oauth2中token端点跨域配置

最新推荐文章于 2025-05-26 12:56:32 发布
最新推荐文章于 2025-05-26 12:56:32 发布
阅读量1.7k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: security oauth2 springcloud 文章标签: oauth2 /oauth/token 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leijie0322/article/details/127464058

在vue前端访问springboot2.7+security+oauth2搭建的认证授权服务器的oauth/token端点时,发生跨域问题。
场景:访问oauth/token接口时,在认证授权服务中已添加了springboot2.7版本的跨域配置,且在WebSecurityConfig和ResourceServerConfig中均已开启去允许跨域,还是发生了跨域。
分析:分析过后怀疑是/oauth/*端点被加入到spring security过滤链中了,这时需要自己写过滤器,并设置优先级高于security过滤器。
解决:
针对/oauth/*端点的跨域配置

@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CorsFilter implements Filter {

    public CorsFilter() {
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        HttpServletRequest request = (HttpServletRequest) req;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with, authorization");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");

        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            chain.doFilter(req, res);
        }
    }

    @Override
    public void init(FilterConfig filterConfig) {
    }

    @Override
    public void destroy() {
    }
}

跨域请求时会先发送OPTIONS请求,而OPTIONS请求头并不会携带认证信息,需要放开。Spring源码中地址/oauth/token默认的访问控制策略是”fullyAuthenticated“,导致跨域时OPTIONS请求因认证失败而跳转/ERROR返回错误响应。

其实,还可以采用在webSecurity中ignore请求类型为options的请求,并在AuthorizationServerConfig中的endpoints设置跨域的配置。
后续若有更新,会持续更新。

Springboot通过cors解决问题(解决spring security oath2的/oauth/token问题)
GeorgeShaw1的专栏
07-13 1万+
在工程里添加两个类: CorsConfig.java: 实现全局过滤器,设置CORS,注意一定要是全局。网上说多加一个注解(Spring官网)或者加Cors Mapper只能解决自定义接口的,对于spring security oath2的默认接口,例如 /oauth/token问题,是无法解决的,必须通过本文的全局CORS Filter解决。package com.qiaoya.inte
SpringSecurity+Oauth2获取AccessTokenCORS问题解决
Eiverl的博客
09-23 1626
问题: 在springboot+SpringSecurity+oauth2项目中,No ‘Access-Control-Allow-Origin’ 终极解决办法,在使用了corsFilter进行处理,相关代码配置如下: @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException,
Spring Security使用Oauth2时的问题
LJL's博客
01-12 3305
Spring Security使用Oauth2时的问题
SpringBoot解决方案:CORS配置与OAuth2安全实践
梵心白莲的博客
05-10 755
在现代Web开发中,前后端分离的架构已经成为主流。前端应用和后端服务往往部署在不同的名或端口上,这就会引发问题。同时,为了保证系统的安全性,对接口进行身份验证和授权也是必不可少的。Spring Boot作为一个强大的Java开发框架,提供了多种解决问题的方案,并且能够很好地集成OAuth2进行安全认证。本文将详细介绍Spring Boot中CORS(资源共享)的配置以及OAuth2的安全实践。
OAuth2.0中的访问控制:使用OAuth2.01.0B协议实现
AI天才研究院
07-03 5387
作者:禅与计算机程序设计艺术 OAuth2.0 中的访问控制:使用 OAuth2.0 1.0B 协议实现 1. 引言 1.1. 背景介绍 随着互联网的发展,Web 应用越来越多,各种
OAUTH2.0配置
奋斗
08-03 1164
OAUTH2.0配置
SpringBoot OAuth2支持访问
无望丶
03-21 3614
什么是访问 在 HTML 中,<a>, <form>, <img>, <script>, <iframe>, <link> 等标签以及 Ajax 都可以指向一个资源地址,而所谓的请求就是指:当前发起请求的与该请求指向的资源所在的不一样。这里的指的是这样的一个概念:我们认为若协议 + 名 + 端口号均相同,那么...
使用OAuth2实现社交登录与Spring授权服务器配置
最新发布
静水深流
05-26 1057
Spring Security OAuth2实现SSO的完整技术路径涵盖了从社交登录到企业级授权服务器的全场景解决方案。通过对比GitHub社交登录与Spring Authorization Server的配置差异,我们可以清晰看到授权服务器与资源服务器的解耦设计优势:前者适合快速接入第三方认证,后者则提供完全可控的认证体系。BCrypt加密的客户端密钥存储精确匹配的回调URI校验CSRF令牌的HttpOnly策略作用前缀(SCOPE_)的强制规范JWT签发者的严格验证。
Golang OAuth2 常见问题与解决方案
Golang编程笔记的博客
05-08 1129
本文针对Golang开发者在实现OAuth2认证授权时遇到的典型问题,提供系统性解决方案。内容覆盖OAuth2核心流程(授权码模式、隐式模式、客户端凭证模式、资源所有者密码模式)的Golang实现细节,重点解决令牌生命周期管理、安全漏洞防范、平台适配等工程问题。通过理论分析与代码实战结合,帮助开发者建立健壮的认证授权体系。背景知识:OAuth2核心概念与Golang生态简介核心问题:令牌管理、状态验证、重定向安全等六大类问题解析解决方案:结合代码示例的分步实现指南。
security-oauth2(自定义配置)
qq_33421961的博客
11-10 2465
整体介绍 security-oauth2 提供了一套完善的token认证授权体系,同时也提供 前言 此处是前言 一.完整代码下载 建议先下载完整代码,然后对照着代码来看此篇文章 百度网盘地址: 下载 git地址:下载 二.概念介绍 此处介绍概念 三.写个demo 1.准备工作 利用java提供的keytool工具生成密钥 ( .jks 或者 .keystore 文件) 打开黑窗口,运行命令:keytool -genkeypair -alias 【别名】-keyalg 【加密算法】 -keypass 【
springboot oauth2 设置
weixin_33978044的博客
09-20 1110
2019独角兽企业重金招聘Python工程师标准>>> ...
oauth2 cors
旅人的博客
08-29 1534
问题描述:在使用oauth2时访问/oauth/token时出现401的问题! 如果项目中包含 Spring Security 就会有 401 的问题,Spring Security 本身是通过 Filter 实现的,如果没有对其单独做 CORS 的处理,在 Web Security 报错 401 的时候是不会返回相应的 CORS 的字段的。这会导致出现的 401 错误成为了一个无法进行的错误...
oauth2.0,使用 axios 请求令牌时,出现问题的解决办法
Hcy_code的博客
02-15 1848
oauth2.0 使用 axios请求令牌时的问题
spring security oauth2.0 根据token信息获取用户信息
热门推荐
u013911102的博客
09-14 1万+
项目场景: 既然前面有说到spring security 是如何验证当前用户以及获取到当前用户信息,哪么spring security auth2.0又是如何验证当前用户信息的呢? 技术详解: spring security auth2.0验证用户信息其实更加简单,具体的逻辑就在OAuth2AuthenticationProcessingFilter,我们先一起看看OAuth2AuthenticationProcessingFilter的源码吧. OAuth2AuthenticationProce
记录一次SpringBoot的踩坑经历——SpringSecurity解决方案(/oauth/token 401)
Harrison
04-23 2909
项目场景: 目前在重构一个导购后端系统,我负责用户的模块和登录鉴权的整个业务的架构设计和代码编写 利用SpringBoot + SpringSecurity + Oauth2完成了简单的登录和鉴权 登录功能:首先需要调用/oauth/token接口,根据用户名密码获取toke,拿到token后将token放入请求头Header中再去请求其它接口。 接口开发完成并使用Postman测试通过,再由前端去画页面联调接口。 问题描述: 问题就出现在了前端接口联调这里,前端是用Vue完成的,安装好Node
axios解决oauth2问题
qq_40650378的博客
12-29 4108
最近因为这个问题耗费了几天时间,觉得可能大家以后工作中有可能碰到,所以记录下来 前端是VUE框架的axios请求模式,后端采用springboot做的一个授权和认证服务 postman一切正常,然后开始联调发生悲剧! 前端说后端有问题,解决,开始动手,先解决认证服务器问题 一般先在WebSecurityConfigurerAdapter实现里添加允许 @Override ...
五分钟带你玩转spring cloud alibaba(十)spring cloud ouath2 +getway特殊配置
m0_60388338的博客
04-02 450
*[外链图片转存中…(img-xJRKFmH5-1712054646964)][外链图片转存中…(img-CB7KEzp8-1712054646964)]
axios请求,token,后端解决
你还有我
04-06 2256
什么是Axios Axios 是一个基于 promise 的 HTTP 库,可以用在浏览器和 node.js 中。 官网 http://www.axios-js.com/zh-cn/docs/ Axios的优点 1支持发送ajax异步 2 支持在NodeJs中发送ajax请求 3 支持Promise 4 支持拦截器请求和响应 5 支持对请求和响应数据的转换 安装在服务端命令 npm install axios --save 案例:执行get请求 // 为给定 ID 的 user 创建请求 axi
oauth2端点
03-27
### OAuth2 端点的实现与配置 #### 授权端点 (Authorization Endpoint) 授权端点主要用于处理用户的认证请求并重定向到第三方服务提供商进行身份验证。通过 `oauth2Login().authorizationEndpoint()` 方法可以自定义该端点的行为[^2]。例如,可以通过设置回调 URI 或者调整 HTTP 请求参数来满足特定需求。 以下是配置授权端点的一个简单示例: ```java http.oauth2Login() .authorizationEndpoint() .baseUri("/auth/authorize") // 设置基础URI路径 .authorizedRedirectUri("https://example.com/callback"); // 配置合法的回调地址 ``` #### 令牌端点 (Token Endpoint) 令牌端点负责接收来自授权服务器的访问令牌,并将其存储以便后续 API 调用使用。`oauth2Login().tokenEndpoint()` 提供了对该过程的控制能力。如果需要修改默认行为(比如支持不同的响应类型),可以在这一阶段进行定制化开发。 下面是一个关于如何配置令牌端点的例子: ```java http.oauth2Login() .tokenEndpoint() .accessTokenResponseClient(customAccessTokenResponseClient()); // 使用自定义客户端获取 token ``` 其中 `customAccessTokenResponseClient` 是开发者自行编写的类实例,用于替代 Spring Security 默认实现的部分逻辑。 #### 处理特殊场景下的兼容性问题 当遇到某些特殊的第三方登录平台返回的数据格式不符合标准时,则可能需要用到更深层次的扩展机制[^3]。这通常涉及重新定义解析器或者适配器模式的应用程序组件设计思路。 假设某外部服务商提供了非标准化 JSON 结构作为其 ID Token 的组成部分之一,在这种情况下就需要创建一个新的 Converter 来完成数据映射工作流程如下所示: ```java @Bean public JwtDecoder jwtDecoder() { NimbusJwtDecoder decoder = (NimbusJwtDecoder) JwtDecoders.fromOidcIssuerLocation(issuerUri); ObjectMapper objectMapper = new ObjectMapper(); objectMapper.registerModule(new CustomClaimsModule()); decoder.setJwtValidator(...); // 添加额外校验规则 return decoder; } ``` 这里引入了一个名为 `CustomClaimsModule` 的 Jackson Module 对象,它能够帮助我们将不寻常字段转换成内部模型属性值。 #### 解决资源共享(CORS) 和预检请求(Preflight Request) 为了使前端应用顺利调用后端接口资源而不受浏览器同源策略限制影响,有必要考虑 CORS 政策以及 OPTIONS 方法的支持情况[^4]。一种常见做法是在全局过滤链里忽略掉所有针对 options 动词发起的操作;与此同时也要记得在 OpenID Connect Provider Metadata 中声明允许哪些来源名访问敏感材料。 代码片段展示如下: ```java @Override protected void configure(HttpSecurity http) throws Exception { http.cors(cors -> cors.configurationSource(request -> { CorsConfiguration config = new CorsConfiguration(); config.addAllowedOrigin("*"); config.setMaxAge(3600L); return config; })) .csrf(csrf -> csrf.disable()) .authorizeHttpRequests(authz -> authz.anyRequest().authenticated()); WebMvcConfigurer adapter = registry -> { registry.addCorsMapping("/**").allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS"); }; } // 另外一处重要位置 @Configuration @EnableWebSecurity @Order(SecurityProperties.BASIC_AUTH_ORDER - 1) public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.allowedTokenEndpointRequestMethods(HttpMethod.GET, HttpMethod.POST, HttpMethod.OPTIONS); } } ``` 以上就是有关于 OAuth2 登录过程中涉及到的主要几个方面——即授权、取号及其周边配套设施建设方面的介绍说明文档内容总结完毕! ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值