考下 mdn 上的这篇文章:Cross-Origin Resource Sharing (CORS) - HTTP | MDN。 文章内容写的很详尽,相信你看完以后,一定会有种恍然大悟的感觉。 既然这篇文章,是想要录下踩坑的历程,接下来肯定得详细录下,坑出现在哪儿了。 一般情况下,出现需要请求之时,对于要求不高的地方,直接改下 we
Sa-Token CORS 策略实战:从开发到生产的解决方案
jwt8token的博客
02-13 878
本文详细解析了Sa-Token框架下CORS(源资源共享)策略的实战应用。从理解浏览器同源策略与问题的本质出发,系统介绍了在开发、测试、生产等不同环境下,如何利用Sa-Token进行灵活、安全的CORS配置,包括动态源管理、预检请求处理、凭证携带以及如何与网关/Nginx协作,为开发者提供了一套从开发到生产的完整解决方案。
sa-token(权限验证框架)请求中的预检请求问题
qq_35655026的博客
12-28 778
对于非简单请求,浏览器会在实际请求(例如PUT、DELETE、PATCH或具有自定义头部和其他Content-Type的POST请求)之前发送OPTIONS请求(预检请求)。这里出现的情况是,我的axios发起的请求因为不知名的原因停止了,并且请求也变得奇奇怪怪,内容都变少了,并且在控制台中再次出现请求错误,但我已经在后端配置了,并且经过测试可以允许了。可以确认就是这个预检请求导致token无法验证,如果预检请求没有通过,浏览器不会发送实际的请求,而是直接拒绝这个请求。
Sa-Token CORS 策略实战:从开发到部署的解决方案
最新发布
fern8的博客
02-26 722
本文详细介绍了如何使用Sa-Token框架解决CORS问题,涵盖从开发到部署的全流程实战方案。针对开发环境提供了快速配置与动态策略,并深入探讨了携带Token的Header与Cookie两种方案。最后,给出了生产环境的安全配置建议及常见问题排查方法,帮助开发者构建安全、高效的前后端分离应用。
【限时免费】 Sa-Token 配置导致 Token 失效问题分析与解决方案
gitblog_01428的博客
08-05 1725
Sa-Token 配置导致 Token 失效问题分析与解决方案 【免费下载链接】Sa-Token 一个轻量级 java 权限认证框架,让鉴权变得简单、优雅! —— 登录认证、权限认证、分布式Session会话、微服务网关鉴权、SSO 单点登录、OAuth2.0 统一认证 ...
Sa-token在springboot中【未能读取到有效Token
m0_63154002的博客
06-16 4501
请求,会对请求做一些特殊处理,对于已经实现CORS接口的服务端,接受请求,并做出回应。有一种情况比较特殊,如果我们发送的请求为“非简单请求”,浏览器会在发出此请求之前首先发送一个请求类型为OPTIONS的“预检请求”,验证请求源是否为服务端允许源,这些对于开发这来说是感觉不到的,由浏览器代理。场景是在springboot项目导入了Sa-token依赖,vue在请求接口是在请求头传递了token,但是后端未能读取到有效的token。产生这种情况的主要原因就是支持CORS请求的浏览器一旦发现。
Go TOKEN机制与处理方式
专注于全栈开发领域
06-15 1915
TOKEN 机制是一种身份验证和授权的方法,广泛应用于 Web 应用中。它允许用户在不暴露用户名和密码的情况下,通过一个令牌(Token)来访问受保护的资源。TOKEN 机制和 CORS 是构建安全、可扩展 Web 服务的基石。Go 语言提供了强大的工具和库来实现这些功能。通过合理配置和代码实现,开发者可以创建既安全又易于使用的 API 服务。希望本文能为开发者提供有价值的指导和启发。
SpringBoot 使用 Sa-Token 的全局过滤器解决问题
半只
10-20 1790
适合 前后端分离,并最开始的时候,换了很多种配置都不行,实在想不到什么原因,后来想到之前使用Shiro框架的时候,也需要额外的处理Shiro导致问题,我马上打开sa-token官网一查,好家伙,果然Sa-Token也需要额外单独配置使用
Sa-Token方案选型指南:Header传参 vs Cookie方案的性能与安全对比(2024最新版)
tech5的博客
02-13 802
本文深入对比了Sa-Token框架中Header传参与Cookie两种方案。通过性能压测与安全分析,揭示了Header方案在吞吐量、稳定性及应对现代浏览器隐私政策方面的优势,并提供了2024年最新的选型决策矩阵与实战避坑指南,帮助开发者在不同业务场景下做出最优选择。
前后端分离问题的OPTIONS请求(预检请求)
weixin_44892327的博客
12-20 1358
只有在满足一定条件的请求中,浏览器才会发送OPTIONS请求(预检请求)。这些请求被称为“非简单请求”。反之,如果一个请求被认为是“简单请求”,那么浏览器将不会发送OPTIONS请求。简单请求需要满足以下条件:只使用以下HTTP方法之一:GET、HEAD或POST。只使用以下HTTP头部:Accept、Accept-Language、Content-Language、Content-Type。
Sa-Token v1.42.0+实战:5分钟搞定前后端分离项目CORS配置
time3的博客
02-24 379
本文详细解析了Sa-Token v1.42.0+在前后端分离项目中的CORS配置实战,提供了三种高效解决方案,包括前端代理配置、Header传Token标准方案及Cookie方案注意事项,帮助开发者快速解决问题
问题处理
xixingzhe2的博客
02-22 590
问题(Cross-Origin Resource Sharing,CORS)是Web开发中常见的安全机制问题,通常发生在浏览器中。当浏览器尝试从一个名(源)向另一个名(源)发起请求时,如果目标服务器没有明确允许请求,浏览器会阻止该请求,从而导致错误。浏览器遵循,即默认情况下,浏览器只允许页面从同一个源(协议、名、端口)加载资源。如果协议、名或端口不同,则被认为是请求。和是同源。和(协议不同)。和(名不同)。和(端口不同)。使用GETPOST或HEAD方法。请求头仅限于。
Sa-Token避坑指南:为什么你的CORS配置还是不生效?
sand8的博客
02-17 190
本文深入解析Sa-Token配置中的常见问题,提供从原理到实践的完整解决方案。针对CORS配置不生效的七大关键雷区,详细讲解预检请求处理、认证信息联调、多环境策略等核心要点,帮助开发者彻底解决难题。特别适用于需要处理Sa-Token认证的复杂场景。
SpringBoot:SaToken的options预检请求鉴权失败
席木木的博客
01-12 999
使用如下sa-token配置,前端通过IP+端口号的方式访问后端服务,会存在options预检请求鉴权失败的问题
Sa-Token v1.42.0+ 实战:从Header到Cookie的三种解决方案对比
weixin_29325955的博客
02-23 317
本文针对Sa-Token v1.42.0+版本,深入对比了解决CORS问题的三种实战方案:开发环境快速通关、基于Header提交Token的现代方案以及基于Cookie的传统方案。重点剖析了Header方案作为现代应用首选的优势、配置细节及安全实践,帮助Java开发者根据项目场景做出清晰、高效的技术选型。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值