Spring Security前置知识2--域与跨域

最新推荐文章于 2025-04-10 14:33:29 发布
原创 最新推荐文章于 2025-04-10 14:33:29 发布 · 701 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#跨域 #Corss-Origin #JSONP

本文深入解析了跨域的概念,包括域的定义、域名的作用及其划分方式,重点阐述了跨域访问的原理及解决方法,如CORS、JSONP和PostMessage等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、结论

  1. 域、跨域都和IP关系不大,和域名有关。
  2. 域名并不是真正的域名
  3. 跨域严格上说是跨源

二、什么是域 Domain

  百度百科的解释
  域是一个网络应用的范围,在这个范围内的用户有一定的访问权限网络内用户或者主机,而不在域中的用户会受到域权限的控制而不能访问一些东西,也就是提升了局域网安全性的一个措施。
简单说,是一种安全策略,将计算机分组,同域的计算机,可以有一定的访问权限。不同域的计算机,会受到访问限制。

三、什么是域名

  我们使用域名来代表(管理)ip地址,使用域名来划分域。
  一开始只有ip地址,ip地址一串纯数字太难记,便设计了域名用来代表ip的这一串数字,方便识别与记忆。网络中有一系列叫做域名系统(DNS Domain Name System)的系统,里面记录有域名和ip的对应关系。通过域名访问某个站点时,会先经过域名系统,将域名解析成ip地址,再进行路由。
  一个域名可以指向多个ip(负载均衡),不同的域名也可能指向同一个ip地址,属于多对多的关系,所以我们上面使用了代表和管理两个词。

1、如何划分域

  ip用来路由,域名用来区分域。
  在只有ip的时候,通过将ip划分到域(类似分组)的方式来划分域,现在windows操作系统里面仍然可以这样分。在有了域名之后,直接通过域名来划分域。
  ip地址的数字主要用来路由,规定了每一位0-255,使用4位数字,以至于6位数字的组合来给每一台机器编号进行路由组网。而域名不需要用来路由,可以随意设置,有无限种可能,你起多长的名字都可以。
  理论上只要一位就可以区分域名,但是为了管理方便,组织方便,仍然使用多级方式表示域名。这便是我们经常听到的顶级域名、一级域名、二级域名、三级域名之类的。

2、域名与hostname

  还有个很有意思的事情是,事实我们把类似www.baidu.com叫做域名是不对的, 在维基百科的定义里,www不属于域名,加不加无所谓,baidu和com两个都算是域名(两个域名),com是一级域名,baidu是二级域名。www.baidu.com或者baidu.com合起来叫做hostname,但是后来我们都管整个hostname叫做域名。。。

四、跨域

  按照上面的描述继续往下推,跨域就是两台域名不同的机器相互访问。
  事实上并不是这样,跨域只是我们的叫法而已,我们在跨域的时候,打开F12,提示的是如下信息
在这里插入图片描述
  这里面并没有出现任何域(domain)这样的字眼,而是Origin。跨域事实上应该叫做跨源Cross Origin。

1、什么是源,什么是跨源(域)

1)一次跨域过程的跟踪

  我们先来追一下跨域的过程,来理解什么到底时候发生了跨域访问
  我们再看上面图片的提示
在这里插入图片描述

  1. 我们从localhost:8080向localhost:8081去请求/test路径下的资源(不论是某个页面还是图片,ajax等)
  2. 我们事实上已经请求到了/test的资源。
    在这里插入图片描述
  3. 8081服务把资源返回出来,交给浏览器,浏览器准备让localhost:8080去访问这个资源。
  4. 这个时候浏览器发现页面不同源,且返回资源的header中的Access-Control-Allow-Origin列表中并没有http://localhost:8080。于是对资源的继续访问被阻止了(been blocked),并抛出异常。

2、同源策略 (SOP Same Origin Policy)

  关于同源策略,百度百科解释的稀烂,还那么短,有兴趣可以去查一查恶心一下自己。去维基或者MDN上看一下。

1)什么是同源策略

  同源是指http请求发起侧和响应侧的协议、域名、端口全部相同(源 = 协议 + 域名 + 端口),其中任意一个不同就是跨源。
  默认情况下,浏览器不允许跨源的访问。

2)为什么需要同源策略

  主要是为了安全,保护网站内部资源,包括iframe,XMLHttpRequest(Ajax)、cookie、localstorage等。具体的展开我们在Web前端攻击篇再说。

关于为什么叫做跨域的猜测
  那个时候可能并没有https,网站协议都是http,端口也是默认的80端口。这个时候,事实上导致“源”不同的,只有域名,跨域==跨源。
  上面纯属个人猜测。

3)如何控制同源策略

  浏览器自动检测是否同源,并严格执行同源策略。其中协议和端口无法控制,但是可以通过document.domain="xxx.xxx"来改变domain。这个改变是有规则的,考虑到www对理解的干扰,我们使用pan.baidu.com做例子,F12敲一下如下代码。
在这里插入图片描述
  1. 提示说我们设置的"abc.com"不是“pan.baidu.com"的后缀。
  2. 提示不能是一级域名。
  也就是必须设置为当前网站的后缀,并且不能是一级域名,其实就是父域。
  由于Cookie、Web Storage等都是基于domain(origin)收集的,修改domain行为也将会影响这些信息的收集。

a) CORS

浏览器严格执行同源策略,但是跨域是实际存在的业务需求。
  怎么办?于是开了一个口子,叫做CORS(Cross-Origin Resource Sharing),跨源资源共享。
  简单说,允许有条件的进行跨源访问,“”有条件“”具体表现为在header里面准备了三个Access-Control-Allow-XXX的属性,Access-Control-Allow-Origin,Access-Control-Allow-Methods,Access-Control-Allow-Headers,分别定义允许的请求来源、方法和头信息,只要请求同时满足这三个条件,则可以访问。
”简单请求“与”预检请求“
  对于请求,按照请求方法和头信息,区分为”简单请求“与”预检请求“。
  对于简单请求和预检请求具体是什么,详细内容自己到MDN上看。https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS
  MDN上的回答
  ”对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。"
  “简单请求”,比如查询请求并不会对服务器造成什么副作用*,所以查询接口事实上会执行,在返回之后才判断是  否跨源,我们上面的例子,使用的就是简单的GET请求。
  “预检请求”,比如增删改操作,或者一些搭配特殊头部信息的请求,可能会对服务器造成副作用,不可以先执行再判断,或者从效率上处理起来可能比较复杂。需要“预检”一下。

五、如何解决跨域

1、CORS

  按照上面的描述,双方根据请求方法、资源做好约定,应答方在header中添加合适的Access-Control-Allow-XXX。这是最正统,最安全的解决跨域的手段。

2、JSONP

  简单说,同源策略不限制src、href属性,我们可以随便创建一个带有src属性的元素,如script,img,或者link标签(href),将src/href指向要访问的地址,并带上对返回值进行处理的方法名,比如叫做myCallback。
  这个地址发出去,就相当于一个get方法,目标服务器端执行了这个请求,将查询结果打成json,和方法名拼起来,变成myCallback({params}),请求端解析并执行这个方法,就达到了跨域请求的目的。

1)为什么叫做JSONP

  Json With PaddingJson With Padding,返回一串Json,Padding(Prefix)了一个方法名。

2)CORS与JSONP对比

  1. JSONP是在CORS没有出来之前,绕过同源策略的一种方法。
  2. 而CORS是比较正统的解决方案。
  3. JSONP只支持GET,但是跨域请求一般也不太会用其它方式(因为往往都是跨域查询),GET足以应付大部分场景。如果需要对服务端资源进行操作,使用CORS。
  4. 如果需要兼容低版本的IE浏览器(IE8之前),需要使用JSONP。
  5. 从安全上讲,肯定是CORS更强。

3、PostMessage

  H5的PostMessage,用于不同页面间的消息传递,同样也可以用于不同域的页面间的消息通信。可以先页面间通信,页面再与后端通信,也能达到跨域的目的。

springsecurity
qq_3316359388的博客
05-31 1158
从协议部分开始到端口部分结束,只要请求URL不即被认为名对应的IP也不能幸免。 浏览器解决问题的方法有多种,包括JSONP、Nginx转发和CORS等。其中,JSONP和CORS需要后端参。 CORS(Cross-Origin Resource Sharing) 通常情况下,请求即便在不被支持的情况下,服务器也会接 收并进行处理,在CORS的规范中则避免了这个问题。 浏览器首先会发起一个请求方法为OPTIONS 的预检请求,用于确认服务器是否允许,只有在得到许可后才会发出实际
SpringCloud微服务整合Spring Security OAuth2
lyy的博客
04-12 3604
要记得引入common后也要做必要的配置,比如nacos,相关配置可见博客:https://blog.youkuaiyun.com/qq_41076797/article/details/128509393、https://blog.youkuaiyun.com/qq_41076797/article/details/128508723;外面请求进来先通过网关进行身份认证,未登录的去登录,已登录的网关找到auth进行鉴权,通过才放行到具体的普通功能性微服务。代码会在后面给出,因为这段代码在后面的配置文件中。
SpringSecurity
Littewood的博客
07-24 6126
SpringSecurity解决
Spring Security前置知识1--SessionHttp请求的状态化
天下英雄出我辈,一入江湖岁月催
03-17 601
文章目录一、Http协议的无状态性Http请求的有状态化需求二、会话1、如何维持会话2、什么时候创建会话3、是否有sessionId就一定意味着用户已经登录4、如何判断用户已经登录5、session如何计算过期6、谁来将sessionId发往客户端7、谁来将sessionId发往后端8、我们需要在哪些地方控制session9、Session共享问题9.1、不应用间的Session共享问题9.2...
spring security前的知识回顾
平哥的专栏
09-01 353
又开始学习一个新的框架了,又开始写一个helloworld的demo。每一次重新学习java的框架,又会让自己陷入到一个巨大的知识量当中去。常常看别人搭框架,发现有许许多多的配置自己看不懂,这是十分正常的,因为你又开始接触一个别人写的一款框架,对于不是你写的代码,你肯定是感到非常的陌生的,虽然那些文字你都看得懂,但是你依然看得陌生,我想这就是最熟悉的陌生人很能概括的。      先感慨一句,接下
SpringSecurity
走到无路可退
07-17 1352
在用SpringSecurity有个问题头疼的半天,也可能是对SpringSecurity的不熟悉导致,在此贴一下怎么去解决的。 项目架构是微服务架构,那自然是前后端分离撒,在前端进行Ajax请求时出现了问题 感觉不是大问题喃,就算我不会解决,网上解决的问题不是一堆麽。 我就注入了一个配置类,如下: @Configuration public class CorsCon...
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3854
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据资源,用户的身份合法方
SpringBoot快速整合SpringSecurity,新手都会的详细步骤
IT学习小镇
03-21 1760
Spring Security是一个基于Spring框架的安全性框架,提供了一组轻量级的API和工具,用于实现身份验证、授权、防止攻击等常见的安全性功能。它支持各种身份验证方式,例如基本身份验证、表单身份验证、OAuth2.0和OpenID Connect等。Spring Security还提供了许多可配置选项,允许开发人员根据应用程序的需求进行定制。Spring Security已经成为了Java企业级应用程序中使用最广泛的安全框架之一。
Spring Security使用记录
chenzeyu110的博客
10-29 600
文章目录**1.概念介绍****1.1权限管理****1.2完成权限管理需要三个对象****1.3Spring Security****1.3.1创建web工程并导入jar包** 1.概念介绍 1.1权限管理 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管理几乎出现在任何系统中,前提是需要有用户和密码认证的系统。 在权限管理的概念中,有两个重要的名词: 认证:通过用户名和密码成功登陆系统之后,让系统得到当前用户的角色身份 授权:系统根据当前用户的角色,
SpringCloud+Sa-Token网关统一鉴权
道友,山高路远,如果找不到答案就去找自己。
09-13 1148
一、网关鉴权 1.1 引入依赖 <!-- Sa-Token 权限认证(Reactor响应式集成), 在线文档:https://sa-token.cc --> <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-reactor-spring-boot3-starter</artifactId> <version>1.39.0<
SpringSecurity(十一)【
Vinjcent
01-08 848
问题实际应用开发中的一个非常常见的需求,在 Spring 框架中对于问题的处理方案有好几种,引入了 Spring Security 之后,问题的处理方案又增加了。字段中的值,发现该值包含当前页面所在,就知道这个是被允许的,因此就不再对前端的请求进行限制。请求,这是一个很大的缺陷,而 CORS 则支持多种 HTTP 请求方法,也是目前主流的解决方案。方法配置,统统失效,通过 CorsFilter 配置的,有没有失效则要看过滤器的优先级。由于非简单请求首先发送一个。
Spring Security 学习
m0_52462015的博客
08-23 220
Spring Security 官网 中文文档 学习 Spring Security前置知识Spring 框架 Spring Boot 框架 Java Web 一、Spring Security 介绍 1、概要 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个主要区是”认证“
Spring Security(七) ——配置
eyes++的博客
07-26 4115
CORS(Cross-OriginResourceSharing)是由W3C制定的一种基于HTTP头的资源共享技术标准,其目的就是为了解决前端的请求,该机制通过允许服务器标示除了它自己以外的其它origin,协议和端口),使得浏览器允许这些origin访问加载自己的资源。在JavaEE开发中,最常见的前端请求解决方案是早期的JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法,也是目前主流的解决方案。...
spring security处理
最新发布
LCY133的博客
04-10 1184
Spring Security 中处理问题(CORS)需要明确配置允许的请求规则,并确保 Spring Security 的过滤器链不会拦截合法的请求。正确配置后,前端应用可安全地后端 API 通信,时保持系统的整体安全性。:需时启用 Spring Security 的 CORS 支持(:OPTIONS 请求被 Spring Security 拦截。:Spring Security 过滤器链未正确处理 CORS。:禁用 CSRF 会降低安全性,需确保其他防护措施到位。
SpringSecurity学习(六)CORS、异常处理
Huathy的博客
03-12 3942
CORS是W3C的一种资源共享技术标准,目的是为了解决前端请求(浏览器源策略会对请求进行拦截)。早期方案由JSONP(仅支持GET),而CORS支持多种http请求,目前主流方案。cors中新增了一组 http请求头字段,通过这些字段告诉浏览器,那些网站通过浏览器有权限访问那些资源。
spring-security中的csrf防御机制(请求伪造)
weixin_33965305的博客
12-13 291
什么是csrf? csrf又称请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,互联网上的许多站点仍对此毫无防备...
Spring Security——09,解决
weixin_42858422的博客
04-07 2391
因为它不是浏览器,所以我们要找一个前端的项目,就随便找了一个vue工程。由于我们的资源都会收到SpringSecurity的保护,所以想要访问还要让SpringSecurity运行访问。修改一下登录页面,认证登录成功之后,把返回的token接收,存入localStorage。前后端分离项目,前端项目和后端项目一般都不是源的,所以肯定会存在请求的问题。然后看一下,响应,都没有问题,OK,这个账号是有这个权限的。然后测试一下,登录成功,解决请求,拿到token。填入一个正确的密码,认证成功。
Spring Security问题解决
扛麻袋的少年的博客
05-05 2873
前文介绍了:Spring 处理问题的三种方案 现在来看看 Spring Security问题解决方案,共有三种方案。(摘自《深入浅出Spring Security》) 在实际项目使用中,推荐使用第三种方案!!!(11.3.3 专业解决方案) good luck ...
使用springboot3.2.5和spring security 6.2.4实现微信登录
03-08
<think>嗯,用户想了解如何使用Spring Boot 3.2.5和Spring Security 6.2.4实现微信登录。首先,我得理清楚微信登录的流程。微信OAuth2.0的流程一般是前端引导用户跳转到微信的授权页面,用户意后,微信会返回一个code,后端用这个code去换access_token和openid,然后获取用户信息。 接下来,需要考虑Spring Security的OAuth2客户端配置。Spring Security 6.x之后,OAuth2的配置方式可能有变化,特别是从旧的spring-security-oauth2迁移到了新的支持方式。需要确认Spring Security 6.2.4是否支持OAuth2客户端的配置,以及如何配置。 首先,用户需要注册微信开放平台的应用,获取AppID和AppSecret,这是必须的。然后在Spring Boot项目中添加相关依赖,比如spring-boot-starter-oauth2-client,这个应该包含了Spring Security的OAuth2客户端支持。 然后,配置application.yml或者application.properties,设置微信的客户端配置,包括client-id、client-secret、授权范围、重定向URI等。微信的授权端点可能和标准的OAuth2有所不,需要找到正确的authorization-uri和token-uri,比如微信的授权URL是https://open.weixin.qq.com/connect/qrconnect,token URL是https://api.weixin.qq.com/sns/oauth2/access_token。 接下来,可能需要自定义一些组件,因为微信的响应格式可能不符合Spring Security的默认处理。例如,用户信息的端点返回的数据结构可能不,需要自定义一个UserService来解析微信返回的用户信息,并转换为Spring Security的UserDetails对象。 另外,Spring Security默认的登录页面可能需要调整,或者需要配置自定义的登录页面,引导用户跳转到微信登录。或者使用前端的处理方式,比如在前端生成微信登录的链接,用户点击后跳转,后端处理回调。 还有,微信的OAuth2流程中,获取用户信息可能需要access_token和openid,所以在获取token之后,还需要调用微信的用户信息接口,比如https://api.weixin.qq.com/sns/userinfo。 在Spring Security中,可能需要实现一个OAuth2UserService接口,覆盖默认的加载用户流程,处理微信返回的数据。时,用户信息可能需要保存到数据库中,或者直接使用微信的信息进行认证。 另外,问题需要注意,特别是前端和后端分离的情况下,需要配置CORS。时,安全配置需要允许OAuth2的相关端点,比如/oauth2/authorization/weixin,以及回调的路径,比如/login/oauth2/code/weixin。 还需要考虑用户登录后的处理,比如生成JWT令牌,或者跳转到前端页面,保存用户会话等。如果使用JWT,可能需要配置Spring Security的过滤器链,添加JWT生成和验证的过滤器。 测试过程中,可能需要使用内网穿透工具,因为微信的回调需要公网可访问的名,开发时可以用ngrok或者localhost.run来暴露本地服务。 可能遇到的坑包括:微信的授权名需要正确配置,回调地址必须在微信开放平台中设置;Spring Security的客户端注册ID需要和配置中的一致;微信返回的字段名可能和Spring Security默认的不,需要自定义映射;还有可能因为版本问题,某些配置方式已经过时,需要查阅最新的文档。 最后,需要确保依赖的版本兼容性,Spring Boot 3.2.5对应的Spring Security版本是6.2.x,所以应该没问题。时,要注意依赖管理,避免版本冲突。 总结下来,步骤大概是:注册微信应用,配置Spring Security的OAuth2客户端,自定义用户信息处理,处理回调,配置安全策略,测试整个流程。可能需要参考Spring Security和微信的官方文档,确保各个参数正确无误。</think>以下是使用Spring Boot 3.2.5和Spring Security 6.2.4实现微信登录的主要步骤: ### 一、前置准备 1. **注册微信开放平台** - 创建网站应用,获取`AppID`和`AppSecret` - 设置授权回调(如`www.yourdomain.com`) 2. **添加依赖** ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> ``` ### 二、配置Spring Security ```yaml # application.yml spring: security: oauth2: client: registration: weixin: client-id: your_appid client-secret: your_appsecret authorization-grant-type: authorization_code redirect-uri: "{baseUrl}/login/oauth2/code/weixin" scope: snsapi_login client-name: Weixin provider: weixin: authorization-uri: https://open.weixin.qq.com/connect/qrconnect token-uri: https://api.weixin.qq.com/sns/oauth2/access_token user-info-uri: https://api.weixin.qq.com/sns/userinfo user-name-attribute: openid ``` ### 三、自定义用户服务 ```java @Component public class WeixinOAuth2UserService implements OAuth2UserService<OAuth2UserRequest, OAuth2User> { @Override public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException { // 获取access_token OAuth2AccessToken accessToken = userRequest.getAccessToken(); // 调用微信API获取用户信息 String userInfoUrl = userRequest.getClientRegistration() .getProviderDetails().getUserInfoEndpoint().getUri(); userInfoUrl += "?access_token=" + accessToken.getTokenValue() + "&openid=" + ((DefaultOAuth2AccessToken)accessToken).getAdditionalParameters().get("openid"); // 解析微信返回的JSON数据 RestTemplate restTemplate = new RestTemplate(); Map<String, Object> userAttributes = restTemplate.getForObject(userInfoUrl, Map.class); return new DefaultOAuth2User( Collections.singleton(new SimpleGrantedAuthority("ROLE_USER")), userAttributes, "openid" // 对应微信返回的用户标识字段 ); } } ``` ### 四、安全配置 ```java @Configuration @EnableWebSecurity public class SecurityConfig { @Autowired private WeixinOAuth2UserService weixinOAuth2UserService; @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(auth -> auth .requestMatchers("/", "/login**").permitAll() .anyRequest().authenticated() ) .oauth2Login(oauth2 -> oauth2 .userInfoEndpoint(userInfo -> userInfo .userService(weixinOAuth2UserService) ) .defaultSuccessUrl("/userinfo", true) ) .csrf(csrf -> csrf.disable()); return http.build(); } } ``` ### 五、控制器示例 ```java @RestController public class UserController { @GetMapping("/userinfo") public Map<String, Object> userInfo(OAuth2User principal) { return principal.getAttributes(); // 返回微信用户信息 } } ``` ### 六、注意事项 1. **名验证** - 必须使用备案- 微信回调地址需注册时一致 2. **Session管理** - 建议配置Redis实现分布式Session ```yaml spring: session: store-type: redis timeout: 3600 ``` 3. **安全增强** - 建议添加CSRF保护 - 启用HTTPS ### 七、测试流程 1. 访问 `http://localhost:8080/oauth2/authorization/weixin` 2. 跳转至微信登录页面 3. 用户授权后自动回调到 `/userinfo` 接口 ### 常见问题处理 1. **`redirect_uri`参数错误** - 检查微信开放平台配置的授权- 确保回调地址完整匹配 2. **获取用户信息为空** - 确认`scope`设置为`snsapi_login` - 检查access_token是否有效 3. **问题** ```java @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfiguration config = new CorsConfiguration(); config.setAllowedOrigins(Arrays.asList("https://your-frontend-domain")); config.setAllowedMethods(Arrays.asList("*")); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", config); return source; } ``` 以上方案基于Spring Security的OAuth2客户端实现,如需更复杂的业务逻辑(如自动注册本地用户),可在`WeixinOAuth2UserService`中添加数据库操作逻辑。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值