SpringSecurity5(11-跨域配置)

北冰洋以北  论坛元老 | 2025-3-26 09:05:11 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 1830|帖子 1830|积分 5490

SpringBoot跨域处理

@CrossOrigin(局部跨域)


  • 作用在方法上
  1. @RestController
  2. public class IndexController {
  4.     @CrossOrigin(value = "http://localhost:8082")
  5.     @GetMapping("/hello")
  6.     public String hello() {
  7.         return "get hello";
  8.     }
  10.     @CrossOrigin(value = "http://localhost:8082")
  11.     @PostMapping("/hello")
  12.     public String hello2() {
  13.         return "post hello";
  14.     }
  15. }
复制代码

  • 作用在类上
  1. @CrossOrigin(origins = "http://example.com", maxAge = 3600)
  2. @RestController
  3. @RequestMapping("/account")
  4. public class AccountController {
  6.     @RequestMapping(method = RequestMethod.GET, path = "/{id}")
  7.     public Account retrieve(@PathVariable Long id) {
  8.         // ...
  9.     }
  11.     @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
  12.     public void remove(@PathVariable Long id) {
  13.         // ...
  14.     }
  15. }
复制代码
WebMvcConfigurer(全局跨域)
  1. @Configuration
  2. public class WebMvcConfig implements WebMvcConfigurer {
  4.     @Override
  5.     public void addCorsMappings(CorsRegistry registry) {
  6.         registry.addMapping("/**")
  7.                 .allowedHeaders("Content-Type","X-Requested-With","accept,Origin","Access-Control-Request-Method","Access-Control-Request-Headers","token")
  8.                 .allowedMethods("*")
  9.                 .allowedOrigins("*")
  10.                 .allowCredentials(true);
  11.     }
  12. }
复制代码
SpringSecurity跨域处理

跨域配置详解

如果利用了 Spring Security,上面的跨域配置会失效,因为请求被 Spring Security 拦截了
在项目中利用 Spring Security,我们必须采取额外的步骤确保它与 CORS 协作精良。这是因为 CORS 需要首先处理,否则,Spring Security 会在请求到达 Spring MVC 之前将其拒绝
  1. @Configuration
  2. public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
  4.     @Override
  5.     protected void configure(HttpSecurity http) throws Exception {
  6.         http.cors().and()...
  7.     }
  8. }
复制代码
可以配置 CORS 以覆盖默认的 Spring Security CORS 处理器。为此,我们需要添加一个 CorsConfigurationSource Bean,利用 CorsConfiguration 实例来处理 CORS 配置。如果添加了 CorsFilter Bean,http.cors() 方法就会利用 CorsFilter,否则就会利用 CorsConfigurationSource。如果两者都未配置,则利用 Spring MVC pattern inspector handler。
  1. public class CorsConfigurer<H extends HttpSecurityBuilder<H>>
  2.                 extends AbstractHttpConfigurer<CorsConfigurer<H>, H> {
  4.     private static final String HANDLER_MAPPING_INTROSPECTOR = "org.springframework.web.servlet.handler.HandlerMappingIntrospector";
  5.     private static final String CORS_CONFIGURATION_SOURCE_BEAN_NAME = "corsConfigurationSource";
  6.     private static final String CORS_FILTER_BEAN_NAME = "corsFilter";
  8.     private CorsConfigurationSource configurationSource;
  10.     public CorsConfigurer() {
  11.     }
  13.     public CorsConfigurer<H> configurationSource(
  14.             CorsConfigurationSource configurationSource) {
  15.         this.configurationSource = configurationSource;
  16.         return this;
  17.     }
  19.     @Override
  20.     public void configure(H http) {
  21.         ApplicationContext context = http.getSharedObject(ApplicationContext.class);
  23.         CorsFilter corsFilter = getCorsFilter(context);
  24.         if (corsFilter == null) {
  25.             throw new IllegalStateException(
  26.                     "Please configure either a " + CORS_FILTER_BEAN_NAME + " bean or a "
  27.                             + CORS_CONFIGURATION_SOURCE_BEAN_NAME + "bean.");
  28.         }
  29.         http.addFilter(corsFilter);
  30.     }
  32.     private CorsFilter getCorsFilter(ApplicationContext context) {
  33.         if (this.configurationSource != null) {
  34.             return new CorsFilter(this.configurationSource);
  35.         }
  37.         // 查找是否有名为corsFilter的Bean对象
  38.         boolean containsCorsFilter = context
  39.                 .containsBeanDefinition(CORS_FILTER_BEAN_NAME);
  40.         if (containsCorsFilter) {
  41.             return context.getBean(CORS_FILTER_BEAN_NAME, CorsFilter.class);
  42.         }
  44.         // 查找是否有名为corsConfigurationSource的Bean对象
  45.         boolean containsCorsSource = context
  46.                 .containsBean(CORS_CONFIGURATION_SOURCE_BEAN_NAME);
  47.         if (containsCorsSource) {
  48.             CorsConfigurationSource configurationSource = context.getBean(
  49.                     CORS_CONFIGURATION_SOURCE_BEAN_NAME, CorsConfigurationSource.class);
  50.             return new CorsFilter(configurationSource);
  51.         }
  53.         // 查找是否有org.springframework.web.servlet.handler.HandlerMappingIntrospector该类
  54.         boolean mvcPresent = ClassUtils.isPresent(HANDLER_MAPPING_INTROSPECTOR,
  55.                 context.getClassLoader());
  56.         if (mvcPresent) {
  57.             return MvcCorsFilter.getMvcCorsFilter(context);
  58.         }
  59.         return null;
  60.     }
  63.     static class MvcCorsFilter {
  64.         private static final String HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME = "mvcHandlerMappingIntrospector";
  66.         private static CorsFilter getMvcCorsFilter(ApplicationContext context) {
  67.             if (!context.containsBean(HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME)) {
  68.                 throw new NoSuchBeanDefinitionException(HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME, "A Bean named " + HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME +" of type " + HandlerMappingIntrospector.class.getName()
  69.                         + " is required to use MvcRequestMatcher. Please ensure Spring Security & Spring MVC are configured in a shared ApplicationContext.");
  70.             }
  71.             // 获取名为mvcHandlerMappingIntrospector的Bean对象
  72.             HandlerMappingIntrospector mappingIntrospector = context.getBean(HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME, HandlerMappingIntrospector.class);
  73.             return new CorsFilter(mappingIntrospector);
  74.         }
  75.     }
  76. }
复制代码
CorsConfigurationSource(全局跨域)
  1. @Configuration
  2. public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
  4.     @Override
  5.     protected void configure(HttpSecurity http) throws Exception {
  6.         http.authorizeRequests()
  7.             .anyRequest()
  8.             .permitAll()
  9.             .and()
  10.             .formLogin()
  11.             .permitAll()
  12.             .and()
  13.             .httpBasic()
  14.             .and()
  15.             // 支持跨域访问
  16.             .cors()
  17.             // 可以选择配置
  18.             //.configurationSource(corsConfigurationSource())
  19.             .and()
  20.             .csrf()
  21.             .disable();
  22.     }
  23.    
  24.     @Bean
  25.     public CorsConfigurationSource corsConfigurationSource() {
  26.         CorsConfiguration configuration = new CorsConfiguration();
  27.         configuration.setAllowedOrigins(Arrays.asList("*"));
  28.         configuration.setAllowedMethods(Arrays.asList("*"));
  29.         configuration.setAllowedHeaders(Arrays.asList("*"));
  30.         UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
  31.         source.registerCorsConfiguration("/**", configuration);
  32.         return source;
  33.     }
  34. }
复制代码
CosFilter(全局跨域)

还有一种情况就是支持 OAuth2 相关接口的跨域,比如用户要访问 OAuth2 中的 /oauth/token 等接口,可以配置一个全局的 CorsFilter 跨域过滤器类
  1. @Configuration
  2. public class GlobalCorsConfig {
  3.    
  4.     @Bean
  5.     public CorsFilter corsFilter() {
  6.         //1.添加CORS配置信息
  7.         CorsConfiguration config = new CorsConfiguration();
  8.         //放行哪些原始域
  9.         config.addAllowedOrigin("*");
  10.         //是否发送Cookie信息
  11.         config.setAllowCredentials(true);
  12.         //放行哪些原始域(请求方式)
  13.         config.addAllowedMethod("*");
  14.         //放行哪些原始域(头部信息)
  15.         config.addAllowedHeader("*");
  16.         //暴露哪些头部信息(因为跨域访问默认不能获取全部头部信息)
  17.         config.addExposedHeader("*");
  19.         //2.添加映射路径
  20.         UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
  21.         configSource.registerCorsConfiguration("/**", config);
  23.         //3.返回新的CorsFilter.
  24.         return new CorsFilter(configSource);
  25.     }
  26. }
复制代码
自定义Filter(全局跨域)
  1. public class CorsFilter extends OncePerRequestFilter {
  2.    
  3.     @Override
  4.     protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
  5.         String orignalHeader = StringUtils.defaultIfBlank(request.getHeader("Origin"), "*");
  6.         // 指定本次预检请求的有效期
  7.         response.setHeader("Access-Control-Max-Age", "3600");
  8.         // 服务器支持的所有头信息字段
  9.         response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
  10.         response.setHeader("Access-Control-Allow-Origin", orignalHeader);
  11.         response.setHeader("Access-Control-Allow-Credentials", "true");
  12.         response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT");
  13.         filterChain.doFilter(request, response);
  14.     }
  15. }
复制代码
  1. @Configuration
  2. public class WebMvcConfig extends WebSecurityConfigurerAdapter {
  3.    
  4.     @Override
  5.     public void configure(HttpSecurity http) throws Exception {
  6.         http.addFilterBefore(new CorsFilter(), WebAsyncManagerIntegrationFilter.class);
  7.     }
  8. }
复制代码


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

北冰洋以北

论坛元老
这个人很懒什么都没写!

楼主热帖

标签云

集成商 AI 运维 CIO 存储 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表