作者:_Yufan

起源:www.cnblogs.com/yfzhou/p/9813177.html

本文总结自实习中对我的项目的重构。原先我的项目采纳 Springboot+freemarker 模版,开发过程中感觉前端逻辑写的切实恶心,后端 Controller 层还必须返回 Freemarker 模版的 ModelAndView,逐步有了前后端拆散的想法,因为之前,没有接触过,次要参考的还是网上的一些博客教程等,初步实现了前后端拆散,在此记录以备查阅。

一、前后端拆散思维

前端从后端剥离,造成一个前端工程,前端只利用 Json 来和后端进行交互,后端不返回页面,只返回 Json 数据。前后端之间齐全通过 public API 约定。

二、后端 Springboot

Springboot 就不再赘述了,Controller 层返回 Json 数据。

@RequestMapping(value = "/add", method = RequestMethod.POST)@ResponseBodypublic JSONResult addClient(@RequestBody String param) {    JSONObject jsonObject = JSON.parseObject(param);    String task = jsonObject.getString("task");    List<Object> list = jsonObject.getJSONArray("attributes");    List<String> attrList = new LinkedList(list);    Client client = JSON.parseObject(jsonObject.getJSONObject("client").toJSONString(),new TypeReference<Client>(){});    clientService.addClient(client, task, attrList);    return JSONResult.ok();}

Post 申请应用 @RequestBody 参数接管。

三、前端 Vue + ElementUI + Vue router + Vuex + axios + webpack

次要参考:

https://cn.vuejs.org/v2/guide/
https://github.com/PanJiaChen...
https://github.com/PanJiaChen...

这里次要说一下开发工程中遇到的问题:

1. 跨域

因为开发中前端工程应用 webpack 启了一个服务,所以前后端并不在一个端口下,必然波及到跨域:

XMLHttpRequest 会恪守同源策略 (same-origin policy). 也即脚本只能拜访雷同协定 / 雷同主机名 / 雷同端口的资源, 如果要冲破这个限度, 那就是所谓的跨域, 此时须要恪守 CORS(Cross-Origin Resource Sharing) 机制。

解决跨域分两种:

1、server 端是本人开发的,这样能够在在后端减少一个拦截器

@Componentpublic class CommonIntercepter implements HandlerInterceptor {    private final Logger logger = LoggerFactory.getLogger(this.getClass());    @Override    public boolean preHandle(HttpServletRequest request,                             HttpServletResponse response, Object handler) throws Exception {        //容许跨域,不能放在postHandle内        response.setHeader("Access-Control-Allow-Origin", "*");        if (request.getMethod().equals("OPTIONS")) {            response.addHeader("Access-Control-Allow-Methods", "GET,HEAD,POST,PUT,DELETE,TRACE,OPTIONS,PATCH");            response.addHeader("Access-Control-Allow-Headers", "Content-Type, Accept, Authorization");        }        return true;    }}
response.setHeader("Access-Control-Allow-Origin", "*");

次要就是在 Response Header 中减少 "Access-Control-Allow-Origin: *"

if (request.getMethod().equals("OPTIONS")) {            response.addHeader("Access-Control-Allow-Methods", "GET,HEAD,POST,PUT,DELETE,TRACE,OPTIONS,PATCH");            response.addHeader("Access-Control-Allow-Headers", "Content-Type, Accept, Authorization");        }

因为咱们在前后端拆散中集成了 shiro,因而须要在 headers 中自定义一个'Authorization'字段,此时一般的 GET、POST 等申请会变成 preflighted request,即在 GET、POST 申请之前会事后发一个 OPTIONS 申请,这个前面再说。举荐一篇博客介绍 preflighted request。

https://blog.csdn.net/cc1314_...

2、server 端不是本人开发的,能够在前端加 proxyTable。

不过这个只能在开发的时候用,后续部署,能够把前端我的项目作为动态资源放到后端,这样就不存在跨域(因为我的项目须要,我当初是这么做的,依据网上博客介绍,能够应用 nginx,具体怎么做能够在网上搜一下)。

遇到了网上很多人说的,proxyTable 无论如何批改,都没成果的景象。

1、(十分重要)确保 proxyTable 配置的地址能拜访,因为如果不能拜访,在浏览器 F12 调试的时候看到的仍然会是提醒 404。

并且留神,在 F12 看到的 js 提醒谬误的域名,是 js 写的那个域名,并不是代理后的域名。(l 楼主就遇到这个问题,后端地址短少了查问参数,代理设置为后端地址,然而 F12 看到的谬误仍然还是本地的域名,并不是代理后的域名)

2、就是要手动再执行一次 npm run dev

四、前后端拆散我的项目中集成 shiro

能够参考:

blog.csdn.net/u013615903/article/details/78781166

这里说一下理论开发集成过程中遇到的问题:

1、OPTIONS 申请不带'Authorization'申请头字段:

前后端拆散我的项目中,因为跨域,会导致简单申请,即会发送 preflighted request,这样会导致在 GET/POST 等申请之前会先发一个 OPTIONS 申请,但 OPTIONS 申请并不带 shiro 的'Authorization'字段(shiro 的 Session),即 OPTIONS 申请不能通过 shiro 验证,会返回未认证的信息。

解决办法:给 shiro 减少一个过滤器,过滤 OPTIONS 申请

public class CORSAuthenticationFilter extends FormAuthenticationFilter {    private static final Logger logger = LoggerFactory.getLogger(CORSAuthenticationFilter.class);    public CORSAuthenticationFilter() {        super();    }    @Override    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {        //Always return true if the request's method is OPTIONSif (request instanceof HttpServletRequest) {            if (((HttpServletRequest) request).getMethod().toUpperCase().equals("OPTIONS")) {                return true;            }        }return super.isAccessAllowed(request, response, mappedValue);    }    @Override    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {        HttpServletResponse res = (HttpServletResponse)response;        res.setHeader("Access-Control-Allow-Origin", "*");        res.setStatus(HttpServletResponse.SC_OK);        res.setCharacterEncoding("UTF-8");        PrintWriter writer = res.getWriter();        Map<String, Object> map= new HashMap<>();        map.put("code", 702);        map.put("msg", "未登录");        writer.write(JSON.toJSONString(map));        writer.close();        return false;    }}

贴一下我的 config 文件:

@Configurationpublic class ShiroConfig {    @Bean    public Realm realm() {        return new DDRealm();    }    @Bean    public CacheManager cacheManager() {        return new MemoryConstrainedCacheManager();    }    /**     * cookie对象;     * rememberMeCookie()办法是设置Cookie的生成模版,比方cookie的name,cookie的无效工夫等等。     * @return     */    @Bean    public SimpleCookie rememberMeCookie(){        //System.out.println("ShiroConfiguration.rememberMeCookie()");        //这个参数是cookie的名称,对应前端的checkbox的name = rememberMe        SimpleCookie simpleCookie = new SimpleCookie("rememberMe");        //<!-- 记住我cookie失效工夫30天 ,单位秒;-->        simpleCookie.setMaxAge(259200);        return simpleCookie;    }    /**     * cookie治理对象;     * rememberMeManager()办法是生成rememberMe管理器,而且要将这个rememberMe管理器设置到securityManager中     * @return     */    @Bean    public CookieRememberMeManager rememberMeManager(){        //System.out.println("ShiroConfiguration.rememberMeManager()");        CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();        cookieRememberMeManager.setCookie(rememberMeCookie());        //rememberMe cookie加密的密钥 倡议每个我的项目都不一样 默认AES算法 密钥长度(128 256 512 位)        cookieRememberMeManager.setCipherKey(Base64.decode("2AvVhdsgUs0FSA3SDFAdag=="));        return cookieRememberMeManager;    }    @Bean    public SecurityManager securityManager() {        DefaultWebSecurityManager sm = new DefaultWebSecurityManager();        sm.setRealm(realm());        sm.setCacheManager(cacheManager());        //注入记住我管理器        sm.setRememberMeManager(rememberMeManager());        //注入自定义sessionManager        sm.setSessionManager(sessionManager());        return sm;    }    //自定义sessionManager    @Bean    public SessionManager sessionManager() {        return new CustomSessionManager();    }    public CORSAuthenticationFilter corsAuthenticationFilter(){        return new CORSAuthenticationFilter();    }    @Bean(name = "shiroFilter")    public ShiroFilterFactoryBean getShiroFilterFactoryBean(SecurityManager securityManager) {        ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean();        shiroFilter.setSecurityManager(securityManager);        //SecurityUtils.setSecurityManager(securityManager);        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();        //配置不会被拦挡的链接,程序判断        filterChainDefinitionMap.put("/", "anon");        filterChainDefinitionMap.put("/static/js/**", "anon");        filterChainDefinitionMap.put("/static/css/**", "anon");        filterChainDefinitionMap.put("/static/fonts/**", "anon");        filterChainDefinitionMap.put("/login/**", "anon");        filterChainDefinitionMap.put("/corp/call_back/receive", "anon");        //authc:所有url必须通过认证能力拜访,anon:所有url都能够匿名拜访        filterChainDefinitionMap.put("/**", "corsAuthenticationFilter");        shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap);        //自定义过滤器        Map<String, Filter> filterMap = new LinkedHashMap<>();        filterMap.put("corsAuthenticationFilter", corsAuthenticationFilter());        shiroFilter.setFilters(filterMap);        return shiroFilter;    }    /**     * Shiro生命周期处理器 * @return     */    @Bean    public LifecycleBeanPostProcessor lifecycleBeanPostProcessor() {        return new LifecycleBeanPostProcessor();    }    /**     * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描应用Shiro注解的类,并在必要时进行平安逻辑验证 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator(可选)和AuthorizationAttributeSourceAdvisor)即可实现此性能 * @return     */    @Bean    @DependsOn({"lifecycleBeanPostProcessor"})    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator() {        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();        advisorAutoProxyCreator.setProxyTargetClass(true);        return advisorAutoProxyCreator;    }    @Bean    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);        return authorizationAttributeSourceAdvisor;    }}

2、设置 session 生效工夫

shiro session 默认生效工夫是 30min,咱们在自定义的 sessionManager 的构造函数中设置生效工夫为其余值

public class CustomSessionManager extends DefaultWebSessionManager {    private static final Logger logger = LoggerFactory.getLogger(CustomSessionManager.class);    private static final String AUTHORIZATION = "Authorization";    private static final String REFERENCED_SESSION_ID_SOURCE = "Stateless request";    public CustomSessionManager() {        super();        setGlobalSessionTimeout(DEFAULT_GLOBAL_SESSION_TIMEOUT * 48);    }    @Override    protected Serializable getSessionId(ServletRequest request, ServletResponse response) {        String sessionId = WebUtils.toHttp(request).getHeader(AUTHORIZATION);//如果申请头中有 Authorization 则其值为sessionId        if (!StringUtils.isEmpty(sessionId)) {            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE, REFERENCED_SESSION_ID_SOURCE);            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, sessionId);            request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);            return sessionId;        } else {            //否则按默认规定从cookie取sessionId            return super.getSessionId(request, response);        }    }}

五、部署我的项目

前端我的项目部署次要分两种办法:

1、将前端我的项目打包(npm run build)成动态资源文件,放入后端,一起打包。后端写一个 Controller 返回前端界面(我应用 Vue 开发的是单页面利用),然而这样其实又将前后端耦合在一起了,不过起码做到前后端拆散开发,不便开发的目标曾经达成,也初步达成了要求,因为我的项目的须要,我是这样做的,并且免去了跨域问题。

@RequestMapping(value = {"/", "/index"}, method = RequestMethod.GET)public String index() {    return "/index";}

2. 将前端工程另启一个服务(tomcat,nginx,nodejs),这样有跨域的问题。

说一下我遇到的问题:

1、nginx 反向代理,导致当拜访无权限的页面时,shiro 302 到 unauth 的 controller,拜访的地址是 https,重定向地址是 http,导致了无法访问。

不应用 shiro 的 shiroFilter.setLoginUrl("/unauth");

当页面无权限拜访时,咱们在过滤器里间接返回错误信息,不利用 shiro 自带的跳转。看过滤器中的 onAccessDenied 函数

public class CORSAuthenticationFilter extends FormAuthenticationFilter {    private static final Logger logger = LoggerFactory.getLogger(CORSAuthenticationFilter.class);    public CORSAuthenticationFilter() {        super();    }    @Override    public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {        //Always return true if the request's method is OPTIONS        if (request instanceof HttpServletRequest) {            if (((HttpServletRequest) request).getMethod().toUpperCase().equals("OPTIONS")) {                return true;            }        }        return super.isAccessAllowed(request, response, mappedValue);    }    @Override    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {        HttpServletResponse res = (HttpServletResponse)response;        res.setHeader("Access-Control-Allow-Origin", "*");        res.setStatus(HttpServletResponse.SC_OK);        res.setCharacterEncoding("UTF-8");        PrintWriter writer = res.getWriter();        Map<String, Object> map= new HashMap<>();        map.put("code", 702);        map.put("msg", "未登录");        writer.write(JSON.toJSONString(map));        writer.close();        return false;    }}

先记录这么多,有不对的中央,欢送指出!

近期热文举荐:

1.1,000+ 道 Java面试题及答案整顿(2021最新版)

2.别在再满屏的 if/ else 了,试试策略模式,真香!!

3.卧槽!Java 中的 xx ≠ null 是什么新语法?

4.Spring Boot 2.5 重磅公布,光明模式太炸了!

5.《Java开发手册(嵩山版)》最新公布,速速下载!

感觉不错,别忘了顺手点赞+转发哦!