前后端分离下spring security 跨域问题

最新推荐文章于 2022-12-06 10:08:57 发布
最新推荐文章于 2022-12-06 10:08:57 发布
阅读量376 收藏 2
点赞数
分类专栏: springBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40058629/article/details/118694761
版权

当我用nginx正向代理前台到后端服务时,浏览器报了CROS的错误,我就纳闷了,我后台配置了跨域啊

package com.hongseng.app.config.webmvc;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;

/**
 * 类功能描述: CorsConfig
 *
 * @author Eternal
 * @date 2019-11-26 15:11
 */
@Configuration
public class WebMvcConfig extends WebMvcConfigurationSupport {

    @Value("${spring.servlet.multipart.location}")
    private String uploadFileUrl;

    /**
     * 跨域配置
     *
     * @param registry
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("POST", "GET", "PUT", "DELETE", "OPTIONS")
                .maxAge(3600)
                // 是否允许发送Cookie
                .allowCredentials(true)
                .allowedHeaders("*");
    }

    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        // 静态文件
        registry.addResourceHandler("**").addResourceLocations("classpath:/static/");
        // swagger
        registry.addResourceHandler("swagger-ui.html").addResourceLocations("classpath:/META-INF/resources/");

        registry.addResourceHandler("/webjars/**").addResourceLocations("classpath:/META-INF/resources/webjars/");
        // 上传文件
        registry.addResourceHandler("/file/**").addResourceLocations("file:/" + uploadFileUrl);
    }
}

难道是这个文件没起到作用?不可能啊,其他项目也是这个框架都有用啊,单独这个项目用到了springSecurity,那肯定是它的问题了

博友告知:SpringSecurity也要配置跨域

package com.hongseng.app.config.security;

import annotation.AnonymousAccess;
import com.hongseng.app.config.jwtfilter.JWTAuthorizationFilter;
import org.springframework.context.ApplicationContext;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.web.cors.CorsUtils;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.mvc.method.RequestMappingInfo;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;

import java.util.HashSet;
import java.util.Map;
import java.util.Set;

/**
 * @program: spring-security
 * @description:
 * @author: fbl
 * @create: 2020-12-01 14:40
 **/
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    private final ApplicationContext applicationContext;
    SecurityConfig(ApplicationContext applicationContext){
        this.applicationContext = applicationContext;
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 搜寻匿名标记 url: @AnonymousAccess
        Map<RequestMappingInfo, HandlerMethod> handlerMethodMap = applicationContext.getBean(RequestMappingHandlerMapping.class).getHandlerMethods();
        Set<String> anonymousUrls = new HashSet<>();
        for (Map.Entry<RequestMappingInfo, HandlerMethod> infoEntry : handlerMethodMap.entrySet()) {
            HandlerMethod handlerMethod = infoEntry.getValue();
            AnonymousAccess anonymousAccess = handlerMethod.getMethodAnnotation(AnonymousAccess.class);
            if (null != anonymousAccess) {
                anonymousUrls.addAll(infoEntry.getKey().getPatternsCondition().getPatterns());
            }
        }

        // 开启跨域
        http.cors().and()
                // 禁用 CSRF
                .csrf().disable().authorizeRequests().and()

                // 防止iframe 造成跨域
                .headers()
                .frameOptions()
                .disable()

                // 不创建会话
                .and()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and();

        http
                .authorizeRequests() // 授权配置
                // 自定义匿名访问所有url放行 : 允许匿名和带权限以及登录用户访问
                .antMatchers(anonymousUrls.toArray(new String[0])).permitAll()
                // 阿里巴巴 druid
                .antMatchers("/druid/**").permitAll()
                .antMatchers("/default/**").permitAll()
                .antMatchers("/").permitAll()
                // swagger 文档
                .antMatchers("/swagger-ui.html").permitAll()
                .antMatchers("/swagger-resources/**").permitAll()
                .antMatchers("swagger/**").permitAll()
                .antMatchers("/webjars/**").permitAll()
                .antMatchers("/swagger-ui.html/*").permitAll()
                .antMatchers("/swagger-resources").permitAll()
                .antMatchers("/*/api-docs").permitAll()
                .antMatchers("/v2/api-docs-ext").permitAll()
                // 静态资源等等
                .antMatchers(
                        HttpMethod.GET,
                        "/*.html",
                        "/**/*.html",
                        "/**/*.css",
                        "/**/*.js",
                        "/**/*.svg",
                        "/**/*.ico",
                        "/**/*.png",
                        "/**/*.jpg",
                        "/**/*.xlsx",
                        "/webSocket/**"
                ).permitAll()
                // anyRequest 只能配置一个,多个会报错
                .anyRequest().authenticated()
                //其他接口需要登录后才能访问
                .and()
                .addFilter(new JWTAuthorizationFilter(authenticationManager()));

    }


    /**
     * 自定义用户名和密码有2种方式,一种是在代码中写死 另一种是使用数据库
     */

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }


}

主要是这个:

   // 开启跨域
        http.cors().and()
愿你活成你喜欢的模样
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
SpringSecurity(前后端分离版)[6]-跨域
listeningdu的博客
12-18 608
浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是跨域的HTTP请求,默认情况下是被禁止的。由于我们的资源都会收到SpringSecurity的保护,所以想要跨域访问还要让SpringSecurity运行跨域访问。// 除上面外的所有请求全部需要鉴权认证。// 设置允许的header属性。// 对于登录接口 允许匿名访问。// 设置允许跨域请求的域名。// 是否允许cookie。// 设置允许的请求方式。// 设置允许跨域的路径。
Spring Boot + Spring Security前后分离跨域问题
yfjr
03-30 441
https://jitwxs.blog.csdn.net/article/details/80253922https://jitwxs.blog.csdn.net/article/details/80253922
前后端分离spring security 跨域问题
pengjunlee的博客
07-02 2194
最近在做一个项目,前后端分离,不可避免的遇到了跨域问题。起初是配置跨域: @Configuration public class CorsConfig extends WebMvcConfigurerAdapter { private CorsConfiguration buildConfig() { CorsConfiguration corsConfiguration = new CorsConfiguration(); corsConfiguration.a...
前后端分离SpringSecurity跨域问题解决方案(亲测可用)
Code_Guan的博客
12-06 1777
SpringBoot使用SpringSecurity跨域问题,解决方案,亲测可用
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
关于Session失效的问题,前后端分离后,由于Vue与Spring Boot不在同一个域下,浏览器不会在跨域请求中发送Session Cookie。为了解决这个问题,一种常见的方式是采用Token认证机制,如JWT(JSON Web Tokens)。但是,...
12 spring boot Security Jwt 前后端分离跨域登录
06-02
标题 "12 spring boot Security Jwt 前后端分离跨域登录" 提示我们这个项目是关于使用Spring Boot Security和JWT(JSON Web Tokens)技术来实现一个前后端分离的跨域登录系统。在这个系统中,Spring Boot作为后端...
JAVA著名免费框架若依前后端分离项目详细部署文档
08-21
综上,部署若依框架的前后端分离项目需要对Linux、Nginx、Tomcat、Redis、Vue.js和Spring Boot有一定的了解,同时还需要掌握跨域问题的解决方案。遵循上述步骤,开发者能够成功部署并运行若依项目,实现高效、稳定的...
Spring Security使用中Preflight请求和跨域问题详解
08-28
在开发基于Spring Security的Web应用时,经常遇到与跨域资源共享(CORS)相关的挑战,尤其是在前后端分离的架构中。本文将深入探讨Spring Security在处理Preflight请求和跨域问题上的具体细节。 首先,Spring ...
前后端分离项目(Springboot+Vue),引入SpringSecurity后出现跨域问题
simg_dragon的博客
08-24 783
跨域问题 相信大家在做前后端分离项目时,跨域问题是不可避免的,在我们后端采用SpringBoot后可以在SpringMvc的配置类中增加以下配置即可避免跨域问题: @Configuration public class Config implements WebMvcConfigurer { public CorsConfiguration buildConfig(){ CorsConfiguration config = new CorsConfiguration();
springsecurity前后端跨域和分离登陆问题
klz
05-09 2867
目录引入将springsecurity登陆转化为application/json自定义的登陆过滤器 引入 在后端获取用户名、密码不为null System.out.println(request.getParameter("username")); System.out.println(request.getParameter("password")); 当我把它写入前端 后端获取用户名、密码为null,不知道怎么搞的前端就是请求不成功了,postman测试的时
Vue axion Spring Security 前后端分离跨域问题
qq_35930739的博客
03-13 308
前言:自己按照网上的教程鼓捣了两天才鼓捣明白 故写此文章记录 此教程跟网上的大多数前后端分离跨域文章不一样 请看到最后 一、前端部分 1、首先安装axios npm install --save axios 2、在main.js中导入axios import axios from 'axios'; Vue.prototype.axios = axios ...
Spring Security登录成功后重定向到登陆前页面 解决方案
超哥的博客
02-20 6642
问题:今天拿security做权限控制的时候,出现了特别灵异的一幕,security配置类写好了,正常登录的情况下,第一次登陆,登陆成功后总会莫名其妙重定向到项目的根路径,但是确实已经登陆成功了,访问主页可以进行访问了。 问题如图所示,打码部分为项目根路径。 配置类配置登陆成功后转向的是一个action,如图所示 具体解决过程十分坎坷,省略了 重点感谢一个大佬给我提了一句,我这个有可能不是重定向到首页,而是重定向到登录前的页面了。 经检查后发现产生这个问题的原因是我项目启动默认访问路径就是 http:
spring security 认证通过后跳转原始路径
weixin_43931625的博客
06-03 2203
springsecurity认证通过后跳转原始路径 默认情况下,通过认证后会自动跳转到原始访问路径,也可通过设置跳转到原始访问路径 *********************** 示例 ...
Springboot 整合swagger、springsecurity、jjwt、实现前后端分离架构的权限认证搭建。
weixin_43277309的博客
04-08 1122
Springboot 整合swagger、springsecurity、jjwt、实现前后端分离架构的权限认证搭建。 一、写本文的目的性() 1.1、网上有很多关于springsecurity、整合jjwt的相关例子,我前段时间因为个人原因,需要整合,但是看了网上的例子,要不太过于复杂,要么前后端耦合度太高,要么没有什么ruan用(但是我还是找到了某位猿猿的分享,得到了启发) 二、需要做的准备 2.1、没学过springboot、springsecurity的去学一下 这里有一份springsecurit
springboot基于拦截器实现登录权限拦截
IT小跟班
03-26 4232
一、需求 系统中,除登录接口/login以外,其他所有接口,必须用户登录后才能访问。 二、实现 创建一个拦截器,拦截除/login以外的所有请求,校验用户是否已登录,如果已登录,则放行,否则拦截请求,给出未登录信息提示。 创建LoginInterceptor类,实现HandlerInterceptor接口,重写preHandle方法 package com.yclouds.servic...
前后分离之后SpringBoot+SpringSecurity放行Swagger访问后,security跨域配置失效的问题
Linch的博客
04-22 1万+
问题背景: 项目用的swagger生成的接口文档,同时也有security权限验证,为了方便后端自己测试,所以接口测试直接访问swagger; 但是security如果没有放行swagger的话,本地是访问不到swagger的,同时前端要访问后端接口,也有跨域问题; Security没有放行swagger访问的时候,用swagger请求接口会报错: 我这样配置SecurityC...
Spring Boot+Spring Security前后端分离跨域问题- 第37篇
热门推荐
悟纤学院
05-22 2万+
由于我们端口不一样,就会引起跨域问题,那么怎么解决呢。只要修改下后端就可以了 一、跨域解决 方案一: 使用@CrossOrigin注解 在Controller上使用@CrossOrigin注解 @CrossOrigin("http://127.0.0.1:8848") public String login() { return "/login"; } 方案二: CORS全局配置-实现WebMvcConfigurer package com.kfit.config; .
Spring Security 前后端分离跨域问题
最新发布
12-01
Spring Security 前后端分离跨域问题可以通过以下步骤解决: 1.在 Spring Security 的配置类中添加如下配置: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.cors().and().csrf().disable(); } @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOrigins(Arrays.asList("*")); configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE")); configuration.setAllowedHeaders(Arrays.asList("authorization", "content-type", "x-auth-token")); configuration.setExposedHeaders(Arrays.asList("x-auth-token")); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } } ``` 2.在前端代码中设置请求头: ```javascript axios.defaults.headers.common['Authorization'] = AUTH_TOKEN; axios.defaults.headers.post['Content-Type'] = 'application/x-www-form-urlencoded'; ``` 其中,AUTH_TOKEN 是你的认证 token。 3.在 Controller 中添加 @CrossOrigin 注解: ```java @RestController @RequestMapping("/api") @CrossOrigin(origins = "*", maxAge = 3600) public class ApiController { // ... } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值