SpringSecurity(09)——跨域配置

最新推荐文章于 2024-04-07 22:01:27 发布
最新推荐文章于 2024-04-07 22:01:27 发布
阅读量541 收藏 8
点赞数 11
分类专栏: SpringSecurity 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/peng_gx/article/details/135707566
版权

SpringBoot跨域处理

@CrossOrigin(局部跨域)

@RestController
public class IndexController {

    @CrossOrigin(value = "http://localhost:8082")
    @GetMapping("/hello")
    public String hello() {
        return "get hello";
    }

    @CrossOrigin(value = "http://localhost:8082")
    @PostMapping("/hello")
    public String hello2() {
        return "post hello";
    }
}

@CrossOrigin(origins = "http://example.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

    @RequestMapping(method = RequestMethod.GET, path = "/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

WebMvcConfigurer(全局跨域)

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
 
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedHeaders("Content-Type","X-Requested-With","accept,Origin","Access-Control-Request-Method","Access-Control-Request-Headers","token")
                .allowedMethods("*")
                .allowedOrigins("*")
                .allowCredentials(true);
    }
}

SpringSecurity跨域处理

如果使用了 Spring Security,上面的跨域配置会失效,因为请求被 Spring Security 拦截了

在项目中使用 Spring Security,我们必须采取额外的步骤确保它与 CORS 协作良好。这是因为 CORS 需要首先处理,否则,Spring Security 会在请求到达 Spring MVC 之前将其拒绝

@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and()...
    }
}

可以配置 CORS 以覆盖默认的 Spring Security CORS 处理器。为此,我们需要添加一个 CorsConfigurationSource Bean,使用 CorsConfiguration 实例来处理 CORS 配置。如果添加了 CorsFilter Bean,http.cors() 方法就会使用 CorsFilter,否则就会使用 CorsConfigurationSource。如果两者都未配置,则使用 Spring MVC pattern inspector handler。

CorsConfigurationSource(全局跨域)

@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and()...
    }
    
    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("*"));
        configuration.setAllowedMethods(Arrays.asList("*"));
        configuration.setAllowedHeaders(Arrays.asList("*"));
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }
}

CosFilter(全局跨域)

@Configuration
public class GlobalCorsConfig {
    
    @Bean
    public CorsFilter corsFilter() {
        //1.添加CORS配置信息
        CorsConfiguration config = new CorsConfiguration();
        //放行哪些原始域
        config.addAllowedOrigin("*");
        //是否发送Cookie信息
        config.setAllowCredentials(true);
        //放行哪些原始域(请求方式)
        config.addAllowedMethod("*");
        //放行哪些原始域(头部信息)
        config.addAllowedHeader("*");
        //暴露哪些头部信息(因为跨域访问默认不能获取全部头部信息)
        config.addExposedHeader("*");
 
        //2.添加映射路径
        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
        configSource.registerCorsConfiguration("/**", config);
 
        //3.返回新的CorsFilter.
        return new CorsFilter(configSource);
    }
}

自定义Filter(全局跨域)

public class CorsFilter extends OncePerRequestFilter {
    
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String orignalHeader = StringUtils.defaultIfBlank(request.getHeader("Origin"), "*");
        // 指定本次预检请求的有效期
        response.setHeader("Access-Control-Max-Age", "3600");
        // 服务器支持的所有头信息字段
        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));
        response.setHeader("Access-Control-Allow-Origin", orignalHeader);
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT");
        filterChain.doFilter(request, response);
    }
}

@Configuration
public class WebMvcConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.addFilterBefore(new CorsFilter(), WebAsyncManagerIntegrationFilter.class);
    }
}
爱编程的小生
关注
  • 11
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot跨域访问服务配置程序
08-15
重定义WebMvcConfigurer类中addCorsMappings接口函数,配置如下信息: 1、设置跨域访问的路径,允许所有路径跨域访问; 2、设置跨域访问的源,允许所有源; 3、设置请求方法,允许"POST", "GET", "PUT", "OPTIONS", "DELETE"等方式 4、 设置预检间隔时间, 5、允许头部设置 6、 允许发送cookie
Day244.Springsecurity解决跨域问题、CSRF跨域攻击防护、JWT集群应用方案 -springsecurity-jwt-oauth2
阿昌爱Java
04-11 930
1.解决跨域访问的问题 一、CORS简述 要说明CORS(Cross Origin Resourse-Sharing) 跨站资源共享,就必须先说同源策略。长话短说,同源策略就是向服务端发起请求的时候,以下三项必须与当前浏览器应用一致:域名、端口、协议。用白话说:就是你的应用发送请求不能访问别人的资源,否则浏览器就会限制你。 当然也有例外,如:img、srcipt、iframe等资源引用的HTML标签不受同源策略的限制。 但是我们实际开发中又经常会跨站访问,比如前后端分离的应用是分开部署的,在浏览器看来是两
SpringSecurity配置跨域访问
chinoukin的博客
12-10 4303
说明 java后端web服务有很多种方法可以实现跨域访问,配置很简单,今天这里我们用SpringSecurity的方式配置跨域访问,配置方法如下: package com.wisea.config; import org.springframework.context.annotation.Bean; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframe
Spring Security——09,解决跨域
最新发布
weixin_42858422的博客
04-07 999
因为它不是浏览器,所以我们要找一个前端的项目,就随便找了一个vue工程。由于我们的资源都会收到SpringSecurity的保护,所以想要跨域访问还要让SpringSecurity运行跨域访问。修改一下登录页面,认证登录成功之后,把返回的token接收,存入localStorage。前后端分离项目,前端项目和后端项目一般都不是同源的,所以肯定会存在跨域请求的问题。然后看一下,响应,都没有问题,OK,这个账号是有这个权限的。然后测试一下,登录成功,解决跨域请求,拿到token。填入一个正确的密码,认证成功。
详解springSecurityjava配置
08-18
主要介绍了详解springSecurityjava配置篇,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring 跨域配置请求详解
08-26
主要介绍了Spring 跨域配置请求详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security(七) ——跨域配置
eyes++的博客
07-26 3713
CORS(Cross-OriginResourceSharing)是由W3C制定的一种基于HTTP头的跨域资源共享技术标准,其目的就是为了解决前端的跨域请求,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),使得浏览器允许这些origin访问加载自己的资源。在JavaEE开发中,最常见的前端跨域请求解决方案是早期的JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法,也是目前主流的跨域解决方案。...
SpringSecurity跨域配置
weixin_64443786的博客
07-13 1367
SpringSecurity
Spring Security系列教程之解决Spring Security环境中的跨域问题
xu_hui123的博客
12-08 4808
实现WebMvcConfigurer接口来解决跨域问题 二. Spring Security环境下的跨域问题解决 通过上面的配置,我们已经解决了Ajax的跨域请求问题,但是这个案例中也有潜在的威胁存在,常见的就是 CSRF(Cross-site request forgery) 跨站请求伪造。跨站请求伪造也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法
SpringSecurity学习(六)CORS跨域、异常处理
Huathy的博客
03-12 2863
CORS是W3C的一种跨域资源共享技术标准,目的是为了解决前端跨域请求(浏览器同源策略会对跨域请求进行拦截)。早期方案由JSONP(仅支持GET),而CORS支持多种http请求,目前主流方案。cors中新增了一组 http请求头字段,通过这些字段告诉浏览器,那些网站通过浏览器有权限访问那些资源。
Spring Boot三种跨域解决方案与Spring Security跨域解决方案
学无止境!
12-29 2702
JavaWeb跨域问题及解决方案,另外我下面会做补充。很多人误认为资源跨域时无法请求,实际上,通常情况下请求是可以正常发起的(注意,部分浏览器存在特例),后端也正常进行了处理,只是在返回时被浏览器拦截,导致响应内容不可使用。此外,我们平常所说的跨域实际上都是在讨论浏览器行为。CORS(Cross-Origin Resource Sharing)的规范中有一组新增的HTTP首部字段,允许服务器声明其提供的资源允许哪些站点跨域使用。
web前后端分离开发——前端Vue跨域配置
06-04
web前后端分离开发,前端Vue跨域配置和服务器端nginx跨域配置
SpringCloud Gateway跨域配置代码实例
08-25
主要介绍了SpringCloud Gateway跨域配置代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Tomcat跨域配置
01-09
问题描述 在服务器的tomcat上面,挂载了一个共享路径,然后在前端浏览器请求的时候出现了跨域的问题。 解决方法 前端请求服务器的资源出现跨域的时候,一般是通过配置服务器的跨域来解决的,所以在此处我们配置服务器中的tomcat跨域就可以,具体操作如下: 1、通过如下地址 链接:https://pan.baidu.com/s/1HHYtFf-9a73W_Gyhua8NMQ 提取码:sald 下载所需的两个jar包,然后将这两个包拷贝到tomcat安装目录的lib文件夹下,为了避免后期配置了还是会出现跨域的情况,在bin目录下也复制一份。 2、打开tomcat安装目录的conf目录,打开web.
springboot中如何实现跨域请求
daimenglaoshi的博客
12-07 3463
我们知道Url的一般格式:协议 + 域名(子域名 + 主域名) + 端口号 + 资源地址比如:https://www.itquanmingxing.cn:8080/users 是由https + www + itquanmingxing.cn + 8080 + users组成。只要协议,子域名,主域名,端口号这四项组成部分中有一项不同,就可以认为是不同的域,不同的域之间互相访问资源,就被称之为跨域。而我们的浏览器默认是不允许跨域请求的,因为它们都使用了同源策略,同源策略是由 Netscape 提出的一个著名
Springboot +spring security,解决跨域问题
weixin_40991408的博客
05-26 2131
Springboot +spring security,解决跨域问题
Spring Security实战(六)—— 跨域与CORS
weixin_49561506的博客
04-24 1084
spring security实战之跨域与CORS
SpringSecurity跨域
Littewood的博客
07-24 5794
SpringSecurity跨域解决
Spring Security6配置跨域
07-28
Spring Security 6 中配置跨域,你可以使用以下步骤: 1. 添加依赖:在 pom.xml 文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> ``` 2. 创建一个配置类:创建一个名为 `WebSecurityConfig` 的配置类,并使用 `@EnableWebSecurity` 注解标记它。 3. 配置跨域:在 `WebSecurityConfig` 类中重写 `configure(HttpSecurity http)` 方法,并使用 `http.cors()` 方法启用跨域配置。 ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.cors(); // 其他配置... } // 其他配置... } ``` 4. 创建跨域配置类:创建一个名为 `CorsConfig` 的配置类,并使用 `@Configuration` 注解标记它。在该类中,你可以配置允许的来源、方法和头信息等。 ```java @Configuration public class CorsConfig { @Bean public CorsFilter corsFilter() { CorsConfiguration config = new CorsConfiguration(); config.addAllowedOrigin("*"); // 允许所有来源 config.addAllowedMethod("*"); // 允许所有方法 config.addAllowedHeader("*"); // 允许所有头信息 UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", config); return new CorsFilter(source); } } ``` 5. 启用跨域过滤器:在 `WebSecurityConfig` 类中注册 `CorsConfig` 配置类。 ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CorsConfig corsConfig; @Override protected void configure(HttpSecurity http) throws Exception { http.cors(); // 其他配置... } @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/resources/**"); // 忽略静态资源的拦截 } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { // 配置用户认证逻辑 } @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(corsConfig.corsFilter(), ChannelProcessingFilter.class); // 其他配置... } // 其他配置... } ``` 这样就完成了 Spring Security 6 的跨域配置。你可以根据实际需求修改跨域配置类中的允许来源、方法和头信息等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值