laravel 5.5 oauth2.0 跨域问题解决方案

一、laravel-Cors

1. 安装

         在终端执行安装命令如下：

    composer require barryvdh/laravel-cors

2. 添加服务提供商

         在Laravel配置文件app.php的providers数组中添加如下配置：

    BarryvdhCorsServiceProvider::class,

3. 发布配置文件

执行在终端执行发布配置文件命令如下：

php artisan vendor:publish --provider="BarryvdhCorsServiceProvider"

执行后会在laravel目录下的config目录中新增cors.php配置文件，如下图

 

 

至此laravel-Cors安装完成。

备注

• 什么是跨域

跨域是指从一个域名的网页去请求另一个域名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。跨域的严格一点的定义是：只要 协议，域名，端口有任何一个的不同，就被当作是跨域

• 为什么浏览器要限制跨域访问

原因就是安全问题：如果一个网页可以随意地访问另外一个网站的资源，那么就有可能在客户完全不知情的情况下出现安全问题。

• 为什么要跨域

既然有安全问题，那为什么又要跨域呢？ 有时公司内部有多个不同的子域，比如一个是b.a.com ,而应用是放在c.a.com , 这时想从b.a.com去访问 location.company.com 的资源就属于跨域。

• 如何解决跨域问题

跨域访问需要用到两样东东，一个是JSON，一种基于文本的传输协议；一种是JSONP，一群码农想出来的跨域解决方案。

• 服务端需要做的

服务端要检查访问的请求参数，如果没有callback，则可以按照之前的流程走；如果带着callback参数，则需要将返回的结果包装在callback里面。

• 客户端（浏览器）需要做的

客户端可以多种方式可以实现JSONP的调用

• larave-cors做了什么

CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。
它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。
laravel-cors官方介绍入下：

The laravel-cors package allows you to send Cross-Origin Resource Sharing headers with ACL-style per-url configuration.

也就是说，laravel-cors是在服务端允许了所有带有跨域资源请求的header，并当成正常请求处理，从服务端解决了跨域资源共享的问题。

关于更多的laravel-cors使用配置，请移步 larave-cors官方GitHub仓库

第二种，最方便的，新建一个middleWare,把这个middleware加入到全局中间件，所有的请求，都会经过这个中间件的过滤。

php artisan make:middleware CrossHttp

然后就会在appHttpMiddlewareCrossHttp.php这个中间件，在handle方法里面添加如下代码：

    public function handle($request, Closure $next) {
        $response = $next($request);
        $response->header('Access-Control-Allow-Origin', '*');
        $response->header('Access-Control-Allow-Headers', 'Origin, Content-Type, Cookie, Accept');
        $response->header('Access-Control-Allow-Methods', 'GET, POST, PATCH, PUT, OPTIONS');
        $response->header('Access-Control-Allow-Credentials', 'false');
        return $response;
    }

意思是允许所有的域都能访问这个接口。但是这时候不能传递session和cookie，如果想要指定域名来访问，就这样写：

$response->header('Access-Control-Allow-Origin', 'http://mytest.com');

这个意思就是只允许http://mytest.com来访问这个接口。 
到这里还没完，中间件建立了，我们还要加到appHttpKernel.php里面去，不然不能生效。 
这时候就有选择了，加到全局还是routeGroup?这个就取决于你的应用了，如果你的应用完全是接口，而且都是跨域，name就加到global那里去。如下图所示：

如果你是某几个接口需要跨域，就写到下面那个routeMiddle里面去。

然后用的时候就在路由里面加上这个中间件的别名即可。

这个方法比较简单直接，但是有个缺陷，如果我要多个域名使用接口，并不是所有的，因为*太过open，一个域名又太过死板。怎么办，那就继续往下看。

第三个方法：

在服务器端做文章，直接对来访的域名进行过滤，只允许指定的一些域名来访问这些接口。

With .htaccess you can do it like this:

# ----------------------------------------------------------------------
# Allow loading of external fonts
# ----------------------------------------------------------------------
<FilesMatch ".(ttf|otf|eot|woff)$">
    <IfModule mod_headers.c>
        SetEnvIf Origin "http(s)?://(www.)?(google.com|staging.google.com|development.google.com|otherdomain.net|dev02.otherdomain.net)$" AccessControlAllowOrigin=$0
        Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
    </IfModule>
</FilesMatch>

这个我没有测试过，这个需要在程序里面允许所有的，即Access-Control-Allow-Origin', '*'，但是在服务器上只允许部分域名访问。

参考链接：

https://stackoverflow.com/questions/1653308/access-control-allow-origin-multiple-origin-domains

https://stackoverflow.com/questions/25309318/best-method-access-control-allow-origin-multiple-origin-domains

总结：亲测第一种方法是可行的，仅供参考。