前后端联调的跨域与鉴权问题

字数 1149阅读 233

当我们写好页面时,终于可以前后端联调了,但是还有问题摆在我们面前。

跨域好说。但是如果后台系统需要鉴权,那就没那么好弄了。鉴权是指验证用户是否拥有访问系统的权利。如果没有权限,一般会重定向跳转到一个登录页面,进行登录验证后才可以访问。

尝试1

可以使用CORS。一般后台设置Access-Control-Allow-Origin头部
此时如果设置Access-Control-Allow-Origin,将返回错误:

'preflight is invalid (redirect)' or 'redirect is not allowed for a preflight request'

也就是说,请求时因为鉴权,重定向到了登录页面,而CORS的预检请求是不允许重定向的。因此跨域失败。具体可参考stackoverflow

尝试2

对于webpack打包的项目,我们可以使用devServer代理。比如从www.123.com请求到后台域名www.456.com

module.exports = {
    devServer: {
        proxy: 'www.456.com'
    }
};

当浏览器访问时,会跳转到登录页面。而现在是在代码中请求,可不会弹出一个页面给我们填写,那将直接返回403 forbidden。

尝试3

在尝试2的基础上,我们思考,跨域其实已经成功了,就是登录验证被阻碍。了解cookie就知道,第一次登录后,为了保持登录状态,后面再访问就是携带一个cookie过去就可以了。

那么我们可不可以在www.123.com下拿到www.456.com的cookie,然后请求的时候携带过去就好了。用脚本是拿不到的了,但是我们有浏览器插件:EditThisCookie。

www.456.com中导出cookie,然后导入到www.123.com中,并将cookie中的www.456.com域名全部改为www.123.com

image.png

image.png

这样,我们就用DevServer解决了跨域问题,用EditThisCookie解决了鉴权问题。

但是,这个方法也有问题,那就是cookie会过期,看后台的设置,一般比较短。等cookie过期后,又要在www.456.com登录一遍,然后复制过去。

尝试4

nginx反向代理:

如果你的www.456.com服务是nginx,那么可以反向代理到www.123.com

server
{
    listen       80;
    server_name  www.456.com;
    index index.php;
    root /Users/admin/work/web;

    error_log /Users/admin/work/conf/logs/error_crm_vboa.log;
    access_log /Users/admin/work/conf/logs/access_crm_vboa.log combined;

    location /client/
    {
        proxy_pass http://www.123.com;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $remote_addr;
    }

此时,当我们访问www.456.com/client/时,nginx会帮我们代理到www.123.com,此时的效果就是:www.123.com相当于与www.456.com在同一个域名下了。这样就没有跨域问题了,而且由于在同一域名下,在www.456.com下登录了,然后访问www.456.com/client/时,cookie也会自动携带过去!

然而这种方法也有很大问题:

1.原来的www.123.com的node服务还是不能跨域的,只能访问www.456.com/client/来查看页面了。

2.无热更新!想象一下,我们现在访问的是www.456.com/client/了,www.123.com的node服务还在,但是它不会告诉nginx要自动更新了,只能刷新一下浏览器,然后nginx去访问最新的页面。另外的问题就是控制台一堆不知所以的报错。

起初的情况是如上的,但是后面不知道改了什么配置,打开www.456.com/client/反而访问不了了:

image.png

尝试5

然后,我Google了一下,答案很简单:这是因为webpack-dev-server出于安全考虑,默认检查hostname,如果hostname不是配置内的,将中断访问。

image.png

在devServer中配置不检查host:

module.exports = {
    devServer: {
        disableHostCheck: true
    }
};

大功告成!至此,已经基本上没什么问题了,可以舒舒服服的写代码了。

其实,还有最后的大招:后台暂时注释掉鉴权功能
哈哈,多么干脆,去掉鉴权就没那么多问题了。这是最简单的方法,但是如果有多个项目使用这个后台,那不可能因为你一个项目要调试而去掉,虽然说是测试环境,但这样也很不专业。

最后,跨域是老生常谈的问题了,以为自己很会了,各种方法面试时倒背如流。但是遇到实际问题的时候,便感觉到怎么跟自己的想的不太一样,不能顺利进行。多去实践是对的。