[SpringSecurity5.6.2源码分析十一]:CorsFilter

于 2023-09-18 18:04:03 发布
阅读量157 收藏
点赞数
分类专栏: SpringSecurity5.6.2源码分析 文章标签: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41662584/article/details/132990191
版权

前言

  • 跨域:两个域名的(协议、域名/ip、端口)有任意一个不同即视为跨域
  • 跨域资源共享(Cors):即浏览器允许访问其他跨域的资源
  • 而CorsFilter就是SpringSecurity用来处理Cors的过滤器

1. CorsConfigurer

  • CorsConfigurer是CorsFilter对应的配置类,其中就只有一个重要方法
    • configure(…)

1.1 configure(…)

  • configure(…)源码很简单,主要是调用了getCorsFilter(…)方法
@Override
public void configure(H http) {
   ApplicationContext context = http.getSharedObject(ApplicationContext.class);
   // 创建CorsFilter
   CorsFilter corsFilter = getCorsFilter(context);
   Assert.state(corsFilter != null, () -> "Please configure either a " + CORS_FILTER_BEAN_NAME + " bean or a "
         + CORS_CONFIGURATION_SOURCE_BEAN_NAME + "bean.");
   http.addFilter(corsFilter);
}
  • getCorsFilter(…):
    • 容器中若是有CorsFilter直接返回
    • 容器中若是有CorsConfigurationSource,那就为其包装为CorsFilter返回
private CorsFilter getCorsFilter(ApplicationContext context) {
   if (this.configurationSource != null) {
      return new CorsFilter(this.configurationSource);
   }
   //从容器中获得CorsFilter过滤器
   boolean containsCorsFilter = context.containsBeanDefinition(CORS_FILTER_BEAN_NAME);
   if (containsCorsFilter) {
      return context.getBean(CORS_FILTER_BEAN_NAME, CorsFilter.class);
   }
   //获取Cors匹配容器
   boolean containsCorsSource = context.containsBean(CORS_CONFIGURATION_SOURCE_BEAN_NAME);
   if (containsCorsSource) {
      CorsConfigurationSource configurationSource = context.getBean(CORS_CONFIGURATION_SOURCE_BEAN_NAME,
            CorsConfigurationSource.class);
      return new CorsFilter(configurationSource);
   }
   boolean mvcPresent = ClassUtils.isPresent(HANDLER_MAPPING_INTROSPECTOR, context.getClassLoader());
   if (mvcPresent) {
      return MvcCorsFilter.getMvcCorsFilter(context);
   }
   return null;
}

1.2 CorsConfiguration

  • CorsConfigurationSource是根据请求获取CorsConfiguration,也就Cors规则
  • 简单的看下里面的规则
    /**
     * Cors配置默认的允许的请求方式
     */
    private static final List<String> DEFAULT_PERMIT_METHODS = Collections.unmodifiableList(
          Arrays.asList(HttpMethod.GET.name(), HttpMethod.HEAD.name(), HttpMethod.POST.name()));

    /**
     * 默认允许全部
     */
    private static final List<String> DEFAULT_PERMIT_ALL = Collections.singletonList(ALL);

    /**
     * 允许的来源
     */
    @Nullable
    private List<String> allowedOrigins;

    /**
     * 允许的请求方式
     */
    @Nullable
    private List<String> allowedMethods;

    /**
     * 允许的请求方式
     */
    @Nullable
    private List<HttpMethod> resolvedMethods = DEFAULT_METHODS;

    /**
     * 跨域请求允许携带的请求头
     */
    @Nullable
    private List<String> allowedHeaders;

    /**
     * 不懂
     */
    @Nullable
    private List<String> exposedHeaders;

    /**
     * 应该是客户端是否允许发送Cookie
     */
    @Nullable
    private Boolean allowCredentials;

    /**
     * 预检查请求的有效期
     */
    @Nullable
    private Long maxAge;

2. CorsFilter

  • 作为SpringSecurity处理Cors的过滤器,其源码很少
  • 就是从CorsConfigurationSource中获取CorsConfiguration,然后把CorsProcessor丢进CorsProcessor判断是否跨域请求以及对跨域请求的处理
public class CorsFilter extends OncePerRequestFilter {
   private final CorsConfigurationSource configSource;

   private CorsProcessor processor = new DefaultCorsProcessor();
   ...
   @Override
   protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
         FilterChain filterChain) throws ServletException, IOException {

      CorsConfiguration corsConfiguration = this.configSource.getCorsConfiguration(request);
      boolean isValid = this.processor.processRequest(corsConfiguration, request, response);
      if (!isValid || CorsUtils.isPreFlightRequest(request)) {
         return;
      }
      filterChain.doFilter(request, response);
   }
   ...
}

2.1 DefaultCorsProcessor

  • CorsProcessor是Spring-Web包下的,其实现也只有一个DefaultCorsProcessor
  • 我们看下其入口方法,主要就是非跨域请求直接放行,不是的话就调用handleInternal(…)方法
    @Override
    @SuppressWarnings("resource")
    public boolean processRequest(@Nullable CorsConfiguration config, HttpServletRequest request,
          HttpServletResponse response) throws IOException {

       //添加一些响应头
       Collection<String> varyHeaders = response.getHeaders(HttpHeaders.VARY);
       if (!varyHeaders.contains(HttpHeaders.ORIGIN)) {
          response.addHeader(HttpHeaders.VARY, HttpHeaders.ORIGIN);
       }
       if (!varyHeaders.contains(HttpHeaders.ACCESS_CONTROL_REQUEST_METHOD)) {
          response.addHeader(HttpHeaders.VARY, HttpHeaders.ACCESS_CONTROL_REQUEST_METHOD);
       }
       if (!varyHeaders.contains(HttpHeaders.ACCESS_CONTROL_REQUEST_HEADERS)) {
          response.addHeader(HttpHeaders.VARY, HttpHeaders.ACCESS_CONTROL_REQUEST_HEADERS);
       }

       // 不是跨域请求直接放行
       if (!CorsUtils.isCorsRequest(request)) {
          return true;
       }

       if (response.getHeader(HttpHeaders.ACCESS_CONTROL_ALLOW_ORIGIN) != null) {
          logger.trace("Skip: response already contains "Access-Control-Allow-Origin"");
          return true;
       }

       // 是否是跨域请求
       boolean preFlightRequest = CorsUtils.isPreFlightRequest(request);
       // 如果是预检查请求,但是又没有Cors数据源,就直接返回false
       if (config == null) {
          if (preFlightRequest) {
             rejectRequest(new ServletServerHttpResponse(response));
             return false;
          }
          else {
             return true;
          }
       }

       //  如果是预检查请求检查是否支持,其他类型的直接返回True
       return handleInternal(new ServletServerHttpRequest(request), new ServletServerHttpResponse(response), config, preFlightRequest);
    }
  • 我们再看下handleInternal(…)方法:如果是预检查(跨域)请求检查是否支持,其他类型的直接返回True
    • 本质上就是在满足跨域规则的情况下,添加对应的响应头
    protected boolean handleInternal(ServerHttpRequest request, ServerHttpResponse response,
          CorsConfiguration config, boolean preFlightRequest) throws IOException {

       String requestOrigin = request.getHeaders().getOrigin();

       // 检查来源
       // 获得请求来源
       String allowOrigin = checkOrigin(config, requestOrigin);
       if (allowOrigin == null) {
          logger.debug("Reject: '" + requestOrigin + "' origin is not allowed");
          rejectRequest(response);
          return false;
       }

       HttpHeaders responseHeaders = response.getHeaders();

       // 检查请求方式
       // 拿到此次预检查请求代表的真正请求的请求方式
       HttpMethod requestMethod = getMethodToUse(request, preFlightRequest);
       List<HttpMethod> allowMethods = checkMethods(config, requestMethod);
       // 检查请求方式是否允许,为空就代表不支持
       if (allowMethods == null) {
          logger.debug("Reject: HTTP '" + requestMethod + "' is not allowed");
          rejectRequest(response);
          return false;
       }

       // 检查请求头
       // 拿到预检查请求对应的的真正请求会携带的请求头
       List<String> requestHeaders = getHeadersToUse(request, preFlightRequest);
       // 检查请求头是否允许,为空就代表不支持
       List<String> allowHeaders = checkHeaders(config, requestHeaders);
       if (preFlightRequest && allowHeaders == null) {
          logger.debug("Reject: headers '" + requestHeaders + "' are not allowed");
          rejectRequest(response);
          return false;
       }

       // 告诉客户端允许来自这的请求
       responseHeaders.setAccessControlAllowOrigin(allowOrigin);

       // 是预检查请求, 告诉客户端允许这种请求方式
       if (preFlightRequest) {
          responseHeaders.setAccessControlAllowMethods(allowMethods);
       }

       if (preFlightRequest && !allowHeaders.isEmpty()) {
          responseHeaders.setAccessControlAllowHeaders(allowHeaders);
       }

       if (!CollectionUtils.isEmpty(config.getExposedHeaders())) {
          responseHeaders.setAccessControlExposeHeaders(config.getExposedHeaders());
       }

       // 估计是允许Cookie
       if (Boolean.TRUE.equals(config.getAllowCredentials())) {
          responseHeaders.setAccessControlAllowCredentials(true);
       }

       // 是预检查请求, 设置预检查请求有效期
       if (preFlightRequest && config.getMaxAge() != null) {
          responseHeaders.setAccessControlMaxAge(config.getMaxAge());
       }

       response.flush();
       return true;
    }
qq_41662584
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cors-filter:针对 Java 8 编写的 Java servlet CORS 过滤器
06-06
CORS 过滤器 提供 Java Servlet 过滤器来管理 CORS 请求。 该过滤器可以通过 JavaConfig 或 web.xml 进行配置。 需要 Java 8。 但为什么? 是的,已经有几个这样的过滤器了。 它们都不支持 JavaConfig。 与 Tomcat 捆绑的那个给了我一个项目的问题。 所以我写了这个简单的实现。 安装 该库可用作 Maven 工件。 只需添加依赖项: < repositories> < repository> < id>jitpack.io</ id> < url>https://jitpack.io</ url> </ repository> </ repositories> < depdendencies> < dependency> < groupId>com.github.js
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
spring 跨域CORS Filter
热门推荐
赵英超的博客
01-18 1万+
方案一 spring中可以采用的跨域配置方式如下: RequestMapping 在一般性的配置中,在controller前添加@CrossOrigin即可使用spring的默认配置,允许跨域 该注解也可以配置一些设定,适合针对个别的controller @CrossOrigin 方案二 webconfig的方式配置全局跨域 @Configuration public class Jx...
SpringBoot CORS 后台服务加一个过滤器 CorsFilter 解决跨域资访问问题 方便本地环境前后端联调
wuyujin1997的博客
09-26 1800
最简单,也最管用的方式就是:让后端开发去修改服务端代码的逻辑(跨域请求访问规则),重启应用。哪怕只是本地联调临时的呢。而如果后端使用的是 SpringBoot 框架,如何快速修改多个web接口的响应头规则呢?就是限定一下请求方法的范围:哪些请求方法过来,我后端对你提供服务/让你访问?不考虑服务端使用的语言/框架等,要做的事其实是修改以下几个 HTTP响应头 的值。就是看origin头的值是否在允许的origin范围内。在本地做前后端联调的时候,几乎避不开的问题:跨域资访问 CORS。
Spring Boot 配置CROS Filter
zhouzhiwengang的专栏
11-01 5190
一、什么是CORS? CORS是一个W3C标准,全称是”跨域资共享”(Cross-origin resource sharing),允许浏览器向跨服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同使用的限制。 它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端跨域的限制,如果浏览器支持CORS、并且判断Origin通过的话,就会允许XMLHttpRequest发起跨域请求。 CORS Header Acce..
SpringBoot Cors配置+原理分析corsfilter
z69183787的专栏
06-24 3769
(951条消息) 跨域的那些事 - CorsWebFilter 跨域分析(二)_Lewis·fk的博客-CSDN博客_corswebfilterhttps://blog.csdn.net/fk1778770286/article/details/115734587一文弄懂 CORS 跨域(前端+后端代码实例讲解) - 掘金 (juejin.cn)https://juejin.cn/post/6844904055148380173(951条消息) SpringBoot跨域设置(CORS)_骑个小蜗牛的博客
Spring Security 新手入门级maven实例
07-02
**Spring Security新手入门级Maven实例详解** Spring Security是一个强大且高度可定制的身份验证和访问控制框架,用于Java和Java EE应用。它为应用程序提供了全面的安全解决方案,包括用户认证、授权以及安全配置。...
Concrete5 CMS网站码 v5.6.2
04-02
Concrete5中文简体语言包,解压后请放在languages文件夹下,支持5.6.1.2和5.6.2版本 把鼠标放在顶部的 Dashboard(控制台)上面,不要点进去,会显示一个窗口,下面有这三个选项: News – Learn about your site and...
实验 5.6.2:RIP 配置练习
06-04
RIP 配置练习实验报告 本实验报告旨在指导学习者完成 RIP 配置练习,涵盖子网划分、RIP 配置、静态路由配置等基本知识点。 一、实验要求 * 根据指定的要求对地址空间划分子网 * 为接口分配适当的地址并在地址表中...
qt-everywhere-(qqqq)opensource-src-5.6.2.zip
07-05
编译QT 5.6.2码在Linux环境下通常涉及以下步骤: 1. **安装依赖**:确保系统安装了必要的编译工具和库,如GCC、G++, Make, OpenSSL, zlib等。 2. **配置QT**:使用`configure`脚本进行编译前的配置,可以指定...
cors-filter-1.7.jar spring解决跨域问题 java
04-20
spring解决跨域问题(两种方式,配有文档) cors-filter-1.7.jar java-property-utils-1.9.1.jar
cors-filter-1.0.1.zip
10-15
cors-filter.zip,这是服务器端cors的java servlet过滤器实现,用于web容器,如apache tomcatcors(跨共享)是w3c支持的一种机制,用于在web浏览器中启用跨请求。cors需要浏览器和服务器的支持才能工作。这是服务器端cors的java servlet过滤器实现,用于apache tomcat等web容器。
tomcat服务器跨域需要的CorsFilter jar文件
11-01
tomcat服务器部署后,访问遇到跨域问题,资包含需要的cors-filter-1.7.jarr和java-property-utils-1.9。测试无误,需要注意的是资的命名空间为com.thetransactioncompany.cors
cors-filter:一个非常简单但有用的 CORS servlet 过滤器
06-19
cors过滤器 这个非常简单的项目受到spring source关于cors的帖子的强烈启发,原帖在 。 原帖和这个贡献的主要区别基本上是这个版本的 cors-filter 可以通过 servlet 过滤器的标准 inti-param 进行编程
复杂跨域之CorsFilter分析
weixin_30338497的博客
07-31 385
    1.上篇文章讲到,当处理复杂请求时,需要在pom文件引入如下依赖,需在web.xml配置一个过滤器org.apache.catalina.filters.CorsFilter,那么这个过滤器为我们做了哪些工作呢?,下面对码进行分析解读. <!--支持跨域--> <dependency> <groupId>org.apache....
SpringBoot在使用SpringSecurity时,配置跨域过滤器CorsFilter不生效分析解决
qq_43073162的博客
02-10 5878
且this类型为FilterRegistrationBean,进入FilterRegistrationBean的getFilter()方法,返回为this.filter,查找filter的赋值操作setFilter()查看CorsFilter类可以知道跨域逻辑主要在以下doFilterInternal()方法执行,在此方法添加断点,debug执行,发送请求时未执行此方法,由此判断CorsFilter未执行过滤逻辑。
springboot CORS 跨域请求解决三大方案,springboot CorsFilter解决跨域问题
蕃薯耀的博客
11-24 1438
springboot CORS 跨域请求解决三大方案,springboot CorsFilter解决跨域问题 springboot CORS解决No 'Access-Control-Allow-Origin' header is present on the requested resource ================================ ©Copyright 蕃薯耀 2...
前后端分离解决跨域配置corsFilter
你好
04-23 452
import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfigurationSource; import org.springfr
Springboot处理CORS跨域请求的五种方法并且设置过滤器的执行顺序
陌意随影的博客
06-15 3947
Springboot处理CORS跨域请求的三种方法 一.前言 Springboot跨域问题,是当前主流web开发人员都绕不开的难题。但我们首先要明确以下几点 跨域只存在于浏览器端,不存在于安卓/ios/Node.js/python/ java等其它环境 跨域请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。 之所以会跨域,是因为受到了同策略的限制,同策略要求相同才能正常进行通信,即协议、域名、端口号都完全一致。 浏览器出于安全的考虑,使用 XMLHttpRequest对象发起
ERROR: Could not find a version that satisfies the requirement psutils==5.6.2 (from versions: none)
最新发布
08-02
引用[1]:ERROR: Could not find a version that satisfies the requirement torch==1.6.0 cu101 (from versions: none)。 引用[2]:出现了报错 ERROR: Could not find a version that satisfies the requirement torch==1.6.0 cu101 (from versions: none) ERROR: No matching distribution found for torch==1.6.0 cu101。 引用[3]:我在安装pymysql的时候报错 ERROR: Could not find a version that satisfies the requirement pymysql==1.0.2 (from versions: none) ERROR: No matching distribution found for pymysql==1.0.2 解决办法是用镜像,这里我使用豆瓣镜像解决其他镜像都可以 pip install 库包名 -i http://pypi.douban.com/simple/ --trusted-host pypi.douban.com。 问题:ERROR: Could not find a version that satisfies the requirement psutils==5.6.2 (from versions: none) 回答: 当出现"ERROR: Could not find a version that satisfies the requirement"的错误时,这意味着你所要安装的库包的指定版本在当前的镜像中没有找到。解决这个问题的方法是使用其他镜像进行安装。你可以尝试使用豆瓣镜像来解决这个问题,命令为:pip install 库包名 -i http://pypi.douban.com/simple/ --trusted-host pypi.douban.com。在这个命令中,将"库包名"替换为你要安装的库包的名称,这样就可以使用豆瓣镜像来安装库包了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值