Spring Security中自定义cors配置

于 2024-09-29 16:11:42 发布
阅读量1.1k 收藏 12
点赞数 12
分类专栏: 笔记 Spring Security java 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/babdpfi/article/details/142636353
版权
笔记 同时被 3 个专栏收录
30 篇文章 0 订阅
订阅专栏
Spring Security
2 篇文章 0 订阅
订阅专栏
java
2 篇文章 0 订阅
订阅专栏

一、为什么要自定义cors配置

        在使用Spring框架时,Spring Security组件提供了简便的cors配置方案,使程序开发者可以快速的实现“同源安全策略”。关于cors,可以参数之前的一篇文章--关于Spring Security的CORS_springsecurity cors-CSDN博客

        由于cors涉及到URL 的协议(Protocol)、主机(Host)、端口(Port,这些东西在每个程序上的情况不同,所以一般情况下都是需要根据实际情况来定制适合的cors配置。

二、配置原理

        我们可以先看下Spring Security组件的一个源码。

        org.springframework.security.config.annotation.web.configurers.CorsConfigurer.class

    @Override
	public void configure(H http) {
		ApplicationContext context = http.getSharedObject(ApplicationContext.class);
		CorsFilter corsFilter = getCorsFilter(context);
		Assert.state(corsFilter != null, () -> "Please configure either a " + CORS_FILTER_BEAN_NAME + " bean or a "
				+ CORS_CONFIGURATION_SOURCE_BEAN_NAME + "bean.");
		http.addFilter(corsFilter);
	}

	private CorsFilter getCorsFilter(ApplicationContext context) {
		if (this.configurationSource != null) {
			return new CorsFilter(this.configurationSource);
		}
		boolean containsCorsFilter = context.containsBeanDefinition(CORS_FILTER_BEAN_NAME);
		if (containsCorsFilter) {
			return context.getBean(CORS_FILTER_BEAN_NAME, CorsFilter.class);
		}
		boolean containsCorsSource = context.containsBean(CORS_CONFIGURATION_SOURCE_BEAN_NAME);
		if (containsCorsSource) {
			CorsConfigurationSource configurationSource = context.getBean(CORS_CONFIGURATION_SOURCE_BEAN_NAME,
					CorsConfigurationSource.class);
			return new CorsFilter(configurationSource);
		}
		if (mvcPresent) {
			return MvcCorsFilter.getMvcCorsFilter(context);
		}
		return null;
	}

        这段源码简单、清晰,两个方法,一个公有,一个私有。configure(H http)被外部调用,实现了两件事,获取一个corsFilter(过滤器)并把这个filter添加到传入的这个名为“http”的对象中。这里也刚好能看出Configurer和Filter的一些关系--configurer会在拿到filter后,通过addFilter(filter)方法将一个filter添加到HttpSecurity对象中。

        再看下getCorsFilter(ApplicationContext context)方法,4个if分支,最终的任务就是new一个CorsFilter并返回。所以自定义cors配置时,可以选择的方法有很多,这里选择创建一个CorsConfigurationSource类型的Bean。这里的getBean方法参数是name和type。所以我们在创建这个Bean的时候,需要确保Bean的名称为“corsConfigurationSource”(CORS_CONFIGURATION_SOURCE_BEAN_NAME对应的字符串),不然这里的getBean会找不到我们自定义创建的CorsConfigurationSource。

三、自定义配置

@Configuration
public class SecurityConfig {
    /**
     * 跨域资源共享过滤器
     */
    @Autowired
    @Bean
    public CorsFilter corsFilter(UrlBasedCorsConfigurationSource configurationSource){
        return new CorsFilter(configurationSource);
    }
    /**
     * 跨域资源共享过滤器配置
     */
    @Bean
    public UrlBasedCorsConfigurationSource corsConfigurationSource(){
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.addAllowedOriginPattern("http://localhost*");
        source.registerCorsConfiguration("/**",corsConfiguration);
        return source;
    }
}

        几个要注意的地方:

1、类名上方的@Configuration注解,这个是为了指定该类为配置类,Spring容器启动时,会调用带有@Bean注解的方法来生成对应实例,并将实例注册为与方法名相同的Bean,并管理起来。

2、方法名,第1点说了,注册的Bean名称是和方法名一致的,所以这里的方法名需要是“corsConfigurationSource”,不能自定义方法名。

3、上面代码中的corsFilter()方法,可以不写。因为从前面的Spring Security源码中可以看出,如果没有这个corsFilter的Bean,它也会自己new一个。如果要自定义corsFilter,同样要注意方法名。至于参数,如果有带,需要注意参数类型(参数名可以任意),并在方法名上方多带一个@Autowired注解,这个注解会自动找到类型为UrlBasedCorsConfigurationSource的Bean,并使用它。如果不带参数,那也可以用普通方法,先获取corsConfigurationSource()方法返回的对象,再以些为参数,new一个corsFilter对象。

兴趣广泛的程序猿
关注
专栏目录
Spring Security系列】跨域与CORS
qq_28248897的博客
07-16 1005
跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问。 1.认识跨域 很多人误认为资源跨域时无法请求,实际上,通常情况下请求是可以正常发起的(注意,部分浏 览器存在特例),后端也正常进行了处理,只是在返回时被浏览器拦截,导致响应内容不可使用。可 以论证这一点的著名案例就是CSRF跨站攻击。 此外,我们平常所说的跨域实际上都是在讨论浏览器行为,包括各种WebView容器等(其,以 XmlHttpRequest 的使用为主)。由于JavaScript 运行在浏览器之上,所以 Ajax的跨域成为
CORS(跨域资源共享) 的配置
autumn20080101的专栏
05-19 387
CORS(跨域资源共享) 的配置 2014-05-26 10:23 12415人阅读 评论(3) 收藏 举报 本文章已收录于: 分类: html/js(6) 作者同类文章X http://blog.csdn.net/ohyoyo2014/article/details/24863197
Spring Security 配置 CORS 失效的问题
qq_16453311的专栏
08-05 377
但是一旦项目引用了 security 后,却并不是那么容易了,不管你怎么配置,总是不生效,无法对指定的域名和源放行,也就是说,你想让你的目标域名可以使用js调用你的应用,却发现总是被 拒绝,报cors异常。看清楚了,必须把 加上,否则,corsFilter 过滤器是不起作用滴!1、首先确保 spring mvc + security 可以正常运行;
UrlBasedCorsConfigurationSource无法转换为CorsConfigurationSource的原因
每天努力Coding
11-10 487
cors.reactive和cors都有UrlBasedCorsConfigurationSource,如果照着尚硅谷老师的思路去做而不是直接复制代码,非常容易出现该问题。
CORSConfiguration.java
11-08
关于运行项目测试出现的跨域问题,以此只需要添加这段代码即可 如果有啥技术问题,可以咨询我,关注本博客,在下放评论即可
关于Spring SecurityCORS
寻码启示
06-11 1647
跨域请求,同源安全策略,报错No 'Access-Control-Allow-Origin' header is present on the requested resource,解决方法,处理方法。
Spring Security - 跨域资源共享(CORS
最新发布
Flying_Fish_roe的博客
09-27 834
CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种 W3C 标准,用于解决浏览器的跨域请求问题。通常情况下,浏览器安全策略限制了 Web 应用只能从同一个域名(origin)请求资源,而不能访问不同域名、端口或协议的资源。这是出于安全考虑,防止恶意网站未经授权读取用户数据。然而,在实际的 Web 开发,前端与后端分离架构越来越普遍,前端应用和后端 API 通常部署在不同的域名或端口上,这种场景下,跨域请求变得不可避免。
SpringBoot配置cors
java scala
09-16 1798
先简单介绍一下CORS的背景 同源策略 跨域问题的产生是因为浏览器的同源策略。同源策略将协议+域名+端口构成的三元作为一个整体,只有三者均相同的情况下才属于一个源。跨域问题也就是不同源之间访问导致的问题。 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 跨域资源共享 CORS CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRe
2. nginx CORS配置
kaifei的博客
06-01 6574
nginx CORS 配置
SecuritySpring Boot配置自定义登录接口
qq_43887341的博客
06-21 1328
SecuritySpring Boot配置自定义登录接口
Springboot +spring security自定义认证和授权异常处理器
weixin_40991408的博客
05-26 1960
Springboot +spring security自定义认证和授权异常处理器
SpringSecurity 自定义UsernamePasswordAuthenticationFilter
荡的博客
09-17 7845
#UsernamePasswordAuthenticationFilter介绍 UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份验证而定制化的一个过滤器。其添加是在调用http.formLogin()时作用,默认的登录请求pattern为"/login",并且为POST...
Spring 里多种 CORS 配置方式
许久
02-14 2295
参考:https://cloud.tencent.com/developer/article/1703212 https://cloud.tencent.com/developer/article/1513473 一、CORS 介绍 CORS全称是Cross-Origin Resource Sharing,直译过来就是跨域资源共享。 从站点 A 请求站点 B 的资源的时候,由于浏览器的同源策略的影响,这样的跨域请求将被禁止发送;为了让跨域请求能够正常发送,我们需要一套机制在不破坏同源策略的安全性的情.
配置跨域CorsConfig类
qq_53376718的博客
05-10 655
前后端跨域配置
Global CORS configuration
shinestarWang的专栏
02-26 746
Global CORS configuration As an alternative to fine-grained annotation-based configuration, you can also define some global CORS configuration as well. This is similar to using a Filter based solutio...
腾讯云cors配置
wangjun5159的专栏
05-21 3905
先解释一下,cors(cross origin[ˈɔ:rɪdʒɪn] resource share),跨域资源共享,是跨域访问的一种方式。问题的由来mozilla pdf.js是一款优秀的pdf在线预览插件,它通过ajax请求获取文档,然后呈现。因为文档存储在腾讯云上,所以这就产生了跨域访问。 注意这里有两个要素, - 这是一个ajax请求,如果是一个普通请求,虽然是跨域,但是浏览器不会限制。
SpringSecurity配置类--常用配置
qq_52211542的博客
10-07 3547
SpringSecurity配置类--常用配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

兴趣广泛的程序猿

有钱的捧个钱场,谢谢各位!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值