oauth2中token端点跨域配置

最新推荐文章于 2024-05-27 20:07:33 发布
最新推荐文章于 2024-05-27 20:07:33 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: security oauth2 springcloud 文章标签: oauth2 /oauth/token 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leijie0322/article/details/127464058
版权
springcloud 同时被 3 个专栏收录
22 篇文章 0 订阅
订阅专栏
security
11 篇文章 2 订阅
订阅专栏
oauth2
4 篇文章 0 订阅
订阅专栏

在vue前端访问springboot2.7+security+oauth2搭建的认证授权服务器的oauth/token端点时,发生跨域问题。
场景:访问oauth/token接口时,在认证授权服务中已添加了springboot2.7版本的跨域配置,且在WebSecurityConfig和ResourceServerConfig中均已开启去允许跨域,还是发生了跨域。
分析:分析过后怀疑是/oauth/*端点被加入到spring security过滤链中了,这时需要自己写过滤器,并设置优先级高于security过滤器。
解决:
针对/oauth/*端点的跨域配置

@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CorsFilter implements Filter {

    public CorsFilter() {
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        HttpServletRequest request = (HttpServletRequest) req;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with, authorization");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");

        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            chain.doFilter(req, res);
        }
    }

    @Override
    public void init(FilterConfig filterConfig) {
    }

    @Override
    public void destroy() {
    }
}

跨域请求时会先发送OPTIONS请求,而OPTIONS请求头并不会携带认证信息,需要放开。Spring源码中地址/oauth/token默认的访问控制策略是”fullyAuthenticated“,导致跨域时OPTIONS请求因认证失败而跳转/ERROR返回错误响应。

其实,还可以采用在webSecurity中ignore请求类型为options的请求,并在AuthorizationServerConfig中的endpoints设置跨域的配置。
后续若有更新,会持续更新。

ldcaws
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记录一次SpringBoot的踩坑经历——SpringSecurity解决方案(/oauth/token 401)
Harrison
04-23 2383
项目场景: 目前在重构一个导购后端系统,我负责用户的模块和登录鉴权的整个业务的架构设计和代码编写 利用SpringBoot + SpringSecurity + Oauth2完成了简单的登录和鉴权 登录功能:首先需要调用/oauth/token接口,根据用户名密码获取toke,拿到token后将token放入请求头Header再去请求其它接口。 接口开发完成并使用Postman测试通过,再由前端去画页面联调接口。 问题描述: 问题就出现在了前端接口联调这里,前端是用Vue完成的,安装好Node
前端如何解决问题(大概)
weixin_67271921的博客
04-26 478
【代码】前端如何解决问题(大概)
向请求头添加自定义属性,实现token功能时,出现CORS导致请求失败( has been blocked by CORS policy: ... No ‘Access-Control-All)
piglite的专栏
06-17 2703
场景:在使用 SpringBoot + Vue 进行前后端分离的开发过程,部分功能是需要当用户登陆成功时后端(SpringBoot)向前端(Vue)返回一个token值,前端将这个token值放在以后每个请求的请求头,后端先从拦截器验证token值的存在,再放行请求,以确保不会被别人恶意修改、删除数据,结果出现了CORS导致请求失败的情况。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为 “预检” 请求(preflight)。由于在后端拦截器拦截了所有的请求,
OAuth2.0 token的自动续期问题
最新发布
xiao_ying_bo_ke的博客
05-27 936
OAuth2.0 的token自动续期源码分析及实现
oauth2 cors
旅人的博客
08-29 1348
问题描述:在使用oauth2时访问/oauth/token时出现401的问题! 如果项目包含 Spring Security 就会有 401 的问题,Spring Security 本身是通过 Filter 实现的,如果没有对其单独做 CORS 的处理,在 Web Security 报错 401 的时候是不会返回相应的 CORS 的字段的。这会导致出现的 401 错误成为了一个无法进行的错误...
Spring Security使用Oauth2时的问题
LJL's博客
01-12 2998
Spring Security使用Oauth2时的问题
OAUTH2.0配置
奋斗
08-03 936
OAUTH2.0配置
OAuth2.0访问控制:使用OAuth2.01.0B协议实现
禅与计算机程序设计艺术
07-03 5171
作者:禅与计算机程序设计艺术 OAuth2.0 访问控制:使用 OAuth2.0 1.0B 协议实现 1. 引言 1.1. 背景介绍 随着互联网的发展,Web 应用越来越多,各种
详解OAuth2 Token 一定要放在请求头
08-18
OAuth2 Token 是否一定要放在请求头 在了解 OAuth2 Token 时,我们总是会遇到一个问题,那就是 OAuth2 Token 一定要放在请求头吗?答案是否定的,本文将从源码的角度来分享一下 Spring Security OAuth2 的解析...
基于SpringBoot整合oauth2实现token认证
08-25
在本文,我们将使用SpringBoot框架来整合oauth2实现token认证。oauth2是一种业界广泛采用的认证协议,它可以提供更加安全的认证机制。SpringBoot是一个基于Java的框架,它提供了许多实用的功能,可以帮助我们快速...
SpringCloud Gateway配置代码实例
08-25
在本文,我们将详细介绍 SpringCloud Gateway 配置代码实例。配置是指在不同的源之间共享资源时,如何配置服务器以允许请求。SpringCloud Gateway 提供了强大的配置功能,通过配置可以实现...
OAuth2获取token报错invalid stream header
12-14
记一次异常解决:OAuth2获取token报错invalid stream header 在整合springcloud gateway、eureka、security、OAuth2的时候,采用授权码模式,用授权码去访问/oauth/token获取token时,遇到invalid stream header异常...
Spring Security OAuth2 token权限隔离实例解析
08-25
2. 在授权服务器的配置,将自定义的`TokenEnhancer`注册到OAuth2的配置,这样每次生成token时都会调用此增强器。 ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig ...
oauth2.0,使用 axios 请求令牌时,出现问题的解决办法
Hcy_code的博客
02-15 1613
oauth2.0 使用 axios请求令牌时的问题
SpringBoot2.0+SpringSecurity+Oauth2获取AccessTokenCORS访问终极解决方案
坐看云起时_雨宣
06-15 6677
今天在搭建项目的时候遇到了Oauth2获取AccessToken访问的问题,之前关于这块都是自己去实现,这次打算用Oauth2来集成SpringBoot。项目依赖如下: <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId&g...
spring security oauth2.0 根据token信息获取用户信息
热门推荐
u013911102的博客
09-14 1万+
项目场景: 既然前面有说到spring security 是如何验证当前用户以及获取到当前用户信息,哪么spring security auth2.0又是如何验证当前用户信息的呢? 技术详解: spring security auth2.0验证用户信息其实更加简单,具体的逻辑就在OAuth2AuthenticationProcessingFilter,我们先一起看看OAuth2AuthenticationProcessingFilter的源码吧. OAuth2AuthenticationProce
filter导致失效_利用Filter解决请求的问题
weixin_39533896的博客
12-19 723
1、为什么出现。很简单的一句解释,A系统使用ajax调用B系统的接口,此时就是一个典型的问题,此时浏览器会出现以下错误信息,此处使用的是chrome浏览器。错误信息如下:jquery-1.8.0.min.js:3 Failed to load http://localhost:8081/authz/openapi/v1/token: No 'Access-Control-Allow-O...
axios解决oauth2问题
qq_40650378的博客
12-29 3985
最近因为这个问题耗费了几天时间,觉得可能大家以后工作有可能碰到,所以记录下来 前端是VUE框架的axios请求模式,后端采用springboot做的一个授权和认证服务 postman一切正常,然后开始联调发生悲剧! 前端说后端有问题,没解决,开始动手,先解决认证服务器问题 一般先在WebSecurityConfigurerAdapter实现里添加允许 @Override ...
Spring Security系列教程之解决Spring Security环境问题
xu_hui123的博客
12-08 5265
实现WebMvcConfigurer接口来解决问题 二. Spring Security环境下的问题解决 通过上面的配置,我们已经解决了Ajax的请求问题,但是这个案例也有潜在的威胁存在,常见的就是 CSRF(Cross-site request forgery) 站请求伪造。站请求伪造也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法
oauth2 + security 前端请求oauth框架自带的 /oauth/token 接口
08-31
针对前端请求OAuth框架自带的/oauth/token接口问题,可以使用Spring Boot的CORS(资源共享)来解决。CORS是一种机制,允许浏览器在发送AJAX请求时,访问其他下的资源。通过配置CORS,可以允许前端请求/oauth/token接口访问。 在后台使用Spring Cloud框架,包括Eureka、Gateway,可以配置Hystrix简单实现和功能。此外,还可以使用OAuth2来实现认证和授权,使用JWT token进行身份验证。 因此,可以通过在Spring Boot配置CORS解决前端请求OAuth框架自带的/oauth/token接口问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Springboot通过cors解决问题(解决spring security oath2的/oauth/token问题)](https://blog.csdn.net/jazz2013/article/details/116591240)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [前端(ElementUI)后端(Spring Cloud Eureka、Gateway、OAuth2、JWTtoken、RSA)](https://download.csdn.net/download/qq_24296051/87646211)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值