zoukankan      html  css  js  c++  java
  • laravel 5.5 oauth2.0 跨域问题解决方案

    一、laravel-Cors

    1. 安装

             在终端执行安装命令如下:

        composer require barryvdh/laravel-cors
    
    1. 添加服务提供商

             在Laravel配置文件app.phpproviders数组中添加如下配置:

        BarryvdhCorsServiceProvider::class,
    
    1. 发布配置文件

    执行在终端执行发布配置文件命令如下:

    php artisan vendor:publish --provider="BarryvdhCorsServiceProvider"
    

    执行后会在laravel目录下的config目录中新增cors.php配置文件,如下图

     
     

    至此laravel-Cors安装完成。

    备注

    • 什么是跨域

    跨域是指从一个域名的网页去请求另一个域名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。跨域的严格一点的定义是:只要 协议,域名,端口有任何一个的不同,就被当作是跨域

    • 为什么浏览器要限制跨域访问

    原因就是安全问题:如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户完全不知情的情况下出现安全问题。

    • 为什么要跨域

    既然有安全问题,那为什么又要跨域呢? 有时公司内部有多个不同的子域,比如一个是b.a.com ,而应用是放在c.a.com , 这时想从b.a.com去访问 location.company.com 的资源就属于跨域。

    • 如何解决跨域问题

    跨域访问需要用到两样东东,一个是JSON,一种基于文本的传输协议;一种是JSONP,一群码农想出来的跨域解决方案。

    • 服务端需要做的

    服务端要检查访问的请求参数,如果没有callback,则可以按照之前的流程走;如果带着callback参数,则需要将返回的结果包装在callback里面。

    • 客户端(浏览器)需要做的

    客户端可以多种方式可以实现JSONP的调用

    • larave-cors做了什么

    CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。
    它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
    laravel-cors官方介绍入下:

    The laravel-cors package allows you to send Cross-Origin Resource Sharing headers with ACL-style per-url configuration.

    也就是说,laravel-cors是在服务端允许了所有带有跨域资源请求的header,并当成正常请求处理,从服务端解决了跨域资源共享的问题。

    关于更多的laravel-cors使用配置,请移步 larave-cors官方GitHub仓库


    第二种,最方便的,新建一个middleWare,把这个middleware加入到全局中间件,所有的请求,都会经过这个中间件的过滤。

    php artisan make:middleware CrossHttp

    然后就会在appHttpMiddlewareCrossHttp.php这个中间件,在handle方法里面添加如下代码:

        public function handle($request, Closure $next) {
            $response = $next($request);
            $response->header('Access-Control-Allow-Origin', '*');
            $response->header('Access-Control-Allow-Headers', 'Origin, Content-Type, Cookie, Accept');
            $response->header('Access-Control-Allow-Methods', 'GET, POST, PATCH, PUT, OPTIONS');
            $response->header('Access-Control-Allow-Credentials', 'false');
            return $response;
        }

    意思是允许所有的域都能访问这个接口。但是这时候不能传递session和cookie,如果想要指定域名来访问,就这样写:

    $response->header('Access-Control-Allow-Origin', 'http://mytest.com');

    这个意思就是只允许http://mytest.com来访问这个接口。 
    到这里还没完,中间件建立了,我们还要加到appHttpKernel.php里面去,不然不能生效。 
    这时候就有选择了,加到全局还是routeGroup?这个就取决于你的应用了,如果你的应用完全是接口,而且都是跨域,name就加到global那里去。如下图所示:

    这里写图片描述

    如果你是某几个接口需要跨域,就写到下面那个routeMiddle里面去。

    这里写图片描述

    然后用的时候就在路由里面加上这个中间件的别名即可。

    这个方法比较简单直接,但是有个缺陷,如果我要多个域名使用接口,并不是所有的,因为*太过open,一个域名又太过死板。怎么办,那就继续往下看。

    第三个方法:

    在服务器端做文章,直接对来访的域名进行过滤,只允许指定的一些域名来访问这些接口。

    With .htaccess you can do it like this:
    
    # ----------------------------------------------------------------------
    # Allow loading of external fonts
    # ----------------------------------------------------------------------
    <FilesMatch ".(ttf|otf|eot|woff)$">
        <IfModule mod_headers.c>
            SetEnvIf Origin "http(s)?://(www.)?(google.com|staging.google.com|development.google.com|otherdomain.net|dev02.otherdomain.net)$" AccessControlAllowOrigin=$0
            Header add Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
        </IfModule>
    </FilesMatch>

    这个我没有测试过,这个需要在程序里面允许所有的,即Access-Control-Allow-Origin', '*',但是在服务器上只允许部分域名访问。

    参考链接:

    https://stackoverflow.com/questions/1653308/access-control-allow-origin-multiple-origin-domains

    https://stackoverflow.com/questions/25309318/best-method-access-control-allow-origin-multiple-origin-domains

    总结:亲测第一种方法是可行的,仅供参考。

  • 相关阅读:
    常用排序算法
    多线程基础知识 转
    转 大型项目架构演进过程
    TCP/IP 思维导图
    Java8 List字符串 去重
    docker lnmp php
    jpa 批量插入
    备忘提醒
    IntelliJ IDEA像Eclipse一样打开多个项目(转)
    IntelliJ Idea 常用快捷键列表
  • 原文地址:https://www.cnblogs.com/qq350760546/p/8744123.html
Copyright © 2011-2022 走看看