引用Spring Security 项目的跨域处理

最新推荐文章于 2024-06-11 09:48:54 发布
最新推荐文章于 2024-06-11 09:48:54 发布
阅读量2.2w 收藏 15
点赞数 6
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_14962891/article/details/80418455
版权

最近项目采用了前后端分离的框架,前端和后台接口没有部署到一个站点,出现了跨域问题,什么是跨域,这里就不再赘述,直接说解决办法。Spring 解决跨域的方式有很多,个人采用了Crosfilter的方式。具体代码如下:

@Bean
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new      UrlBasedCorsConfigurationSource();
        final CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }

配置完成后,测试调用,报错401,依然不行。网上查资料得知,跨域请求会进行两次。具体流程见下图:
这里写图片描述
每次跨域请求,真正请求到达后端之前,浏览器都会先发起一个preflight request,请求方式为OPTIONS 询问服务端是否接受该跨域请求,具体参数如下图:
这里写图片描述
但是该请求不能携带cookie和自己定义的header。
由于项目中引入了Spring security ,而我使用的token传递方式是在header中使用authorization 字段,这样依赖Spring Security拦截到 preflight request 发现它没有携带token,就会报错401,没有授权。

解决这个问题很简单,可以使用以下配置,让Spring security 不校验preflight request 。

 @Override
    public void configure(HttpSecurity http) throws Exception {
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry 
        = http.authorizeRequests();
        registry.requestMatchers(CorsUtils::isPreFlightRequest).permitAll();//让Spring security放行所有preflight request 
    }

再试就搞定了,但是后端直接配置支持跨域会导致两次请求。还使用另一种方式,使用Nginx 转发一下请求也可以。

喂灬你的蓝玫瑰
关注
  • 6
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringSecurity跨域配置
weixin_64443786的博客
07-13 1626
SpringSecurity
springboot2.x Spring Security Vue-resource跨域问题解决
Keith003的博客
02-08 1063
原因:最近在将一个项目修改为前后端分离中,前端使用Vue 开发碰到跨域问题,这里记录一下。 服务器端修改 1、在配置类中设置 CorsFilter,新建CorsConfig import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; ...
关于Spring Security的CORS
最新发布
寻码启示
06-11 1261
跨域请求,同源安全策略,报错No 'Access-Control-Allow-Origin' header is present on the requested resource,解决方法,处理方法。
Spring Security怎么实现的跨域?
m0_57042151的博客
01-13 406
浏览器从一个域名的网页去请求另一个域名的资源时,域名、端口、协议任一不同,都是跨域 域名:主域名不同-->子域名不同-->域名和域名ip-->端口:协议:备注:   1、端口和协议的不同,只能通过后台来解决2、localhost和127.0.0.1虽然都指向本机,但也属于跨域
记录一下 springboot 整合 SecurityConfig后, 前端访问后端跨域的坑
ws - 兮的博客空间
08-17 2443
一、WebMvcConfigurer 中添加跨域配置 注意: addExposedHeader() 一定要配置, 否则前端将获取不到响应头中的 TOKEN /Authorization 参数 @Configuration public class MvcConfig implements WebMvcConfigurer { @Bean public CorsFilter corsFilter() { final UrlBasedCorsConfigurationSou
前后端分离下spring security 跨域问题等
热门推荐
qq_35494808的博客
10-10 2万+
最近在做一个项目,前后端分离,不可避免的遇到了跨域问题。起初是配置跨域: @Configuration public class CorsConfig extends WebMvcConfigurerAdapter { private CorsConfiguration buildConfig() { CorsConfiguration corsConfigurat...
SpringSecurity笔记,编程不良人笔记
10-28
- CORS(Cross-Origin Resource Sharing):SpringSecurity可以帮助配置CORS策略,允许跨域请求。 7. **代码示例** 在`SpringSecurity.md`和`SpringSecurity.pdf`文档中,可能包含SpringSecurity配置、自定义用户...
Spring Security使用中Preflight请求和跨域问题详解
08-28
总结来说,Spring Security处理跨域请求时,需要关注两个关键点:一是配置CORS过滤器以允许指定的跨域请求,二是确保Spring Security配置能正确处理Preflight(OPTIONS)请求。理解这两个概念以及它们在实际应用中...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
spring security中的csrf防御原理(跨域请求伪造)
08-25
处理这些请求的服务器端,Spring Security会自动检查并验证提交的CSRF Token,如果验证失败,请求会被拒绝,从而防止CSRF攻击。 总之,Spring Security通过生成和验证CSRF Token,有效地防止了跨域请求伪造攻击,...
SpringSecurity的配套示例源码
05-10
- SpringSecurity提供跨站请求伪造(CSRF)保护,防止非法的跨域请求。 6. **HttpSecurity配置** - `http.authorizeRequests()`:配置URL路径与访问权限。 - `formLogin()` 和 `httpBasic()`: 配置表单登录或...
SpingBoot+SpringSecurity跨域访问,在请求头headers中加token后,跨域访问请求失败
小小的人儿的博客
11-07 1万+
ajax跨域访问header代token headers : { &quot;token&quot; : localStorage.getItem(&quot;tft_user_token&quot;) }, 在请求头上加入token后,跨域请求被拦截!注释掉header后,跨域请求成功,但是我们的要求是要用token做验证,所以header的token不能注释,那怎么办呢? 不急,SpringSecurit...
SpringSecurity解决跨域问题的方法
sinat_34241861的博客
03-22 6347
跨域问题产生原因 现在越来越多的项目都采用前后端分离的开发模式,以实现前后端代码解耦的目的。处于安全考虑,后端服务器对收到的请求进行了限制和区分,因此出现跨域访问不到数据的情况。 什么是跨域 当协议、域名、端口号,有一个或多个不同时,前端请求后端服务器接口的情况称为跨域访问。同源策略限制下cookie、localStorage、dom、ajax、IndexDB 都是不支持跨域的。 为什么 cook...
关于SpringMVC中SpringSecurity 跨域后options请求问题配置
sevenlxn的博客
08-12 2705
<http entry-point-ref="restAuthenticationEntryPoint" create-session="stateless"> <!--下方配置需要控制的url路径 跳过options方法校验就可以--> <intercept-url pattern="/api/v1/**" access="pe...
Spring Boot Security跨域访问 cors
Fouy_风度玉门。
09-28 1万+
文章目录未使用Security 的Boot 项目使用Security 的情况使用Security开启允许iframe嵌套 使用Spring Security 在Boot 项目中,实现前后端分离的跨域访问,只需要简单的配置即可。 未使用Security 的Boot 项目 在未使用Spring Security 的Boot 项目中,只需要在 Application.java 中添加如下代码即可 @Be...
SpringBoot+Spring Security无法实现跨域解决办法
dying 搁浅
05-29 1万+
未使用Security跨域: import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Value; import org.springframework.boot.autoconfigure.AutoConfigureBefore...
Spring @CrossOrigin 通配符 解决跨域问题
weixin_30271335的博客
08-13 1443
@CrossOrigin 通配符 解决跨域问题 痛点: 对很多api接口需要 开放H5 Ajax跨域请求支持 由于环境多套域名不同,而CrossOrigin 原生只支持* 或者具体域名的跨域支持 所以想让CrossOrigin 支持下通配 *.abc.com 支持所有origin 为 abc.com域(包括各种子域名)名来的Ajax 请求支持跨域. 解决思路: 支持通配 @CrossOr...
Spring Security + JWT token 做权限认证
xqt8888的专栏
08-29 1万+
前言 我的项目是用SpringBoot 搭建的一个App-Server,用来响应移动端的访问请求,设计的方式是前后端分离的 。本来对权限的做法是在请求里面加上token 字段,然后服务器端再对token做解析,得到userid,再根据userid 查找数据库,来判断当前用户是否有权限访问这个接口。token 是用的JWT;这样做除了每个接口都要写解析token 和 权限的判断代码外,感觉也没有其...
Vue + spring boot + spring security 跨域访问
xueshenghu的专栏
07-28 1201
本文主要介绍在项目中用到前端Vue 技术,后端spring boot + spring security权限框架,在vue页面中使用Ajax请求后端数据,后台响应并返回结果。具体配置如下: Vue前端技术 ajaxPost('地址','参数',res =>{})该块依个人写法不同,名称自己编写。前端Vue页面登录请求后台时, 参数传递用户名密码格式:'username=admin1&...
spring security解决跨域请求
06-04
Spring Security 提供了解决跨域请求的方式,其中比较常用的是 CORS(跨域资源共享)机制。CORS 机制通过在服务器端设置响应头来允许跨域访问,具体步骤如下: 1. 在 Spring Security 的配置中添加 cors() 方法,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值