服务器之家

服务器之家 > 正文

SpringBoot+Spring Security无法实现跨域的解决方案

时间:2021-10-14 13:23     来源/作者:dying 搁浅

springboot+spring security无法实现跨域

未使用security时跨域:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
import org.slf4j.logger;
import org.slf4j.loggerfactory;
import org.springframework.beans.factory.annotation.value;
import org.springframework.boot.autoconfigure.autoconfigurebefore;
import org.springframework.context.annotation.configuration;
import org.springframework.format.formatterregistry;
import org.springframework.web.servlet.config.annotation.*;
@configuration
@autoconfigurebefore(securityconfig.class)
public class mymvcconfigurer implements webmvcconfigurer {
    public void addcorsmappings(corsregistry registry){
        logger.info("跨域已设置");
        registry.addmapping("/**")
                .allowedorigins("*")
                .allowedmethods("*")
                .allowedheaders("*")
                .allowcredentials(true)
                .maxage(3600);
    }
}

整合security时发现只用上述方法前后端分离时仍存在跨域问题,

解决方法如下:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
@configuration
@autoconfigurebefore(swagger2configuration.class)
@enablewebsecurity
@enableglobalmethodsecurity(prepostenabled = true)
@order(-1)
public class securityconfig extends websecurityconfigureradapter {
    @override
    protected void configure(httpsecurity http) throws exception {
        http.formlogin()
                .loginprocessingurl("/user/login")
                .loginpage("/singin.html")
                .successhandler(moyuauthenticationsuccesshandler)
                .failurehandler(moyuauthenticationfailurehandler)
                .and()
                .apply(moyusocialsecurityconfig)
                .and()
                .rememberme()
                .tokenrepository(persistenttokenrepository())
                .tokenvalidityseconds(3600*24*7)
                .userdetailsservice(userdetailsservice)
                .and()
                .authorizerequests()
                .antmatchers("/user/login","/login","/singin.html","**","/**").permitall()
                .anyrequest()
                .authenticated()
                .and()
                .cors()
                .and()
                .csrf().disable();
    }
}

重点加入代码:

?
1
2
3
4
.and()
.cors()//新加入
.and()
.csrf().disable();

引用spring security 项目的跨域处理

最近项目采用了前后端分离的框架,前端和后台接口没有部署到一个站点,出现了跨域问题,什么是跨域,这里就不再赘述,直接说解决办法。

spring 解决跨域的方式有很多,个人采用了crosfilter的方式

具体代码如下:

?
1
2
3
4
5
6
7
8
9
10
11
@bean
    public corsfilter corsfilter() {
        final urlbasedcorsconfigurationsource urlbasedcorsconfigurationsource = new      urlbasedcorsconfigurationsource();
        final corsconfiguration corsconfiguration = new corsconfiguration();
        corsconfiguration.setallowcredentials(true);
        corsconfiguration.addallowedorigin("*");
        corsconfiguration.addallowedheader("*");
        corsconfiguration.addallowedmethod("*");
        urlbasedcorsconfigurationsource.registercorsconfiguration("/**", corsconfiguration);
        return new corsfilter(urlbasedcorsconfigurationsource);
    }

配置完成后,测试调用,报错401,依然不行。网上查资料得知,跨域请求会进行两次。具体流程见下图:

SpringBoot+Spring Security无法实现跨域的解决方案

每次跨域请求,真正请求到达后端之前,浏览器都会先发起一个preflight request,请求方式为options 询问服务端是否接受该跨域请求,具体参数如下图:

SpringBoot+Spring Security无法实现跨域的解决方案

但是该请求不能携带cookie和自己定义的header。

由于项目中引入了spring security ,而我使用的token传递方式是在header中使用authorization 字段,这样依赖spring security拦截到 preflight request 发现它没有携带token,就会报错401,没有授权。

解决这个问题很简单,可以使用以下配置

让spring security 不校验preflight request 。

?
1
2
3
4
5
6
@override
   public void configure(httpsecurity http) throws exception {
       expressionurlauthorizationconfigurer<httpsecurity>.expressionintercepturlregistry registry
       = http.authorizerequests();
       registry.requestmatchers(corsutils::ispreflightrequest).permitall();//让spring security放行所有preflight request
   }

再试就搞定了,但是后端直接配置支持跨域会导致两次请求。还使用另一种方式,使用nginx 转发一下请求也可以。

以上为个人经验,希望能给大家一个参考,也希望大家多多支持服务器之家。

原文链接:https://blog.csdn.net/w903328615/article/details/80503750

相关文章

热门资讯

yue是什么意思 网络流行语yue了是什么梗
yue是什么意思 网络流行语yue了是什么梗 2020-10-11
2020微信伤感网名听哭了 让对方看到心疼的伤感网名大全
2020微信伤感网名听哭了 让对方看到心疼的伤感网名大全 2019-12-26
背刺什么意思 网络词语背刺是什么梗
背刺什么意思 网络词语背刺是什么梗 2020-05-22
2021年耽改剧名单 2021要播出的59部耽改剧列表
2021年耽改剧名单 2021要播出的59部耽改剧列表 2021-03-05
苹果12mini价格表官网报价 iPhone12mini全版本价格汇总
苹果12mini价格表官网报价 iPhone12mini全版本价格汇总 2020-11-13
返回顶部