引用Spring Security 项目的跨域处理

最新推荐文章于 2025-04-10 14:33:29 发布
最新推荐文章于 2025-04-10 14:33:29 发布
阅读量2.2w 收藏 15
点赞数 6
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_14962891/article/details/80418455
版权

最近项目采用了前后端分离的框架,前端和后台接口没有部署到一个站点,出现了跨域问题,什么是跨域,这里就不再赘述,直接说解决办法。Spring 解决跨域的方式有很多,个人采用了Crosfilter的方式。具体代码如下:

@Bean
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new      UrlBasedCorsConfigurationSource();
        final CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }

配置完成后,测试调用,报错401,依然不行。网上查资料得知,跨域请求会进行两次。具体流程见下图:
这里写图片描述
每次跨域请求,真正请求到达后端之前,浏览器都会先发起一个preflight request,请求方式为OPTIONS 询问服务端是否接受该跨域请求,具体参数如下图:
这里写图片描述
但是该请求不能携带cookie和自己定义的header。
由于项目中引入了Spring security ,而我使用的token传递方式是在header中使用authorization 字段,这样依赖Spring Security拦截到 preflight request 发现它没有携带token,就会报错401,没有授权。

解决这个问题很简单,可以使用以下配置,让Spring security 不校验preflight request 。

 @Override
    public void configure(HttpSecurity http) throws Exception {
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry 
        = http.authorizeRequests();
        registry.requestMatchers(CorsUtils::isPreFlightRequest).permitAll();//让Spring security放行所有preflight request 
    }

再试就搞定了,但是后端直接配置支持跨域会导致两次请求。还使用另一种方式,使用Nginx 转发一下请求也可以。

springsecurity
qq_3316359388的博客
05-31 1135
从协议部分开始到端口部分结束,只要与请求URL不同即被认为名与名对应的IP也不能幸免。 浏览器解决问题的方法有多种,包括JSONP、Nginx转发和CORS等。其中,JSONP和CORS需要后端参与。 CORS(Cross-Origin Resource Sharing) 通常情况下,请求即便在不被支持的情况下,服务器也会接 收并进行处理,在CORS的规范中则避免了这个问题。 浏览器首先会发起一个请求方法为OPTIONS 的预检请求,用于确认服务器是否允许,只有在得到许可后才会发出实际
springSpringboot设置访问 & Spring Security设置访问
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
08-16 665
通过实现 WebMvcConfigurer 接口并重写 addCorsMappings 方法来全局配置 CORS。这种方法会应用于所有的控制器。如果你只想对特定的控制器或方法启用 CORS,你可以在该控制器或方法上使用 @CrossOrigin 注解。在 configure(HttpSecurity http) 方法中进行这个配置。1、添加SpringSecurity的依赖配置。2、配置 Spring Security
SpringSecurity配置
weixin_64443786的博客
07-13 1856
SpringSecurity
springboot2.x Spring Security Vue-resource问题解决
Keith003的博客
02-08 1143
原因:最近在将一个项目修改为前后端分离中,前端使用Vue 开发碰到问题,这里记录一下。 服务器端修改 1、在配置类中设置 CorsFilter,新建CorsConfig import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; ...
spring security处理
最新发布
LCY133的博客
04-10 894
Spring Security处理问题(CORS)需要明确配置允许的请求规则,并确保 Spring Security 的过滤器链不会拦截合法的请求。正确配置后,前端应用可安全地与后端 API 通信,同时保持系统的整体安全性。:需同时启用 Spring Security 的 CORS 支持(:OPTIONS 请求被 Spring Security 拦截。:Spring Security 过滤器链未正确处理 CORS。:禁用 CSRF 会降低安全性,需确保其他防护措施到位。
前后端的解决方案
IT小辉同学
07-08 1568
祝福你,在人生的旅途中,能够拥有坚定的信念和勇往直前的勇气。愿你心怀善良和喜悦,收获幸福和成功。无论遇到什么困难,希望你始终保持乐观与坚强,勇敢地面对挑战。愿你的每一天都充满阳光和温暖,成就美好的人生。祝福你,幸福如影随形!
SpringCloud 之OpenFeign远程调用丢失Header头
const_
03-27 2890
Gateway网关丢失请求头解决办法: 在搭建微服务时,使用了SpringSecurity Oauth2认证授权,使用密码方式,从认证中心获取了token后,要将token携带在请求头中,但是发现经过gateway网关后,token丢失了。 解决:通过使用过滤器,重新构建一个request,再向服务发送请求。 @Component public class RequestAuthFilter implements GlobalFilter, Ordered { @Override public Mon
SpringSecurity
m0_74825526的博客
02-15 882
CORS(Cross-Origin Resource Sharing)是由W3C制定的一种资源共享技术标准,其目的就是为了解决前端的请求。在JavaEE开发中,最常见的前端请求解决方案是早起的JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法,也是目前主流的解决方案。CORS中新增了一组HTTP请求头字段,通过这些字段,服务器高炉浏览器,哪些网站通过浏览器有权限访问哪些资源。
Springboot +spring security,解决问题
weixin_40991408的博客
05-26 2513
Springboot +spring security,解决问题
Spring Security详细学习第二篇(授权,异常处理
weixin_62513677的博客
04-19 1083
快速掌握SpringSecurity中的知识
Spring Security怎么实现的?
m0_57042151的博客
01-13 469
浏览器从一个名的网页去请求另一个名的资源时,名、端口、协议任一不同,都是 名:主名不同-->子名不同-->名和名ip-->端口:协议:备注:   1、端口和协议的不同,只能通过后台来解决2、localhost和127.0.0.1虽然都指向本机,但也属于
11.Spring security问题
EdSheeran的博客
03-26 9797
文章目录*问题**11.1什么是CORS**11.2Spring处理方案**11.2.1`@CrossOrigin`**11.2.2`addCorsMappings`**11.2.3`CorsFilter`**11.3Spring Security处理方案**11.3.1特殊处理`OPTIONS`请求**11.3.2继续使用`CorsFilter`**11.3.3专业解决方案* 问题 11.1什么是CORS CORS(Cross-Origin Resource Sharing)是由W3C制定的一种
Spring Security系列教程24--Spring Security环境中存在的问题
一一哥
10-29 1239
前言 在前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是而导致的问题! 对于前后端分离时,而产生的安全问题,我们该怎么解决呢?接下来请跟着 一一哥 来学习如何解决吧! 在解决问题之前,我们先来了解一下何为问题,怎么产生的问题,怎么解决这个问题。 一. 问题的由来 1. 同源策略
前后端分离下spring security 问题等
热门推荐
qq_35494808的博客
10-10 2万+
最近在做一个项目,前后端分离,不可避免的遇到了问题。起初是配置: @Configuration public class CorsConfig extends WebMvcConfigurerAdapter { private CorsConfiguration buildConfig() { CorsConfiguration corsConfigurat...
Spring Boot Security访问 cors
Fouy_风度玉门。
09-28 1万+
文章目录未使用Security 的Boot 项目使用Security 的情况使用Security开启允许iframe嵌套 使用Spring Security 在Boot 项目中,实现前后端分离的访问,只需要简单的配置即可。 未使用Security 的Boot 项目 在未使用Spring Security 的Boot 项目中,只需要在 Application.java 中添加如下代码即可 @Be...
SpringSecurity解决问题的方法
sinat_34241861的博客
03-22 6450
问题产生原因 现在越来越多的项目都采用前后端分离的开发模式,以实现前后端代码解耦的目的。处于安全考虑,后端服务器对收到的请求进行了限制和区分,因此出现访问不到数据的情况。 什么是 当协议、名、端口号,有一个或多个不同时,前端请求后端服务器接口的情况称为访问。同源策略限制下cookie、localStorage、dom、ajax、IndexDB 都是不支持的。 为什么 cook...
SpringBoot+Spring Security无法实现解决办法
dying 搁浅
05-29 1万+
未使用Security: import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Value; import org.springframework.boot.autoconfigure.AutoConfigureBefore...
SpringSecurity解决问题
小道仙的后宫
02-25 8826
今天集成了SpringSecurity发现postman可以访问,浏览器不可以访问,但是我之前已经做好了的。 如果你的SpringBoot项目已经解决了,那么只需要在SpringSecurityConfig做如下配置就好了 如果你还没有解决,那么你只需要把下面的代码复制到和启动类平级就好了 import org.springframework.context.annotation.B...
springsecurity6
09-17
Spring Security 6 中处理(Cross-Origin Resource Sharing, CORS)主要是为了允许Web应用程序在不同的源之间安全地共享数据。Spring Security提供了一种简单的方式来配置CORS策略,特别是在RESTful API场景下。 在Spring Security 6中,你可以通过`CorsConfigurationSource`接口和`HttpSecurity`的`cors()`方法来启用功能。以下是一个简单的示例: ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.cors.CorsConfiguration; import org.springframework.security.cors.UrlBasedCorsConfigurationSource; @Configuration public class WebConfig extends WebSecurityConfigurerAdapter { @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOrigins(Arrays.asList("*")); // 允许所有来源 configuration.addAllowedMethods(Arrays.asList("*")); // 允许所有HTTP方法 configuration.setAllowCredentials(true); // 允许发送cookie UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); // 对所有URL应用配置 return source; } @Override protected void configure(HttpSecurity http) throws Exception { http.cors().and(); // 启用 // ...其他的Spring Security配置 } } ``` 在这个例子中,`allowedOrigins`设置了允许的请求来源,`allowedMethods`指定了允许的HTTP方法。`registerCorsConfiguration`方法将配置应用到指定的路径前缀。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值