Sa-token 中的 CORS 与 Token 访问的博弈

Sa-token：如何在 Spring Boot 项目中巧妙处理 CORS 与 Token 访问

简介

Sa-token 是一个简便易用的权限框架，在 Spring Boot 项目中备受青睐。它无缝集成 CORS 支持，但两者之间的博弈也可能引发一些棘手问题。本文将深入探讨 Sa-token 中 CORS 与 Token 访问的微妙关系，并提供实用的解决方案来克服它们。

CORS 与 Sa-token 的 Token 验证

当跨域请求发起时，浏览器会发送一个预检请求（OPTIONS 方法）来检查请求源是否被服务端允许。同时，Sa-token 的 Token 验证过滤器会拦截所有请求，包括 OPTIONS 预检请求。

如果预检请求未包含有效的 Token，或 Token 无效，服务端会返回 403（Forbidden）错误。这可能会阻碍跨域请求的进行。

解决 Sa-token 中 CORS 与 Token 访问的博弈

为了解决这个难题，开发者可以采取以下措施：

1. 配置 CORS 允许的源： 在 Spring Boot 项目的配置文件（application.yml）中，添加 CORS 配置，指定允许跨域访问的 URL 或域名。例如：

sa-token:
  cors-origins: http://localhost:8080

2. 在请求头中添加 Token： 在所有请求的请求头中，添加有效的 Sa-token Token，格式为：

Authorization: Bearer ${token}

3. 使用合法的 Token： 确保 Token 是有效的 JWT 或 UUID，并正确存储在请求头中。

代码示例：配置 CORS 和 Token 过滤器

在 application.yml 中配置 CORS 和 Token 过滤器：

sa-token:
  cors-origins: http://localhost:8080
  filter: Sa-Token-AuthFilter

预检请求与 Sa-token Token 验证的平衡

通过上述配置，服务端允许指定源的跨域请求，同时 Sa-token 的 Token 验证过滤器也能够拦截所有请求。两者达到一种微妙的平衡：

• 预检请求不会被 Sa-token Token 验证过滤器拦截，允许跨域检查。
• 实际的跨域请求会携带有效的 Token，并通过 Sa-token Token 验证过滤器的验证。

结论

通过采取这些措施，开发者可以轻松解决 Sa-token 中 CORS 与 Token 访问之间的博弈。Sa-token 框架提供了一个灵活且易于使用的机制来管理 CORS 和 Token 验证，使 Spring Boot 项目在跨域访问和安全保障方面游刃有余。

常见问题解答

1. 如何检查 Token 的有效性？
Sa-token 的 Token 验证过滤器会自动验证 JWT 或 UUID Token 的有效性。

2. 如何配置多个允许跨域访问的源？
在 application.yml 中，使用逗号分隔多个允许的源 URL 或域名。

3. 是否可以使用 Basic Auth 而不是 JWT？
Sa-token 提供了 Sa-Token-BasicAuthFilter 过滤器，支持使用 Basic Auth 令牌。

4. 如果 Token 验证失败怎么办？
Sa-token Token 验证过滤器会返回 401（Unauthorized）错误响应。

5. 如何在本地环境下调试 CORS 问题？
在浏览器中启用 CORS 调试扩展，例如 CORS Everywhere，以查看跨域请求的详细信息。