Spring Security拦截器引起Java CORS跨域失败的问题

最新推荐文章于 2024-07-31 19:37:41 发布
最新推荐文章于 2024-07-31 19:37:41 发布
阅读量1.6w 收藏 15
点赞数 6
分类专栏: java 文章标签: cors spring-security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hhaojian/article/details/78930591
版权

在已设置CORS的项目中加入Spring Security,导致跨域访问失败,一开始以为是设置错CORS的问题,后来才发现是因为Spring Security的拦截冲突引起的。

(一) CORS介绍

CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。
它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

response响应头:

响应头字段名称作用
Access-Control-Allow-Origin允许访问的客户端的域名
Access-Control-Allow-Credentials是否允许请求带有验证信息,若要获取客户端域下的cookie时,需要将其设置为true。
Access-Control-Allow-Headers允许服务端访问的客户端请求头
Access-Control-Allow-Methods允许访问的HTTP请求方法
Access-Control-Max-Age用来指定预检请求的有效期(秒),在有效期内不在发送预检请求直接请求。

Cors详细介绍请看阮一峰的跨域资源共享 CORS 详解

(二) 服务端配置CORS(Spring boot)

  1. 直接写个filter拦截所有请求在response头里加上面的字段.

  2. 继承WebMvcConfigurerAdapter重写addCorsMappings

public class CorsConfig extends WebMvcConfigurerAdapter {
     @Override
     public void addCorsMappings(CorsRegistry registry) {
         registry.addMapping("/**")
                 .allowedHeaders("*")
                 .allowedMethods("*")
                 .allowedOrigins("*");
     }
}
  1. 自定义Filter,注册
@Bean
 public FilterRegistrationBean corsFilter() {
     UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
     CorsConfiguration config = new CorsConfiguration();
     config.addAllowedOrigin("*");
     config.setAllowCredentials(true);
     config.addAllowedHeader("*");
     config.addAllowedMethod("*");
     source.registerCorsConfiguration("/**", config);

     FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
     bean.setOrder(0);//配置CorsFilter优先级
     return bean;
 }
  1. @CrossOrigin注解
@CrossOrigin(
        origins = "*",
        allowCredentials = "true",
        allowedHeaders = "*",
        methods = RequestMethod.GET,
        maxAge = 3600
)

(三) 出现的问题:

即使配置了响应头字段,还是不能跨域访问,经过反复测试发现,GET请求可以访问,PUT请求无法访问,突然想起:非简单请求会发起一个OPTIONS方法的预检请求,而我用了Spring Security拦截了所有请求,只开放部分请求,所以需要在Spring Security中设置不拦截OPTIONS方法的请求.

解决方法:

  1. 配置Spring Security,设置不拦截OPTIONS请求
HttpSecurity#authorizeRequests()
            .antMatchers(HttpMethod.OPTIONS)
            .permitAll()
  1. 配置CorsFilter优先级,优于Spring Security配置即可
Ho-Jian
关注
专栏目录
Spring Security使用中Preflight请求和跨域问题详解
08-28
总结来说,Spring Security在处理跨域请求时,需要关注两个关键点:一是配置CORS过滤器以允许指定的跨域请求,二是确保Spring Security配置能正确处理Preflight(OPTIONS)请求。理解这两个概念以及它们在实际应用中...
跨域请求中拦截器获取不到session_一篇文章弄懂SpringBoot中WebMvcConfigurer(建议收藏学习)...
weixin_39652658的博客
12-08 763
一:简介WebMvcConfigurer是SpringBoot的一个配置类,采用JavaBean的形式来代替传统的xml配置文件形式,简化了开发中类的配置,可以自定义一些Handler,Interceptor,ViewResolver,MessageConverter。可能大家之前一直用的是WebMvcConfigurer的空实现类WebMvcConfigurerAdapter,但是在Java8后...
SSM使用拦截器Interceptor后,跨域失败的解决方案
二木成林
03-13 1457
由于前后端分离,前端使用的是Vue,后端使用的是SSM,所以跨域的解决方案是使用@CrossOrigin注解 @CrossOrigin(origins = "*", allowCredentials = "true") 但是使用SpringMVC的拦截器Interceptor后,就会跨域失败了,拦截器是拦截登录操作,判断用户是否登录 @CrossOrigin(origins = "*", allowCredentials = "true") public class LoginIntercep
Spring Security 详解
最新发布
As_Yua的博客
07-31 4257
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
spring boot 使用spring security 配置cors时无效,解决办法
miniy
12-25 389
spring boot 跨域方式有多种,本文采用 实现WebMvcConfigurer接口,其他方式可自行百度 步骤 1 实现WebMvcConfigurer接口,重写addCorsMappings方法 /** * web 配置类型 */ @Configuration publicclassWebConfigimplementsWebMvcConfigurer{ /** *...
Spring security 框架
m0_58203725的博客
11-10 443
关于Spring Security学习及搭建过程的详解 该内容仅是自己对Spring Security的一些理解,如有不足,请多指点
架构师成长记_第一周_12_CorsConfig跨域配置
Beyond_Nothing
10-03 408
文章目录对接前端源码(这使用tomcat运行本地服务器进行对接,后期使用Nginx静态资源服务器)1. 将前端代码放到tomcat的 webapps目录下并且然后启动tomcat2. 通过浏览器进行访问3. 使用 VS Code 进行前端开发对接 对接前端源码(这使用tomcat运行本地服务器进行对接,后期使用Nginx静态资源服务器) 1. 将前端代码放到tomcat的 webapps目录下并且然后启动tomcat 2. 通过浏览器进行访问 3. 使用 VS Code 进行前端开发对接 ...
SpringSecurity笔记,编程不良人笔记
10-28
- CORS(Cross-Origin Resource Sharing):SpringSecurity可以帮助配置CORS策略,允许跨域请求。 7. **代码示例** 在`SpringSecurity.md`和`SpringSecurity.pdf`文档中,可能包含SpringSecurity配置、自定义用户...
spring-security-ng-cors:使用 spring-security-csrf-token-interceptor 演示 CORS 问题的示例
07-03
Spring Security 提供了对 CORS 支持,包括通过拦截器来处理 CSRF(Cross-Site Request Forgery,跨站请求伪造)令牌,从而确保跨域请求的安全性。 `spring-security-csrf-token-interceptor` 是一个 Spring ...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
综上所述,解决Vue+Spring Boot跨域和Session失效问题的关键在于配置CORS策略以允许携带Cookie的跨域请求,并确保Session配置正确。同时,考虑采用Token认证机制,如JWT,以实现更灵活的认证和授权管理。
spring-boot-jwt-cors:Spring REST,JWT-身份验证和授权,CORS
05-16
首先,我们需要配置Spring Security,关闭默认的安全拦截,然后自定义访问决策管理器和过滤器链。JWT过滤器会检查HTTP请求头中的令牌,如果有效,就将用户信息放入Security Context,否则拒绝访问。 接下来,我们...
CORS跨域资源共享问题
qq_34169240的博客
06-26 878
1)CORS跨域资源共享问题问题CORS(Cross-OriginResource Sharing 跨源资源共享),当一个请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。开发过程中,在本地调试,部署在本地tomcat,端口为8080。同时需要调用服务器上的API,服务器上端口为18080,所以要用到跨域。解决方法:在client端总入口处,http请求中增加头信息。如以下语...
解决:Spring Boot Security跨域访问 cors错误
weixin_44077623的博客
04-24 1886
被这个问题折磨了好几个夜晚: cors错误 就是跨域问题,域名不同,浏览器给拦住了。 一开始发现 postman跑没问题,但是放到vue启项目请求就报错 开始尝试解决 网上有好多关于cors的概念和解决方法 这是比较全的方式 但是我都失败了,我发现问题不是在配置上,好像是在框架选型上,所有就想,用filter,什么框架也会用filter呢?SpringSecurity!!!就是它~! 然后在这面封开给你配置,但是,还是失败了。。。 迷茫之际遇到一个大师给我指点迷津了 here 根本问题在于,spring
SpringSecurity学习(六)CORS跨域、异常处理
Huathy的博客
03-12 3624
CORS是W3C的一种跨域资源共享技术标准,目的是为了解决前端跨域请求(浏览器同源策略会对跨域请求进行拦截)。早期方案由JSONP(仅支持GET),而CORS支持多种http请求,目前主流方案。cors中新增了一组 http请求头字段,通过这些字段告诉浏览器,那些网站通过浏览器有权限访问那些资源。
Spring Boot——Spring Security环境下跨域addCorsMappings与拦截器冲突导致跨域失效解决方案
无限迭代中......
03-06 1142
问题分析 【SpringMVC】与权限拦截器冲突导致的Cors跨域设置失效问题 解决方案 @Bean public CorsFilter corsFilter() { CorsConfiguration corsConfiguration = new CorsConfiguration(); List<String> list = new ArrayList<>(); list.add("*"); .
Spring Security系列】跨域CORS
qq_28248897的博客
07-16 986
跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问。 1.认识跨域 很多人误认为资源跨域时无法请求,实际上,通常情况下请求是可以正常发起的(注意,部分浏 览器存在特例),后端也正常进行了处理,只是在返回时被浏览器拦截,导致响应内容不可使用。可 以论证这一点的著名案例就是CSRF跨站攻击。 此外,我们平常所说的跨域实际上都是在讨论浏览器行为,包括各种WebView容器等(其中,以 XmlHttpRequest 的使用为主)。由于JavaScript 运行在浏览器之上,所以 Ajax的跨域成为
解决SpringSecurity配置了跨域后仍然报错的问题
qq_41798927的博客
04-18 814
在前后端分离的情况下,环境搭建的时候跨域问题是必不可少的。而在使用SpringSecurity后会出现虽然已经配置了跨域却还是报错的问题。 这是因为SpringSecurity相当于是AOP,会发生在跨域配置的前面。所以前端请求可以跨域过来,但是SpringSecurity的登录页请求无法发送到前端。 原因找到了,解决方法有两种,一种是单另给SpringSecurity配置,另一种是在Security进行身份验证的时候,进行判断,根据条件进行接口的跳转,这样就避免了Security给前端请求的跨域.
Spring Boot 解决跨域Cores问题
岚殿的代码笔记
08-09 1320
import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class CorsConfig implemen.
springboot跨域配置类
qq_34093116的博客
11-26 494
import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfigurationSource; import org.springf.
如何使用Spring Security解决CORS跨域问题
05-19
Spring Security提供了一种解决CORS跨域问题的方法,即使用CorsFilter。CorsFilter是一个Servlet过滤器,可以在处理请求之前拦截请求并添加CORS头信息。 要使用CorsFilter,需要在Spring Security配置中添加以下...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值