oauth2中token端点跨域配置

最新推荐文章于 2025-10-12 15:11:45 发布
原创 最新推荐文章于 2025-10-12 15:11:45 发布 · 1.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#oauth2 #/oauth/token #跨域

在vue前端访问springboot2.7+security+oauth2搭建的认证授权服务器的oauth/token端点时,发生跨域问题。
场景:访问oauth/token接口时,在认证授权服务中已添加了springboot2.7版本的跨域配置,且在WebSecurityConfig和ResourceServerConfig中均已开启去允许跨域,还是发生了跨域。
分析:分析过后怀疑是/oauth/*端点被加入到spring security过滤链中了,这时需要自己写过滤器,并设置优先级高于security过滤器。
解决:
针对/oauth/*端点的跨域配置

@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CorsFilter implements Filter {

    public CorsFilter() {
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        HttpServletRequest request = (HttpServletRequest) req;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with, authorization");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");

        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            chain.doFilter(req, res);
        }
    }

    @Override
    public void init(FilterConfig filterConfig) {
    }

    @Override
    public void destroy() {
    }
}

跨域请求时会先发送OPTIONS请求,而OPTIONS请求头并不会携带认证信息,需要放开。Spring源码中地址/oauth/token默认的访问控制策略是”fullyAuthenticated“,导致跨域时OPTIONS请求因认证失败而跳转/ERROR返回错误响应。

其实,还可以采用在webSecurity中ignore请求类型为options的请求,并在AuthorizationServerConfig中的endpoints设置跨域的配置。
后续若有更新,会持续更新。

22、使用 Spring 和 OAuth2 保护单个端点
blue42的博客
07-15 39
本文详细介绍了如何使用 Spring 和 OAuth2 的密码授权类型来保护单个端点。内容涵盖 OAuth2 的基本概念、认证服务的搭建、客户端应用的注册、用户配置以及使用 POSTMAN 进行测试的完整流程。同时,还探讨了 JWT 的集成方法和微服务架构下的其他安全考虑因素,帮助开发者构建更加安全可靠的系统。
Golang OAuth2 常见问题与解决方案
Golang编程笔记的博客
05-08 1261
本文针对Golang开发者在实现OAuth2认证授权时遇到的典型问题,提供系统性解决方案。内容覆盖OAuth2核心流程(授权码模式、隐式模式、客户端凭证模式、资源所有者密码模式)的Golang实现细节,重点解决令牌生命周期管理、安全漏洞防范、平台适配等工程问题。通过理论分析与代码实战结合,帮助开发者建立健壮的认证授权体系。背景知识:OAuth2核心概念与Golang生态简介核心问题:令牌管理、状态验证、重定向安全等六大类问题解析解决方案:结合代码示例的分步实现指南。
Springboot通过cors解决问题(解决spring security oath2的/oauth/token问题)
GeorgeShaw1的专栏
07-13 1万+
在工程里添加两个类: CorsConfig.java: 实现全局过滤器,设置CORS,注意一定要是全局。网上说多加一个注解(Spring官网)或者加Cors Mapper只能解决自定义接口的,对于spring security oath2的默认接口,例如 /oauth/token问题,是无法解决的,必须通过本文的全局CORS Filter解决。package com.qiaoya.inte
spring security oauth2.0 根据token信息获取用户信息
热门推荐
u013911102的博客
09-14 1万+
项目场景: 既然前面有说到spring security 是如何验证当前用户以及获取到当前用户信息,哪么spring security auth2.0又是如何验证当前用户信息的呢? 技术详解: spring security auth2.0验证用户信息其实更加简单,具体的逻辑就在OAuth2AuthenticationProcessingFilter,我们先一起看看OAuth2AuthenticationProcessingFilter的源码吧. OAuth2AuthenticationProce
通过 OAuth2 实现 单点登录(SSO)解决问题
最新发布
tajun77的专栏
10-12 943
本文分析了Session/Cookie机制在分布式系统中的局限性,并系统介绍了OAuth2的登录授权流程与解决方案。主要内容包括:1)传统Session依赖Cookie存在问题;2OAuth2通过授权码模式实现认证,其核心是重定向与Token机制而非Cookie;3)两种典型SSO场景(顶级和同父)的实现差异;4)澄清了OAuth2能力的常见误区;5)建议采用统一认证中心+业务系统独立维护会话的方案,避免依赖Cookie共享。文章强调OAuth2协议本身支持,但需配合适当技术
记录一次SpringBoot的踩坑经历——SpringSecurity解决方案(/oauth/token 401)
Harrison
04-23 2993
项目场景: 目前在重构一个导购后端系统,我负责用户的模块和登录鉴权的整个业务的架构设计和代码编写 利用SpringBoot + SpringSecurity + Oauth2完成了简单的登录和鉴权 登录功能:首先需要调用/oauth/token接口,根据用户名密码获取toke,拿到token后将token放入请求头Header中再去请求其它接口。 接口开发完成并使用Postman测试通过,再由前端去画页面联调接口。 问题描述: 问题就出现在了前端接口联调这里,前端是用Vue完成的,安装好Node
Spring Security使用Oauth2时的问题
LJL's博客
01-12 3356
Spring Security使用Oauth2时的问题
OAuth2.0中的访问控制:使用OAuth2.01.0B协议实现
AI天才研究院
07-03 5447
作者:禅与计算机程序设计艺术 OAuth2.0 中的访问控制:使用 OAuth2.0 1.0B 协议实现 1. 引言 1.1. 背景介绍 随着互联网的发展,Web 应用越来越多,各种
SpringSecurity+Oauth2获取AccessTokenCORS问题解决
Eiverl的博客
09-23 1685
问题: 在springboot+SpringSecurity+oauth2项目中,No ‘Access-Control-Allow-Origin’ 终极解决办法,在使用了corsFilter进行处理,相关代码配置如下: @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException,
oauth2集成swagger后获取token报错403
07-19
在使用OAuth2集成Swagger时,出现问题并导致获取`token`时返回403错误,通常涉及以下几个方面的配置和调整: 1. **请求(CORS)配置** 在OAuth2服务端,由于Swagger UI发起的请求属于前端页面(如`...
OAUTH2.0配置
奋斗
08-03 1234
OAUTH2.0配置
SpringBoot OAuth2支持访问
无望丶
03-21 3645
什么是访问 在 HTML 中,<a>, <form>, <img>, <script>, <iframe>, <link> 等标签以及 Ajax 都可以指向一个资源地址,而所谓的请求就是指:当前发起请求的与该请求指向的资源所在的不一样。这里的指的是这样的一个概念:我们认为若协议 + 名 + 端口号均相同,那么...
springboot oauth2 设置
weixin_33978044的博客
09-20 1116
2019独角兽企业重金招聘Python工程师标准>>> ...
oauth2 cors
旅人的博客
08-29 1556
问题描述:在使用oauth2时访问/oauth/token时出现401的问题! 如果项目中包含 Spring Security 就会有 401 的问题,Spring Security 本身是通过 Filter 实现的,如果没有对其单独做 CORS 的处理,在 Web Security 报错 401 的时候是不会返回相应的 CORS 的字段的。这会导致出现的 401 错误成为了一个无法进行的错误...
oauth2.0,使用 axios 请求令牌时,出现问题的解决办法
Hcy_code的博客
02-15 1892
oauth2.0 使用 axios请求令牌时的问题
axios解决oauth2问题
qq_40650378的博客
12-29 4152
最近因为这个问题耗费了几天时间,觉得可能大家以后工作中有可能碰到,所以记录下来 前端是VUE框架的axios请求模式,后端采用springboot做的一个授权和认证服务 postman一切正常,然后开始联调发生悲剧! 前端说后端有问题,解决,开始动手,先解决认证服务器问题 一般先在WebSecurityConfigurerAdapter实现里添加允许 @Override ...
五分钟带你玩转spring cloud alibaba(十)spring cloud ouath2 +getway特殊配置
m0_60388338的博客
04-02 478
*[外链图片转存中…(img-xJRKFmH5-1712054646964)][外链图片转存中…(img-CB7KEzp8-1712054646964)]
axios请求,token,后端解决
你还有我
04-06 2287
什么是Axios Axios 是一个基于 promise 的 HTTP 库,可以用在浏览器和 node.js 中。 官网 http://www.axios-js.com/zh-cn/docs/ Axios的优点 1支持发送ajax异步 2 支持在NodeJs中发送ajax请求 3 支持Promise 4 支持拦截器请求和响应 5 支持对请求和响应数据的转换 安装在服务端命令 npm install axios --save 案例:执行get请求 // 为给定 ID 的 user 创建请求 axi
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值