集成springSecurity遇到的跨域问题

最新推荐文章于 2024-08-14 08:15:00 发布
最新推荐文章于 2024-08-14 08:15:00 发布
阅读量3.5k 收藏 7
点赞数 1
文章标签: java-rabbitmq rabbitmq 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49137582/article/details/128245381
版权

引言

该项目主要使用技术:sprinboot、springSecurity、vue,其它的技术就不介绍了

其中springSecurity是我参考网上的案例去进行的集成,虽然集成成功了,但是还不是太懂。

下面就开始介绍一下我遇到的问题

问题重现

由于我项目后端集成了springSecurity,所以项目的登录验证和鉴权就是使用的springSecury来进行的,前端的话使用的element-ui-admin作为模板进行二开。

起初前端在进行登录的时候是可以正常访问后端不会出现跨域的问题,直到到了后面请求我的一个delete接口,这个时候就出现了跨域的问题,通过f12可以看见报403错误以及options错误

尝试修改Configuration(×)

然后我就去调我后端之前配置的跨域配置,如下是我原来的配置:

/**
 * <p>
 * 解决跨域问题
 * </p>
 *
 * @author:雷子杰
 * @date:2022/10/29
 */
@Configuration
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOriginPatterns("*")
                .allowedMethods("*")//允许任何方法
                .allowCredentials(true)
        		.maxAge(3600);
    }
}

其实我这个配置是没问题的,所以改来改去还是没啥作用。

尝试增加@CrossOrigin(×)

然后我就想到在Controller层增加@CrossOrigin,但是加了后还是没啥用

尝试更改前端跨域(×)

前端跨域就是webpack来进行请求代理,在vue.config.js中去添加以下即可,但是我添加了后,似乎是没了跨域的问题,但出现了新的问题,前端传过去的request中的数据是null(无法获取登录时用户传过去的数据,但前端确实是传过去了的)

devServer: {
  port: port,
  open: true,
  overlay: {
    warnings: false,
    errors: true
  },
  before: require('./mock/mock-server.js'),
  proxy: {
    '/api': {
      // 代理名称   凡是使用/api开头的地址都是用此代理
      target: 'http://192.168.1.6:8888', // 需要代理访问的api地址
      changeOrigin: true, // 允许跨域请求
      secure: false, // 忽略 HTTPS 安全提示
      pathRewrite: {
        // 重写路径,替换请求地址中的指定路径
        '^/api': '' // 将请求地址中的/api替换为空,也就是请求地址中不会包含/api/
      }
    }
  },
  disableHostCheck: true
}

问题原因

产生问题的原因在标题就已经说明了,就是跨域的问题,但是产生的原因的话,不太清楚,我后面看了下我之前下载的编程不良人springSecurity的笔记,发现他在笔记中写道如下:

后端跨域问题的解决的三种解决方案

  • @CrossOrigin

    Spring 中第一种处理跨域的方式是通过@CrossOrigin 注解来标记支持跨域,该注解可以添加在方法上,也可以添加在 Controller 上。当添加在 Controller 上时,表示 Controller 中的所有接口都支持跨域

    @RestController
public Class HelloController{
	@CrossOrigin (origins ="http://localhost:8081")
	@PostMapping ("/post")
	public String post (){
		return "hello post";
	}
}

  • addCrosMapping

    @CrossOrigin 注解需要添加在不同的 Controller 上。所以还有一种全局配置方法,就是通过重写 WebMvcConfigurerComposite#addCorsMappings方法来实现,具体配置如下:

    @Configuration
public class WebMvcConfig implements WebMvcConfigurer{
  Override
  public void addCorsMappings (CorsRegistry registry){
    registry.addMapping("/**") //处理的请求地址
    .allowedMethods ("*")allowedorigins("*")
    .allowedHeaders ("*")
    .allowCredentials (false)
    •exposedHeaders ("")
    .maxAge (3600) ;
  }
}

  • CrosFilter

    Cosr Filter 是Spring Web 中提供的一个处理跨域的过滤器,开发者也可以通过该过该过滤器处理跨域。

    @Configuration
public class WebMvcConfig {
    @Bean
    FilterRegistrationBean<CorsFilter> corsFilter() {
        FilterRegistrationBean<CorsFilter> registrationBean = new FilterRegistrationBean<>();
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowedHeaders(Arrays.asList("*"));
        corsConfiguration.setAllowedMethods(Arrays.asList("*"));
        corsConfiguration.setAllowedOrigins(Arrays.asList("*"));
        corsConfiguration.setMaxAge(3600L);
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfiguration);
        registrationBean.setFilter(new CorsFilter(source));
        registrationBean.setOrder(-1);//filter 0 1
        return registrationBean;
    }
}

SprngSecurity跨域原理分析

当我们为项目添加了 Spring Security 依赖之后,发现上面三种跨域方式有的失效了,有
则可以继续使用,这是怎么回事?

通过@CrossOrigin 注解或者重写 addCorsMappings 方法配置跨域,统统失效了,通
CorsFilter 配置的跨域,有没有失效则要看过滤器的优先级,如果过滤器优先级高于 Sp
Security 过滤器,即先于 Spring Security 过滤器执行,则 CorsFiter 所配置的跨域处理依然有效;如果过滤器优先级低于 Spring Security 过滤器,则 CorsFilter 所配置的跨域处理就会失效。

为了理清楚这个问题,我们先简略了解一下 Filter、DispatchserServlet 以及Interceptor 执行顺序。

image-20220521074711128

理清楚了执行顺序,我们再来看跨域请求过程。由于非简单请求都要首先发送一个预检请求
request),而预检请求并不会携带认证信息,所以预检请求就有被 Spring Security 拦截的可能。因此通过@CrossOrigin 注解或者重写 addCorsMappings 方法配置跨域就会失效。如果使用 CorsFilter 配置的跨域,只要过滤器优先级高于 SpringSecurity 过滤器就不会有问题。反之同样会出现问题。

解决方案

Spring Security 中也提供了更专业的方式来解决预检请求所面临的问题。如:

关键位置:configurationSource().cors().configurationSource(configurationSource())

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
		@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest()
                .authenticated()
                .and()
                .formLogin()
                .and()
                .cors() //跨域处理方案
                .configurationSource(configurationSource())
                .and()
                .csrf().disable();
    }

    //这个是配置跨域方法
    CorsConfigurationSource configurationSource() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowedHeaders(Arrays.asList("*"));
        corsConfiguration.setAllowedMethods(Arrays.asList("*"));
        corsConfiguration.setAllowedOrigins(Arrays.asList("*"));
        corsConfiguration.setMaxAge(3600L);
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfiguration);
        return source;
    }
}

最终我解决的方式就是去掉我之前配置的addCrosMapping,在springSecurity的配置文件中去进行跨域配置操作

总结

在学习的路上总是会遇到许多问题,一时无法解决不要紧,只要找准了方向,就一定能够解决!

爱学习的大雄
关注
Spring boot+Spring security跨域返回302
weixin_37290284的博客
07-31 4390
问题: 前后端分离,后端使用的spring boot+spring security,调试过程中前端需要跨域访问后端的接口获取数据,尝试了网上提供的N种跨域方案都是返回302,其中一种方案如下: 调试发现,登录拦截器这边获取不到用户的登录信息,所以一直重定向到登录页面。 解决办法: 暂时还未解决,先取消登录拦截器进行调试工作,待续… ...
SpringBoot-SpringSecurity跨域java设置跨域失败
SBS技术栈-晓白
01-06 1794
本文先上遇到的坑。后续会添加搭建!搭建很简单,去网上复制就行。 首先为什么要集成SpringSecurity?我的项目是Http会话即单次握手。每次访问接口需要验证用户令牌(token,请求头获取) 首先博主集成SpringSecurity之后跨域失败!(这里指的是没有配置nginx情况下) 因为CORS请求是两次,一次是确定信息,一次是传递。那么第一次一定是没有token的!那么就要放行,...
Spring Security使用中Preflight请求和跨域问题详解
08-28
主要给大家介绍了关于Spring Security使用中Preflight请求和跨域问题的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
Spring Security 导致 Spring Boot 跨域失效问题
Angus博客
01-09 2236
Spring Security跨域
Spring Boot 中如何解决跨域问题
最新发布
Flying_Fish_roe的博客
08-14 1093
在你的 Spring Boot 项目中,找到主配置类(通常是带有注解的类)。在该配置类上添加注解。在该配置类中添加一个名为的方法,并使用@Bean注解进行标记。在方法中创建一个实例,并进行相应的配置,如允许的请求源、允许的请求方法等。在方法中创建一个实例,并将上一步中创建的实例添加到该实例中。在中添加一个路径匹配模式,指定需要跨域支持的路径。在方法的最后,将实例返回。重新启动你的 Spring Boot 应用程序,跨域问题应该已经解决了。
SpringSecurity跨域配置
香榭的落叶
05-27 4400
再在SecurityConfig类(继承WebSecurityConfigurerAdapter)中 @Bean CorsConfigurationSource corsConfigurationSource(){ return httpServletRequest -> { CorsConfiguration cfg = new CorsConfiguration(); cfg.addAllowedHeader("*"); ..
Spring Security跨域配置
amadeus_liu2的博客
08-09 669
spring security
Spring Cloud Gateway跨域相关解决方案
困难是否磨灭你的自信
02-26 6345
前言 记录 Spring Cloud Gateway 整合 Spring Security 及 Oauth2 时跨越问题相关解决过程 项目架构 为了不直接暴露 API 及保护服务器,所有访问都需要经过网关,由网关转发请求到服务器及返回服务器的响应 初遇跨域 跨域其实是很常见的问题,在 Spring 中可以简单的写个 @CrossOrigin 或者全局拦截器之类的解决掉,但在 Spring C...
spring boot 项目集成security
zoro_soro的博客
04-22 2756
springboot集成security需要三步: 一、引入依赖 <!--集成安全框架--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </depen
Java零基础——SpringSecurity
m0_47946173的博客
12-04 2061
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Spring Security(七) ——跨域配置
eyes++的博客
07-26 3909
CORS(Cross-OriginResourceSharing)是由W3C制定的一种基于HTTP头的跨域资源共享技术标准,其目的就是为了解决前端的跨域请求,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),使得浏览器允许这些origin访问加载自己的资源。在JavaEE开发中,最常见的前端跨域请求解决方案是早期的JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法,也是目前主流的跨域解决方案。...
SpringSecurity(09)——跨域配置
peng_gx的博客
01-19 653
SpringSecurity跨域配置
解决!【启用了SecuritySpringBoot项目跨域问题】以及【post请求403错误】
weixin_45928161的博客
04-11 2271
解决!【启用了SecuritySpringBoot项目跨域问题】以及【post请求403错误】
Spring Security——09,解决跨域
weixin_42858422的博客
04-07 1959
因为它不是浏览器,所以我们要找一个前端的项目,就随便找了一个vue工程。由于我们的资源都会收到SpringSecurity的保护,所以想要跨域访问还要让SpringSecurity运行跨域访问。修改一下登录页面,认证登录成功之后,把返回的token接收,存入localStorage。前后端分离项目,前端项目和后端项目一般都不是同源的,所以肯定会存在跨域请求的问题。然后看一下,响应,都没有问题,OK,这个账号是有这个权限的。然后测试一下,登录成功,解决跨域请求,拿到token。填入一个正确的密码,认证成功。
Spring boot + Spring security 跨域配置
笨小孩的博客
07-30 3951
CORS 简介 为了解决浏览器同源问题,W3C提出了跨源资源共享,即CORS(Cross-Origin Resource Sharing)。 CORS做到了如下两点: 不破坏即有规则 服务器实现了CORS接口,就可以跨源通信 Access-Control-Allow-Origin: http://www.examples.com Access-Control-Allow-Methods: GET, POST, PUT, DELETE Access-Control-Allow-Head...
SpringSecurity跨域
Littewood的博客
07-24 5976
SpringSecurity跨域解决
SpringSecurity (五) --------- 跨域
在森林里麋了鹿
10-17 520
允许跨域
spring security options请求返回403
thlzjfefe的博客
06-06 2608
springboot项目集成spring security,对于跨域访问发起的options请求,会返回403,原因是security默认不允许options请求,需要做以下修改: 第一种方式:忽略options请求 web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**"); 第二种方式:允许options请求 http.antMatchers(HttpMethod.OPTIONS, "/**").permitAll(); ...
spring security解决跨域请求
06-04
Spring Security 是一个基于 Spring 的安全框架,主要用于为 Java Web 应用程序提供身份验证和授权功能。而跨域请求通常是指在浏览器环境下,前端页面使用 AJAX 发起跨域请求,而后端服务器需要响应跨域请求的场景。 Spring Security 提供了解决跨域请求的方式,其中比较常用的是 CORS(跨域资源共享)机制。CORS 机制通过在服务器端设置响应头来允许跨域访问,具体步骤如下: 1. 在 Spring Security 的配置中添加 cors() 方法,如下: ``` @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.cors() .and() //其他配置 .csrf().disable(); } @Bean public CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.addAllowedOrigin("*"); configuration.addAllowedHeader("*"); configuration.addAllowedMethod("*"); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } } ``` 2. 在 CorsConfigurationSource 中设置允许跨域访问的源、方法和头信息。以上代码中的 configuration.addAllowedOrigin("*") 表示允许所有来源跨域访问,configuration.addAllowedHeader("*") 表示允许所有头信息,configuration.addAllowedMethod("*") 表示允许所有 HTTP 方法。 以上就是 Spring Security 解决跨域请求的方法,希望对您有所帮助。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱学习的大雄

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值