SpringBoot2.0+SpringSecurity+Oauth2获取AccessToken跨域CORS访问终极解决方案

最新推荐文章于 2024-07-24 17:12:13 发布
最新推荐文章于 2024-07-24 17:12:13 发布
阅读量6.7k 收藏 12
点赞数 1
分类专栏: SpringBoot 后端 文章标签: SpringBoot Oauth2.0 SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24434671/article/details/92088467
版权

今天在搭建项目的时候遇到了Oauth2获取AccessToken跨域访问的问题,之前关于这块都是自己去实现,这次打算用Oauth2来集成SpringBoot。项目依赖如下:

<dependency>
     <groupId>org.springframework.security.oauth</groupId>
     <artifactId>spring-security-oauth2</artifactId>
<version>2.2.1.RELEASE</version>
</dependency>


<dependency>
     <groupId>org.springframework.security</groupId>
     <artifactId>spring-security-oauth2-client</artifactId>
</dependency>

项目搭建好后用PostMan测试一切正常,发布到测试环境后前端的伙伴去调用的时候发现存在跨域问题,自己也写一个Ajax的案例测试了下确实存在跨域问题,首先想到的是通过配置HttpSecurity去解决:

 http
	.cors()
	.and()
	.csrf().disable();

配置如上,但是发现还是不行,最后又在网上找资料,发现说这么配置可以:

http.authorizeRequests().requestMatchers(CorsUtils::isPreFlightRequest).permitAll();

试了之后发现也不行,最后通过跟踪/access/token的源码,采用了这种方式:

package com.xz.process.config;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;


@Order(Ordered.HIGHEST_PRECEDENCE)
@Configuration
public class CORSFilter implements Filter {
 
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
 
    }
 
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        response.setHeader("Access-Control-Allow-Origin","*");
        response.setHeader("Access-Control-Allow-Credentials","true");
        response.setHeader("Access-Control-Allow-Methods","POST,GET,OPTIONS,PUT,DELETE,PATCH,HEAD");
        response.setHeader("Access-Control-Allow-Max-Age","3600");
        response.setHeader("Access-Control-Allow-Headers","*");
        if("OPTIONS".equalsIgnoreCase(request.getMethod())){
            response.setStatus(HttpServletResponse.SC_OK);
        }else{
            filterChain.doFilter(servletRequest,servletResponse);
        }
    }
 
    @Override
    public void destroy() {
 
    }
}

问题解决。

有问题的在下方评论,技术问题可以私聊我。

坐看云起时_雨宣
关注
专栏目录
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权.doc
04-01
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
Spring Security使用Oauth2时的跨域问题
LJL's博客
01-12 3084
Spring Security使用Oauth2时的跨域问题
SpringBoot2.0 - 集成JWT实现token验证
热门推荐
麦叔
07-18 2万+
一. 前言 目前web开发前后端已经算非常的普及了。前后端分离要求我们对用户会话状态要进行一个无状态处理。我们都知道通常管理用户会话是session。用户每次从服务器认证成功后,服务器会发送一个sessionid给用户,session是保存在服务端 的,服务器通过session辨别用户,然后做权限认证等。那如何才知道用户的session是哪个?这时候cookie就出场了,浏览器第一次与服务器建立连...
Spring SecurityOAuth2:构建安全Web应用的强大组合
最新发布
Innocence_0的博客
07-24 1343
通过深入学习并实践SpringSecurityOAuth2的整合技术,开发者能够有效应对复杂的业务场景,为应用程序提供严密的身份验证和授权机制。持续关注最新的安全研究和技术动态,并在实际项目中不断调整和完善安全策略,才能确保系统始终处于一个高效、稳定且安全的状态。同时,也鼓励读者将这些原则应用于微服务架构、多租户环境以及其他复杂系统的设计与实施过程中。
SpringBoot集成Oauth2.0(密码模式)
m0_71817461的博客
07-03 4341
SpringBoot集成Oauth2.0(密码模式)
oauth2中token端点跨域配置
ldcaws的专栏
10-22 1516
跨域请求时会先发送OPTIONS请求,而OPTIONS请求头并不会携带认证信息,需要放开。场景:访问oauth/token接口时,在认证授权服务中已添加了springboot2.7版本的跨域配置,且在WebSecurityConfig和ResourceServerConfig中均已开启去允许跨域,还是发生了跨域。其实,还可以采用在webSecurity中ignore请求类型为options的请求,并在AuthorizationServerConfig中的endpoints设置跨域的配置。
SpringBoot 整合 oauth2(三)实现 token 认证
weixin_34067102的博客
05-14 1254
关于session和token的使用,网上争议一直很大。 总的来说争议在这里: session是空间换时间,而token是时间换空间。session占用空间,但是可以管理过期时间,token管理部了过期时间,但是不占用空间. sessionId失效问题和token内包含。 session基于cookie...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发...
springboot+springsecurity+oauth2.zip
07-21
SpringBootSpringSecurityOAuth2是Java开发领域中三个非常重要的技术组件,它们共同构建了安全、高效的应用程序框架。让我们深入探讨这三个组件的核心概念、功能以及如何在实际项目中结合使用。 首先,...
springboot +spring security+Oauth2 用户授权接口程序源码
08-09
一、控制逻辑 1、首先查询用户是否存在,如不存在,抛出异常 2、其次,用户存在,查询用户的锁定状态,如果用户锁定,用户当前时间减去锁定时间,事件超过10分钟...3、spring security 版本 5.0.7 4、Oauth2版本 2.2.1
Springboot2模块系列:security&oauth2(Token安全认证)
天然玩家的博客
12-20 6311
1 security认证 pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ...
SpringBoot2 整合OAuth2组件,模拟第三方授权访问
【积累】,是一个长期持续的过程。
12-22 1862
验证第三方服务的身份,验证邮箱用户的身份,记录和管理认证Token,为资源服务器提供Token校验。场景第三方网站借助用户的邮箱登录,并访问邮箱账户的基础信息,头像、名称等。第三方服务通过邮箱账户登录后需要获取的一些信息,即理解为资源,存储邮箱账户的数据资源。即借助邮箱用户的账户,快速登录第三个服务,免去繁杂的注册流程,有助于快速积累新用户。第三方服务给用户开放快速邮箱登录功能,引导用户调到邮箱认证服务,通过认证后返回身份令牌到第三方服务,第三方服务携带令牌访问邮箱的资源服务,获取一些基本的邮箱用户信息。.
SpringBoot整合OAuth2
xwnxwn的专栏
10-03 2102
资源拥有者扫描二维码表示资源拥有者同意给客户端授权,微信会对资源拥有者的身份进行验证, 验证通过后,微信会询问用户是否给授权黑马程序员访问自己的微信数据,用户点击“确认登录”表示同意授权,微信认证服务器会颁发一个授权码,并重定向到黑马程序员的网站。完全是A服务与B服务内部的交互,与用户无关了。第一步:【A服务客户端】将用户自动导航到【B服务认证服务】,这一步用户需要提供一个回调地址,以备【B服务认证服务】返回token使用,还会携带一个【A服务客户端】的状态标识state。
oauth2.0,使用 axios 请求令牌时,出现跨域问题的解决办法
Hcy_code的博客
02-15 1661
oauth2.0 使用 axios请求令牌时的跨域问题
Spring Security系列教程解决Spring Security环境中的跨域问题
qfxulei的博客
10-29 1104
上一章节中,千锋一一哥给各位讲解了同源策略和跨域问题,以及跨域问题的解决方案,在本篇文章中,将会带大家进行代码实现,看看在Spring Security环境中如何解决跨域问题。 一. 启用Spring SecurityCORS支持 1. 创建web接口 我先在SpringBoot环境中,创建一个端口号为8080的web项目,注意这个web项目没有引入Spring Security的依赖包。然后在其中创建一个IndexController,定...
axios解决oauth2跨域问题
qq_40650378的博客
12-29 4020
最近因为这个问题耗费了几天时间,觉得可能大家以后工作中有可能碰到,所以记录下来 前端是VUE框架的axios请求模式,后端采用springboot做的一个授权和认证服务 postman一切正常,然后开始联调发生悲剧! 前端说后端有问题,跨域没解决,开始动手,先解决认证服务器跨域问题 一般先在WebSecurityConfigurerAdapter实现里添加允许跨域 @Override ...
Spring security oauth2 client 自动配置中获取 AccessToken
Lee_01的博客
11-15 5513
问题 使用 Spring security oauth2 client 实现授权码模式,可以不用手动拼接url请求code和token等信息,用户登录成功之后可以在SuccessHandler中获取当前用户的信息。如果还想获取用户信息以外的授权资源,必须要有AccessToken,要怎么获取呢?先看下如何获取用户信息 依赖 <dependency> <groupId&gt...
SpringSecurity OAuth2 获取Token端点TokenEndpoint、Token授权TokenGranter接口 详解
向心行者
01-09 1万+
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权的流程,同时知道,当授权端点AuthorizationEndpoint生成授权码时,就会重定向到客户端的请求地址,这个时候,客户端就会拿着授权码再来授权服务器换取对应的Token,这篇内容,我们就详细分析如何使用授权码code换取Token的。在前面文章中,我们可以了解到客户端是通过“/oauth/token”来换取token的,该接口对应TokenEndpoint类的postAccessToken()方法,我们这篇文章就围绕
获取token的一些方法
qq_35862393的博客
11-05 1万+
1.通过cookie private String getUserCookieToken(HttpServletRequest request) { Cookie[] cookies = request.getCookies(); if (cookies == null || cookies.length == 0) { return ...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值