Spring、Spring-Boot、Spring-Security中对CORS(跨域资源共享)的支持

       出于安全原因,浏览器禁止AJAX调用当前域之外的域的资源。跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您指定哪些类型的跨域请求是被授权的,而不是基于IFRAME或JSONP的不安全且功能较差的工作区。

     Spring MVC HandlerMapping提供了对CORS的内置支持。在成功地将请求映射到处理程序之后,HandlerMapping将检查给定请求和处理程序的CORS配置,并采取进一步的操作。

       为了启用跨源请求(例如,源头是存在的,并且与请求的主机不同),您需要有一些显式声明的CORS配置。如果没有找到匹配的CORS配置,则拒绝请求前请求。在简单和实际的CORS请求的响应中没有添加CORS头,因此浏览器拒绝它们。

      每个HandlerMapping都可以通过基于URL模式的Cors映射单独配置。在大多数情况下,应用程序将使用MVC Java config或XML名称空间来声明这样的映射。

     在HandlerMapping级别上的全局CORS配置可以与更细粒度的、handler级别的CORS配置相结合。例如,带注解的控制器可以使用类或方法级的@CrossOrigin注解。

@CrossOrigin注解的使用


@RestController
@RequestMapping("/account")
public class AccountController {


    @CrossOrigin
    @GetMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }


    @DeleteMapping("/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

 

默认情况下@CrossOrigin允许:

 

  • 所有的域。
  • 所有的headers
  • 将控制器方法映射到的所有HTTP方法。
  • maxAge设置为30分钟。

类级别支持某一特定的域


@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {


    @GetMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }


    @DeleteMapping("/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}


类和方法上都使用


@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {


    @CrossOrigin("http://domain2.com")
    @GetMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }


    @DeleteMapping("/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}


Spring JAVA Configuration中 全局配置


@Configuration
@EnableWebMvc
public class WebConfig implements WebMvcConfigurer {


    @Override
    public void addCorsMappings(CorsRegistry registry) {


        registry.addMapping("/api/**")
            .allowedOrigins("http://domain2.com")
            .allowedMethods("PUT", "DELETE")
            .allowedHeaders("header1", "header2", "header3")
            .exposedHeaders("header1", "header2")
            .allowCredentials(true).maxAge(3600);


        // Add more mappings...
    }
}


在SpringBoot中的应用


package org.niugang.config;


import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;
/**
 * 
 * @Description:跨域访问配置
 * @Project:boot-sis 
 * @File:CORSMyConfiguration.java 
 * @Package:org.niugang.config 
 * @Date:2018年7月12日下午10:22:10
 * @author:niugang 
 * @Copyright (c) 2018, 863263957@qq.com All Rights Reserved. 
 *
 */
@Configuration
public class CORSConfiguration {
@Bean
public WebMvcConfigurer corsConfigurer() {
   return new WebMvcConfigurerAdapter() {
@Override
public void addCorsMappings(CorsRegistry registry) {
   //addMapping 跨域所能访问的路径
   //allowedOrigins:那些域可以访问,默认为任何域都可以访问
    registry.addMapping("/api/**").allowedOrigins("*");
   }
  };
}
}


在SpringSecurity中的应用

 

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {


@Override
protected void configure(HttpSecurity http) throws Exception {
http
// by default uses a Bean by the name of corsConfigurationSource  
 //默认配置一个Bean Name为corsConfigurationSource  
.cors().and()
...
}
       //配置那些域可以访问的我的资源
@Bean
CorsConfigurationSource corsConfigurationSource() {
    CorsConfiguration configuration = new CorsConfiguration();
     configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
    configuration.setAllowedMethods(Arrays.asList("GET","POST"));
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/**", configuration);
      return source;
}
}


配置跨域  代码和上面一样SpringBoot和Spring Security整合应用

package org.niugang.config;


import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;
/**
 * 
 * @Description:跨域访问配置
 * @Project:boot-sis 
 * @File:CORSMyConfiguration.java 
 * @Package:org.niugang.config 
 * @Date:2018年7月12日下午10:22:10
 * @author:niugang 
 * @Copyright (c) 2018, 863263957@qq.com All Rights Reserved. 
 *
 */
@Configuration
public class CORSConfiguration {
@Bean
public WebMvcConfigurer corsConfigurer() {
return new WebMvcConfigurerAdapter() {
@Override
public void addCorsMappings(CorsRegistry registry) {
//addMapping 跨域所能访问的路径
//allowedOrigins:那些域可以访问,默认为任何域都可以访问
registry.addMapping("/api/**").allowedOrigins("*");
}
};
}
}
  • 配置Spring Security

 

微信公众号               

发布了250 篇原创文章 · 获赞 201 · 访问量 47万+
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 数字20 设计师: CSDN官方博客

分享到微信朋友圈

×

扫一扫,手机浏览