Springboot跨域失败,配置无效,原因出自SpringSecurity!

最新推荐文章于 2025-04-16 12:41:40 发布
转载 最新推荐文章于 2025-04-16 12:41:40 发布 · 1.7k 阅读 · 7 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/mr_orange_klj/article/details/108984354
文章标签:

#java #spring boot #后端 #spring

本文详细解析了在SpringBoot项目中使用SpringSecurity时遇到的跨域问题,并提供了具体的解决方案,包括如何在WebSecurityConfigurerAdapter中正确配置跨域。

虽然我们在WebMvcConfigurer中设置跨域,但是如果WebSecurityConfigurerAdapter中不设置http.cors(),会导致一个的问题:
如果一个需要被spring security过滤器验证的请求,比如对url“/getInfo”的请求,如果这个请求没有通过验证,比如没有携带token或token不正确,
导致没有给该请求发放authentication,那么这个请求会在后续的Authentication过滤器中被认定鉴权失败,直接返回response给客户端。
这种情况下请求将不会交给WebMvcConfigurer的跨域过滤器,
而WebMvcConfigurer的跨域过滤器会给response header中添加“Access-Control-Allow-Origin”字段,
该字段表示服务器接收此Origin的跨域请求。
由于该请求不会经过WebMvcConfigurer的过滤器,因此响应头中不会携带“Access-Control-Allow-Origin”字段,
导致虽然请求正确在服务器处理了,也把响应发回给浏览器了,但是浏览器认为服务器不接受该地址的跨域请求,
不会将response传递给页面脚本,并且提示该服务器禁止此Origin的跨域请求
故在SpringBoot中使用Spring Security,需要在WebSecurityConfigurerAdapter和WebMvcConfigurer中同时开启跨域。

@Configuration
@EnableWebSecurity
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {		//不要忘记配置跨域!
        http.cors().and().csrf().disable();
        ...
    }
 
}

感谢这位大哥的帮助才解决这个问题!
这是原文链接:
https://blog.youkuaiyun.com/mr_orange_klj/article/details/108984354

GD_MRS_LIN
关注
SpringBoot 域配置未生效
qq_43775034的博客
12-01 2402
Springboot处理时出现如下问题 前端: Access to XMLHttpRequest at ‘http://localhost:8086/test/hello’ from origin ‘http://localhost:8080’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the requested resource. 后端: ava.lang.Illega
Springboot拦截器中失效的问题、同一个接口传入参数不同,一个成功,一个有问题、拦截器和@CrossOrigin和@Controller
不知道你是通过何种途径访问到这里,总之欢迎来到red velet的博客
02-08 2753
Springboot拦截器中失效的问题、同一个接口传入参数不同,一个成功,一个有问题、拦截器和@CrossOrigin和@Controller、- 同一个接口,传入不同参数进行值的修改时,一个成功,另一个竟然失败,而且是**问题** - 拦截器内的request参数调用getHeader方法时,获取不到前端设置的请求头,且浏览器显示有,但是后端输出后只有对于的key,而且key变成了`access-control-request-headers`的value - 拦截器失效问题
springboot全局配置不生效问题,其中一种情况
qq_54568069的博客
12-29 814
如果网上其他方法都试过了,还没有解决,那大概率就是我这种情况了,你的配置类没有被扫描到,这种情况下,你可以把你的配置类放在和启动类在同一个包下,同一级,这样不需要添加注解就可以扫描,那样配置不生效问题就可以解决。但我推荐用第二种,加注解扫描你的配置类,就像下面截图这样,我注释掉的那一行就是扫描注解,加上注解之后问题就解决了。然后和网上其他方式一样,做好全局域配置,大同小异。前端有错,但是后端可以正常拿到数据。在前端可以正常拿到数据了。首先,可以都是这个报错
springboot2.0设置没效果
weixin_44021888的博客
12-14 3614
springboot2.0设置没效果 可能原因1:没有设置允许 @Configuration public class CrosConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*")
springboot创建拦截器,导致域配置失效
wangudian的博客
10-31 1272
springboot+vue问题
Springboot +spring security,解决问题
weixin_40991408的博客
05-26 2594
Springboot +spring security,解决问题
SpringBoot 优雅配置多种方式及Spring Security访问配置的坑
manong20210713的博客
08-29 427
前言# 最近在做项目的时候,基于前后端分离的权限管理系统,后台使用 Spring Security 作为权限控制管理, 然后在前端接口访问时候涉及到,但我怎么配置也没有生效,这里有一个坑,在使用Spring Security时候单独配置SpringBoot 越还不行,还需要配置Security 才行。 什么是# 是一种浏览器同源安全策略,即浏览器单方面限制脚本的访问 在 HTML 中,<a>, <form>, <img>, <sc
记录一次SpringBoot的踩坑经历——SpringSecurity解决方案(/oauth/token 401)
Harrison
04-23 3007
项目场景: 目前在重构一个导购后端系统,我负责用户的模块和登录鉴权的整个业务的架构设计和代码编写 利用SpringBoot + SpringSecurity + Oauth2完成了简单的登录和鉴权 登录功能:首先需要调用/oauth/token接口,根据用户名密码获取toke,拿到token后将token放入请求头Header中再去请求其它接口。 接口开发完成并使用Postman测试通过,再由前端去画页面联调接口。 问题描述: 问题就出现在了前端接口联调这里,前端是用Vue完成的,安装好Node
Nginx+SpringBoot那些事儿(多加强版——Nginx配置详解)
weinichendian的博客
04-16 1182
通过今天的分享,相信你已经掌握了如何在Nginx中配置多个访问的方法。Nginx+SpringBoot这对黄金搭档不仅让你的应用更加灵活、强大,还让你的问题迎刃而解。未来,随着技术的不断发展,相信会有更多优秀的解决方案涌现出来,让我们的开发工作变得更加轻松、高效!好啦,今天的分享就到这里啦!如果你还有其他问题或者想要了解更多关于Nginx和SpringBoot的知识,记得关注我哦!咱们下次再见啦!
精选资源
解决前后端分离 vue+springboot session+cookie失效问题
01-19
后端 springboot2.0 ip地址:192.168.1.217 主要开发后端。 问题: 首先登陆成功时将用户存在session中,后续请求在将用户从session中取出检查。后续请求取出的用户都为null。 解决过程: 首先发现sessionID不一致,...
SpringBoot创建拦截器及创建自定义拦截器后域配置失效
weixin_48469176的博客
07-13 1472
SpringBoot创建拦截器及创建自定义拦截器后域配置失效
springboot 处理无效填坑篇
热门推荐
huhui806的博客
04-21 1万+
文章目录什么是解决方案实践出真知首次尝试@CrossOrigin,失败再次尝试WebMvcConfigurer失败再再次尝试Filter,成功总结      近期前端大佬要预研一套系统,需要后端支持一下,所以快速搭建了一个简单springboot服务,构建工程、编写接口、自测一切都ok,但是联调出问题了!!!页面调试工具一直显示CORS error,然后开启了一段之路~~ 什么是 CORS全称为Cross Origin Resource Sha
SpringBoot创建拦截器,域配置失效
xnian_的博客
06-05 674
【代码】SpringBoot创建拦截器,域配置失效
SpringBoot配置的序列化器、域配置不起作用!!!!!!!
m0_73692901的博客
06-16 724
在今早的时候测试之前写的接口,就发现了一个奇怪的事,我穿的数据本来就是时间数据(LocalDataTime),但是给我返回的却是一个数组!一下子就整个惊呆了老铁!然后通过网上去查的时候,就是说配置好@JsonFormat就可以了,但是在我配置完,然后继续允许的时候发现还是这个问题,我心想难道这玩意还没配置好!
关于在SpringBoot项目中创建了过滤器后,被拦截下来的请求设置失效原因及处理
weixin_48469176的博客
02-06 2963
关于在SpringBoot项目中创建了过滤器后,被拦截下来的请求设置失效原因及处理
解决 Spring Boot + Vue 前后端分离域配置无效的问题
有来技术
04-21 2753
本文通过实战配置 CORS 解决 SpringBoot 和 Vue 前后端请求限制,再从原理上分析 CORS 配置为什么会在 Spring Security 场景下会失效以及如何解决。
Spring boot配置全局未生效,访问接口报错
Flying_6的博客
12-28 727
问题描述 java.lang.IllegalArgumentException: When allowCredentials is true, allowedOrigins cannot contain the special value "*"since that cannot be set on the “Access-Control-Allow-Origin” response header. To allow credentials to a set of origins, list them
SpringBoot2.5问题(CrossOrigin不起作用)
TangHL_world的博客
08-12 2353
SpringBoot版本的不同,CrossOrigin失效了,正确配置如下: @CrossOrigin(originPatterns = "*", allowCredentials = "true", maxAge = 3600) 如果以上方法还是不生效,最后的终极方法可以进行硬编码进行设置: 对需要的接口,进行Response对象设置可URL设置(*代表所有URL可访问) public Result findAll(@RequestParam Integer page,
后端问题解决
weixin_45509601的博客
09-11 763
出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个javascript脚本和另外一个的内容进行交互。所谓同源(即指在同一个)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port) 当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为
springboot 修复Spring Security冲突
最新发布
11-21
<think> 我们正在解决Spring Boot问题与Spring Security冲突的修复方法。 根据用户需求,他遇到了在配置后,由于Spring Security的存在导致域配置不生效的情况。 常见原因Spring Security的过滤器链会覆盖或忽略域配置,因此需要额外配置。 解决方案通常有两种: 1. 在Spring Security配置中显式启用CORS支持,并配置CORS过滤器。 2. 调整过滤器的顺序,确保CORS过滤器在Spring Security过滤器之前。 具体步骤: 方法一:在Spring Security配置中启用CORS 步骤: a. 确保已经有一个全局的CORS配置(例如通过`@CrossOrigin`注解或`WebMvcConfigurer`)。 b. 在Spring Security配置类中,调用`cors()`方法启用CORS支持。 示例代码: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .cors() // 启用CORS支持 .and() // ... 其他配置(如授权、认证等) } // 可选:如果你没有使用全局的CORS配置(通过WebMvcConfigurer),可以在这里定义一个CorsConfigurationSource @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOrigins(Arrays.asList("http://localhost:3000")); // 允许的来源 configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE")); // 允许的方法 configuration.setAllowedHeaders(Arrays.asList("*")); // 允许的头部 configuration.setAllowCredentials(true); // 允许凭据(如cookies) UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); // 对所有路径生效 return source; } } ``` 注意:如果已经在其他地方(如`WebMvcConfigurer`)配置全局CORS,那么只需要在`SecurityConfig`中调用`.cors()`即可,不需要再定义`corsConfigurationSource`。但如果同时定义了,Spring Security会使用自己配置的`corsConfigurationSource`。 方法二:如果方法一不生效,可以尝试自定义CORS过滤器并调整顺序 步骤: 创建一个CORS过滤器,并将其置于Spring Security过滤器之前。 示例代码: 首先,创建一个CORS配置的过滤器(也可以直接使用Spring提供的`CorsFilter`): ```java @Configuration public class CorsFilterConfig { @Bean public FilterRegistrationBean<CorsFilter> corsFilter() { // 创建CORS配置 CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); // 允许凭证(cookies) config.addAllowedOrigin("http://localhost:3000"); // 允许的源 config.addAllowedHeader("*"); // 允许所有头 config.addAllowedMethod("*"); // 允许所有方法(GET, POST等) // 配置源(对所有路径生效) UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", config); // 创建过滤器 FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<>(new CorsFilter(source)); bean.setOrder(Ordered.HIGHEST_PRECEDENCE); // 设置最高优先级,确保在Spring Security过滤器之前执行 return bean; } } ``` 为什么需要设置最高优先级?因为Spring Security的过滤器链(如`UsernamePasswordAuthenticationFilter`)可能会在CORS过滤器之前执行,从而拒绝请求。 另外,注意如果同时使用了方法一和方法二,可能会造成两次CORS处理,通常只需要一种方法即可。 根据用户提供的引用[1]和[2],他们可能遇到了Spring Security版本问题,因此建议使用最新的稳定版本。如果用户遇到的是安全漏洞问题(如引用[2]提到的CVE-2022-229),那么升级Spring Security版本是必要的。 因此,在解决Spring Security冲突时,建议: 1. 升级Spring Security到安全版本(如引用[1]中提到的5.7.4,引用[2]中提到的5.6.3,但注意5.6.3可能存在漏洞,建议使用最新版本)。 2. 采用上述方法之一配置CORS。 最后,请注意:如果请求中需要携带认证信息(如cookies),则必须设置`setAllowCredentials(true)`,并且不能使用`allowedOrigins("*")`,而应该指定具体的名(如`setAllowedOrigins(Arrays.asList("http://localhost:3000"))`)。 总结: 在Spring Boot中解决Spring Security冲突的关键在于在Spring Security配置中启用CORS并正确配置CORS源,或者通过一个高优先级的CORS过滤器来处理请求。 希望这些方法能帮助用户解决问题。 生成相关问题: </think> ### Spring Boot 解决Spring Security 冲突的方法 在 Spring Boot配置时,**Spring Security 会覆盖全局 CORS 设置**,导致域配置失效。以下是完整的解决方案: --- #### 解决方案 1️⃣:在 Spring Security 配置中启用 CORS(推荐) **核心原理**:通过 `HttpSecurity` 显式启用 CORS 支持 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .cors() // 关键:启用 CORS 支持 .and() // 其他安全配置 .authorizeRequests() .antMatchers("/api/public/**").permitAll() .anyRequest().authenticated(); } // 配置 CORS 规则(可选) @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfiguration config = new CorsConfiguration(); config.setAllowedOrigins(Arrays.asList("http://localhost:3000")); config.setAllowedMethods(Arrays.asList("GET", "POST")); config.setAllowCredentials(true); // 允许凭证(如 cookies) UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", config); // 应用到所有路径 return source; } } ``` > ✅ **关键点**: > - `.cors()` 激活 Spring Security 的 CORS 过滤器 > - `corsConfigurationSource()` 定义具体规则(如不定义则使用全局配置) --- #### 解决方案 2️⃣:调整全局配置优先级 **核心原理**:确保 CORS 过滤器在 Security 过滤器之前执行 ```java @Configuration public class CorsConfig { // 手动注册 CORS 过滤器并设置最高优先级 @Bean public FilterRegistrationBean<CorsFilter> corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.setAllowedOrigins(Collections.singletonList("*")); config.setAllowedMethods(Arrays.asList("HEAD", "GET", "POST", "PUT", "DELETE")); config.setAllowedHeaders(Collections.singletonList("*")); source.registerCorsConfiguration("/**", config); FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<>(new CorsFilter(source)); bean.setOrder(Ordered.HIGHEST_PRECEDENCE); // 关键:最高优先级 return bean; } } ``` --- #### 解决方案 3️⃣:修复安全漏洞冲突 若遇到因安全漏洞修复导致的冲突(如引用[2]中的 CVE-2022-229): ```xml <!-- pom.xml 中升级 Spring Security --> <properties> <spring-security.version>5.7.4</spring-security.version> <!-- 使用安全版本 --> </properties> ``` > 升级后需重新测试域配置,某些安全补丁可能修改 CORS 处理逻辑[^2]。 --- #### 📌 验证技巧 1. **检查过滤器顺序**: ```bash # 启动日志中查看过滤器链 o.s.b.w.embedded.tomcat.TomcatWebServer : Tomcat started on port(s): 8080 o.s.security.web.FilterChainProxy : /api/**: OrderedFilter: WebAsyncManagerIntegrationFilter OrderedFilter: SecurityContextPersistenceFilter OrderedFilter: HeaderWriterFilter OrderedFilter: CorsFilter # 确保出现在 Security 过滤器之前 ... ``` 2. **测试请求**: ```bash curl -I -H "Origin: http://localhost:3000" http://your-api/api/data # 检查返回头是否包含: Access-Control-Allow-Origin: http://localhost:3000 ``` --- #### 常见错误排查 | 现象 | 原因 | 修复方案 | |------|------|----------| | `CORS preflight` 请求 403 错误 | Spring Security 拦截 OPTIONS 请求 | 在配置中添加 `.antMatchers(HttpMethod.OPTIONS, "/**").permitAll()` | | 请求被拒但 Postman 正常 | 浏览器同源策略限制 | 检查 `Access-Control-Allow-Origin` 头是否精确匹配 | | 登录后失效 | 未启用凭证支持 | 配置 `config.setAllowCredentials(true)` 且不能使用 `*` 名 | > ⚠️ **安全提示**:生产环境避免使用 `setAllowedOrigins("*")`,应明确指定可信名[^1]。 --- #### 最佳实践总结 1. **优先使用方案 1**:通过 `.cors()` 集成最可靠 2. **升级安全依赖**:避免已知漏洞导致的冲突[^2] 3. **严格名控制**:禁用通配符 `*` 的 `Access-Control-Allow-Origin` 4. **测试预检请求**:确保 OPTIONS 方法不被拦截 > 完整示例代码:[Spring Security CORS 官方文档](https://docs.spring.io/spring-security/reference/servlet/integrations/cors.html) ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值