Spring Security Config : HttpSecurity安全配置器 CorsConfigurer

最新推荐文章于 2025-05-17 22:17:41 发布
原创 最新推荐文章于 2025-05-17 22:17:41 发布 · 2.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析了Spring Security中CorsConfigurer的配置逻辑与实现细节,包括如何通过不同的方式配置CorsFilter,以及与SpringMVC的集成关系。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

概述

介绍

作为一个配置HttpSecuritySecurityConfigurer,CorsConfigurer的配置任务如下 :

  • 配置如下安全过滤器Filter
    • CorsFilter
      1. 如果CorsConfigurer上设置了属性configurationSource,则基于它创建一个CorsFilter并使用;
      2. 否则如果名称为corsFilterbean存在,则使用该CorsFilter;
      3. 否则如果名称为corsConfigurationSourcebean存在,则基于它创建一个CorsFilter并使用;
      4. 否则如果名称为mvcHandlerMappingIntrospectorbean存在,则基于它创建一个CorsFilter并使用。

        名称为mvcHandlerMappingIntrospectorbean存在表明Spring MVC被使用,因为使用了Spring MVC的话,Spring MVC的配置机制(WebMvcConfigurationSupport)会注册一个类型为HandlerMappingIntrospector名称为mvcHandlerMappingIntrospectorbean到容器。

继承关系

CorsConfigurer

使用

	// HttpSecurity 代码片段
    public CorsConfigurer<HttpSecurity> cors() throws Exception {
		return getOrApply(new CorsConfigurer<>());
	}

源代码

源代码版本 Spring Security Config 5.1.4.RELEASE

package org.springframework.security.config.annotation.web.configurers;

// 省略 imports


public class CorsConfigurer<H extends HttpSecurityBuilder<H>>
		extends AbstractHttpConfigurer<CorsConfigurer<H>, H> {

	private static final String HANDLER_MAPPING_INTROSPECTOR = 
		"org.springframework.web.servlet.handler.HandlerMappingIntrospector";
	private static final String CORS_CONFIGURATION_SOURCE_BEAN_NAME = "corsConfigurationSource";
	private static final String CORS_FILTER_BEAN_NAME = "corsFilter";

	private CorsConfigurationSource configurationSource;

	/**
	 * Creates a new instance
	 *
	 * @see HttpSecurity#cors()
	 */
	public CorsConfigurer() {
	}

	public CorsConfigurer<H> configurationSource(
			CorsConfigurationSource configurationSource) {
		this.configurationSource = configurationSource;
		return this;
	}

	@Override
	public void configure(H http) throws Exception {
		ApplicationContext context = http.getSharedObject(ApplicationContext.class);

		CorsFilter corsFilter = getCorsFilter(context);
		if (corsFilter == null) {
			throw new IllegalStateException(
					"Please configure either a " + CORS_FILTER_BEAN_NAME + " bean or a "
							+ CORS_CONFIGURATION_SOURCE_BEAN_NAME + "bean.");
		}
		http.addFilter(corsFilter);
	}

	private CorsFilter getCorsFilter(ApplicationContext context) {
		if (this.configurationSource != null) {
			return new CorsFilter(this.configurationSource);
		}

		boolean containsCorsFilter = context
				.containsBeanDefinition(CORS_FILTER_BEAN_NAME);
		if (containsCorsFilter) {
			return context.getBean(CORS_FILTER_BEAN_NAME, CorsFilter.class);
		}

		boolean containsCorsSource = context
				.containsBean(CORS_CONFIGURATION_SOURCE_BEAN_NAME);
		if (containsCorsSource) {
			CorsConfigurationSource configurationSource = context.getBean(
					CORS_CONFIGURATION_SOURCE_BEAN_NAME, CorsConfigurationSource.class);
			return new CorsFilter(configurationSource);
		}

		boolean mvcPresent = ClassUtils.isPresent(HANDLER_MAPPING_INTROSPECTOR,
				context.getClassLoader());
		if (mvcPresent) {
			return MvcCorsFilter.getMvcCorsFilter(context);
		}
		return null;
	}


	static class MvcCorsFilter {
		private static final String HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME = 
			"mvcHandlerMappingIntrospector";
		/**
		 * This needs to be isolated into a separate class as Spring MVC is an optional
		 * dependency and will potentially cause ClassLoading issues
		 * @param context
		 * @return
		 */
		private static CorsFilter getMvcCorsFilter(ApplicationContext context) {
			if (!context.containsBean(HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME)) {
				throw new NoSuchBeanDefinitionException(HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME, 
				"A Bean named " + HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME +" of type " 
				+ HandlerMappingIntrospector.class.getName()
				+ " is required to use MvcRequestMatcher. Please ensure Spring Security & Spring MVC "
				+ "are configured in a shared ApplicationContext.");
			}
			HandlerMappingIntrospector mappingIntrospector = 
				context.getBean(HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME, 
				HandlerMappingIntrospector.class);
			return new CorsFilter(mappingIntrospector);
		}
	}
}

参考文章

Spring Security 实现图形验证码
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 278
Spring Security中,实现验证码校验的方式有很多种,最简单的方式就是自定义一个专门处理验证码逻辑的过滤,将其添加到Spring Security过滤链的合适位置。当匹配到登录请求时,立刻对验证码进行校验,成功则放行,失败则提前结束整个验证请求。说到Spring Security的过滤,我们先回顾一下前面使用过的配置。//@EnableWebSecurity:开启SpringSecurity 之后会默认注册大量的过滤servlet filter。
深入 Spring Security 6:从底层机制到动态模块化配置
最新发布
秋雨 De Blog
05-28 842
摘要:本文深入剖析SpringSecurity 6.x底层架构,重点解析FilterChainProxy与SecurityFilterChain的协作机制,以及"Builder+Configurer"设计模式。通过模块化拆分示例,论证基于多个SecurityConfigurer实现动态配置的优势:1)避免单一配置类臃肿,符合单一职责原则;2)支持@ConditionalOnMissingBean实现零代码功能覆盖;3)通过addFilterBefore精确控制过滤顺序;4)便于微服务场
JAVA开发中的安全配置文件:SecurityConfig.java` (Spring Security 配置文件)
weixin_64401027的博客
12-17 1851
Bean@Bean@Override@Bean: JWT 过滤,用于处理 JWT 认证。: 提供认证管理 bean。: 密码编码,使用 BCrypt 加密密码。(Spring Security 配置文件)目的: 配置 Spring Security 以保护应用程序的安全性。内容: 包含认证管理、密码编码、HTTP 安全配置等。作用: 确保应用程序的安全性,包括身份验证、授权、会话管理等功能。
SecurityConfig
喝可乐的鱼哟
12-21 957
package com.yc.config; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
Spring Security 集成指南:避免 CORS 跨域问题
weixin_52236586的博客
05-17 929
CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种安全机制,用于限制浏览中运行的 Web 应用访问不同源的资源。当前端应用(如)尝试请求不同源的 API(如)时,浏览会实施同源策略限制。"同源"意味着协议、域名和端口都必须相同。和是同源的和不是同源的(协议不同)和不是同源的(域名不同)和不是同源的(端口不同)在 Security 配置中显式启用 CORS确保对 OPTIONS 预检请求的正确处理避免多处 CORS 配置冲突。
Spring Security中自定义cors配置
寻码启示
09-29 1610
Spring Security中自定义cors的配置。Spring SecurityConfigurer和Filter的关系,配置Filter的原理。
SecurityConfig配置
ZYH_CKA的博客
05-28 1410
【代码】SecurityConfig配置。
Spring Security Config : HttpSecurity安全配置 ExpressionUrlAuthorizationConfigurer
ywb201314的专栏
04-06 1603
这里每组RequestMatcher表示一组调用者想设定成相同权限控制的Http method/URL pattern,这里所设置的权限属性其实是基于SpEL的权限表达式。// 安全配置指定一个安全表达式处理 SecurityExpressionHandler,// 添加一组需要共同权限设置的 RequestMatcher,并对这组 RequestMatcher 设置相同的权限控制。
spring-security 过滤 (三)
modelmd的博客
02-20 1539
本章介绍 spring-security 过滤配置类 `HttpSecurity`,过滤加载过程,自定义过滤
Spring Security系列】Spring Security使用过滤实现图形验证码
qq_28248897的博客
06-30 1493
在验证用户名和密码之前,引入辅助验证可有效防范暴力试错,图形验证码就是简单且行有效的一种辅助验证方式。下面将使用过滤和自定义认证两种方式实现图形验证码功能。 验证码(CAPTCHA)的全称是Completely Automated Public Turing test to tell Computers and Humans Apart,翻译过来就是“全自动区分计算机和人类的图灵测试”。通俗地讲,验证码就是为了防止恶意用户暴力重试而设置的。不管是用户注册、用户登录,还是论坛发帖,如...
从入门到精通 SpringSecurity & Auth2.0
安静的软件工程师
08-16 1060
从入门到精通 SpringSecurity & Auth2.0
编码技巧——HTTP接口安全之CORS
娜娜米的博客
04-17 3205
日常开发中,对于一些新项目的api工程,会有专门的安全工程师对齐进行安全漏洞扫描,扫描出来的漏洞会被要求限期修复;本篇讲解CORS漏洞的基本概念、原理、示例,以及修复漏洞的代码示例;......
自定义WebMvcConfigurer实现CORS配置--原理分析
07-18 4878
基于自定义WebMvcConfigurer实现CORS配置–原理分析
Spring SecurityConfig模块详解(TODO)
热门推荐
来啊 快活啊
06-15 2万+
发博词由于软件开发中,要解决的安全的问题非常多且零碎,导致了Spring Security在配置项也很多,对于接触不久的人来说,可能本身安全方面的东西平时“工作生活”中就接触比较少,导致在学习Spring Security的过程中,有种剪不断理还乱的感觉。下面我们就通过Spring SecurityConfig模块的架构,来理清这个关系。Spring Security ConfigurerSpri
spring security 配置说明
shining的专栏
12-17 589
以下为若依框架中SecurityConfig对于spring security配置的说明: /** * anyRequest | 匹配所有请求路径 * access | SpringEl表达式结果为true时可以访问 * anonymous | 匿名可以访问 * denyAll ...
HttpSecurity的配置以及登录表单的详细配置和注销登录的配置
Suame_ya的博客
01-03 1542
/** * @Author fei * @Date 2021/1/2 3:43 下午 * * @Configuration用于定义配置类,定义的配置类可以替换xml文件,一般和@Bean注解联合使用。 * @Configuration注解主要标注在某个类上,相当于xml配置文件中的<beans> * @Bean注解主要标注在某个方法上,相当于xml配置文件中的<bean> */ @Configuration public class SecurityConfig ..
CORS跨域资源共享安全配置
liu_xue_xue的专栏
08-07 1223
描述:CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览向跨源服务,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS跨域资源共享存在风险:任何网站都可以使用用户凭据发出请求并读取对这些请求的响应。相信任意来源有效地禁止了同源策略,允许第三方网站的双向交互。因此要做跨域资源共享安全处理。 具体实现: 在application.yml中新增如下配置: security: #跨域相关配..
SpringBoot 6.0版本更新后,安全策略 SecurityConfig 类的新写法。(AcWing配置Mysql与注册登录模块用到)
weixin_43162683的博客
01-25 667
SpringBoot 6.0更新后,重写了该类。
springsecurity的常规配置(SecurityConfig
please93的博客
02-16 1219
SecurityConfig
SpringWeb
03-21
### Spring Web 框架使用教程及常见问题 #### Spring Web 概述 Spring Web 是 Spring Framework 的一个重要模块,专注于构建基于 HTTP 协议的应用程序。它提供了处理请求响应的核心功能以及与其他组件集成的能力[^1]。 以下是关于 Spring Web 的一些核心概念和常见问题解答: --- #### 1. **创建一个简单的 Spring Web 应用** 要快速启动并运行一个 Spring Web 应用,可以通过以下方式实现: - 使用 Spring Initializr 工具初始化项目。 - 添加 `spring-boot-starter-web` 依赖项到项目的 Maven 或 Gradle 文件中。 Maven 示例配置如下所示: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> ``` Gradle 示例配置如下所示: ```gradle implementation 'org.springframework.boot:spring-boot-starter-web' ``` 通过上述依赖引入后,即可利用 Spring MVC 提供的功能开发 RESTful API 和其他 Web 功能。 --- #### 2. **如何测试 Spring Web 控制** 为了确保控制逻辑正常工作,可以借助 JUnit 进行单元测试。推荐使用 `@WebMvcTest` 注解来加载特定的 Controller 并模拟 HTTP 请求。 示例代码如下: ```java import org.junit.jupiter.api.Test; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.boot.test.autoconfigure.web.servlet.WebMvcTest; import org.springframework.http.MediaType; import org.springframework.test.web.servlet.MockMvc; import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.get; import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.status; @WebMvcTest(MyController.class) public class MyControllerTests { @Autowired private MockMvc mockMvc; @Test public void testGetEndpoint() throws Exception { this.mockMvc.perform(get("/api/resource").accept(MediaType.APPLICATION_JSON)) .andExpect(status().isOk()); } } ``` 此方法适用于轻量级的接口测试场景。 --- #### 3. **Spring Web 中的安全性支持** 对于现代应用程序而言,安全性至关重要。Spring Security 可以为 Spring Web 提供全面的身份认证与授权机制。其典型应用场景包括但不限于传统 Web 应用、前后端分离架构下的 Token 认证以及微服务中的网关安全控制[^2]。 例如,在 URL 身份验证方面,可通过定义权限规则保护资源访问路径。具体配置可参考以下代码片段: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") // 仅允许管理员角色访问 /admin/* .anyRequest().authenticated(); // 所有其他请求需登录才能访问 } } ``` --- #### 4. **常见的性能优化建议** 当面对高并发流量时,可以从以下几个角度提升 Spring Web 性能: - 合理设置线程池大小以匹配服务硬件能力; - 利用缓存技术减少数据库查询次数; - 对静态文件启用浏览缓存策略; 这些措施能够显著改善用户体验并降低系统负载。 --- #### 5. **跨域资源共享 (CORS)** 处理方案 如果前端应用部署于不同域名下,则需要正确配置 CORS 政策以便顺利调用后端接口。一种简单的方式是在全局范围内开启 CORS 支持: ```java @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*") .allowedMethods("GET", "POST", "PUT", "DELETE"); } }; } ``` 注意生产环境中应避免使用通配符 "*" 来指定允许来源地址列表。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值