spring MVC cors跨域实现源码解析 CorsConfiguration UrlBasedCorsConfigurationSource

最新推荐文章于 2024-05-04 17:52:57 发布
最新推荐文章于 2024-05-04 17:52:57 发布
阅读量3.9k 收藏 3
点赞数
文章标签: 测试 java web.xml
原文链接:http://www.cnblogs.com/hfultrastrong/p/11497321.html
版权

spring MVC cors跨域实现源码解析

spring MVC cors跨域实现源码解析

名词解释:跨域资源共享(Cross-Origin Resource Sharing)

简单说就是只要协议、IP、http方法任意一个不同就是跨域。

spring MVC自4.2开始添加了跨域的支持。

跨域具体的定义请移步mozilla查看

使用案例

spring mvc中跨域使用有3种方式:

在web.xml中配置CorsFilter

<filter>
  <filter-name>cors</filter-name> <filter-class>org.springframework.web.filter.CorsFilter</filter-class> </filter> <filter-mapping> <filter-name>cors</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>

在xml中配置

// 简单配置,未配置的均使用默认值,就是全面放开
<mvc:cors>  
    <mvc:mapping path="/**" /> </mvc:cors> // 这是一个全量配置 <mvc:cors> <mvc:mapping path="/api/**" allowed-origins="http://domain1.com, http://domain2.com" allowed-methods="GET, PUT" allowed-headers="header1, header2, header3" exposed-headers="header1, header2" allow-credentials="false" max-age="123" /> <mvc:mapping path="/resources/**" allowed-origins="http://domain1.com" /> </mvc:cors>

使用注解

@CrossOrigin(maxAge = 3600)  
@RestController  
@RequestMapping("/account") public class AccountController { @CrossOrigin("http://domain2.com") @RequestMapping("/{id}") public Account retrieve(@PathVariable Long id) { // ... } }

涉及概念

  • CorsConfiguration 具体封装跨域配置信息的pojo

  • CorsConfigurationSource request与跨域配置信息映射的容器

  • CorsProcessor 具体进行跨域操作的类

  • 诺干跨域配置信息初始化类

  • 诺干跨域使用的Adapter

涉及的java类:

  • 封装信息的pojo

    CorsConfiguration

  • 存储request与跨域配置信息的容器

    CorsConfigurationSource、UrlBasedCorsConfigurationSource

  • 具体处理类

    CorsProcessor、DefaultCorsProcessor

  • CorsUtils

  • 实现OncePerRequestFilter接口的Adapter

    CorsFilter

  • 校验request是否cors,并封装对应的Adapter

    AbstractHandlerMapping、包括内部类PreFlightHandler、CorsInterceptor

  • 读取CrossOrigin注解信息

    AbstractHandlerMethodMapping、RequestMappingHandlerMapping

  • 从xml文件中读取跨域配置信息

    CorsBeanDefinitionParser

  • 跨域注册辅助类

    MvcNamespaceUtils

debug分析

要看懂代码我们需要先了解下封装跨域信息的pojo--CorsConfiguration

这边是一个非常简单的pojo,除了跨域对应的几个属性,就只有combine、checkOrigin、checkHttpMethod、checkHeaders。

属性都是多值组合使用的。

    // CorsConfiguration
    public static final String ALL = "*"; // 允许的请求源 private List<String> allowedOrigins; // 允许的http方法 private List<String> allowedMethods; // 允许的请求头 private List<String> allowedHeaders; // 返回的响应头 private List<String> exposedHeaders; // 是否允许携带cookies private Boolean allowCredentials; // 预请求的存活有效期 private Long maxAge;

combine是将跨域信息进行合并

3个check方法分别是核对request中的信息是否包含在允许范围内

配置初始化

在系统启动时通过CorsBeanDefinitionParser解析配置文件;

加载RequestMappingHandlerMapping时,通过InitializingBean的afterProperties的钩子调用initCorsConfiguration初始化注解信息;

配置文件初始化

在CorsBeanDefinitionParser类的parse方法中打一个断点。

CorsBeanDefinitionParser中的断点

CorsBeanDefinitionParser的调用栈

CorsBeanDefinitionParser的调用栈

通过代码可以看到这边解析中的定义信息。

跨域信息的配置可以以path为单位定义多个映射关系。

解析时如果没有定义则使用默认设置

// CorsBeanDefinitionParser
if (mappings.isEmpty()) {
    // 最简配置时的默认设置
    CorsConfiguration config = new CorsConfiguration(); config.setAllowedOrigins(DEFAULT_ALLOWED_ORIGINS); config.setAllowedMethods(DEFAULT_ALLOWED_METHODS); config.setAllowedHeaders(DEFAULT_ALLOWED_HEADERS); config.setAllowCredentials(DEFAULT_ALLOW_CREDENTIALS); config.setMaxAge(DEFAULT_MAX_AGE); corsConfigurations.put("/**", config); }else { // 单个mapping的处理 for (Element mapping : mappings) { CorsConfiguration config = new CorsConfiguration(); if (mapping.hasAttribute("allowed-origins")) { String[] allowedOrigins = StringUtils.tokenizeToStringArray(mapping.getAttribute("allowed-origins"), ","); config.setAllowedOrigins(Arrays.asList(allowedOrigins)); } // ... }

解析完成后,通过MvcNamespaceUtils.registerCorsConfiguratoions注册

这边走的是spring bean容器管理的统一流程,现在转化为BeanDefinition然后再实例化。

// MvcNamespaceUtils
    public static RuntimeBeanReference registerCorsConfigurations(Map<String, CorsConfiguration> corsConfigurations, ParserContext parserContext, Object source) { if (!parserContext.getRegistry().containsBeanDefinition(CORS_CONFIGURATION_BEAN_NAME)) { RootBeanDefinition corsConfigurationsDef = new RootBeanDefinition(LinkedHashMap.class); corsConfigurationsDef.setSource(source); corsConfigurationsDef.setRole(BeanDefinition.ROLE_INFRASTRUCTURE); if (corsConfigurations != null) { corsConfigurationsDef.getConstructorArgumentValues().addIndexedArgumentValue(0, corsConfigurations); } parserContext.getReaderContext().getRegistry().registerBeanDefinition(CORS_CONFIGURATION_BEAN_NAME, corsConfigurationsDef); parserContext.registerComponent(new BeanComponentDefinition(corsConfigurationsDef, CORS_CONFIGURATION_BEAN_NAME)); } else if (corsConfigurations != null) { BeanDefinition corsConfigurationsDef = parserContext.getRegistry().getBeanDefinition(CORS_CONFIGURATION_BEAN_NAME); corsConfigurationsDef.getConstructorArgumentValues().addIndexedArgumentValue(0, corsConfigurations); } return new RuntimeBeanReference(CORS_CONFIGURATION_BEAN_NAME); }
注解初始化

在RequestMappingHandlerMapping的initCorsConfiguration中扫描使用CrossOrigin注解的方法,并提取信息。

RequestMappingHandlerMapping

RequestMappingHandlerMapping_initCorsConfiguration

// RequestMappingHandlerMapping
    @Override
    protected CorsConfiguration initCorsConfiguration(Object handler, Method method, RequestMappingInfo mappingInfo) { HandlerMethod handlerMethod = createHandlerMethod(handler, method); CrossOrigin typeAnnotation = AnnotatedElementUtils.findMergedAnnotation(handlerMethod.getBeanType(), CrossOrigin.class); CrossOrigin methodAnnotation = AnnotatedElementUtils.findMergedAnnotation(method, CrossOrigin.class); if (typeAnnotation == null && methodAnnotation == null) { return null; } CorsConfiguration config = new CorsConfiguration(); updateCorsConfig(config, typeAnnotation); updateCorsConfig(config, methodAnnotation); // ... 设置默认值 return config; }

跨域请求处理

HandlerMapping在正常处理完查找处理器后,在AbstractHandlerMapping.getHandler中校验是否是跨域请求,如果是分两种进行处理:

  • 如果是预请求,将处理器替换为内部类PreFlightHandler

  • 如果是正常请求,添加CorsInterceptor拦截器

拿到处理器后,通过请求头是否包含Origin判断是否跨域,如果是跨域,通过UrlBasedCorsConfigurationSource获取跨域配置信息,并委托getCorsHandlerExecutionChain处理

UrlBasedCorsConfigurationSource是CorsConfigurationSource的实现,从类名就可以猜出这边request与CorsConfiguration的映射是基于url的。getCorsConfiguration中提取request中的url后,逐一验证配置是否匹配url。

    // UrlBasedCorsConfigurationSource
    public CorsConfiguration getCorsConfiguration(HttpServletRequest request) { String lookupPath = this.urlPathHelper.getLookupPathForRequest(request); for(Map.Entry<String, CorsConfiguration> entry : this.corsConfigurations.entrySet()) { if (this.pathMatcher.match(entry.getKey(), lookupPath)) { return entry.getValue(); } } return null; } // AbstractHandlerMapping public final HandlerExecutionChain getHandler(HttpServletRequest request) throws Exception { Object handler = getHandlerInternal(request); // ... HandlerExecutionChain executionChain = getHandlerExecutionChain(handler, request); if (CorsUtils.isCorsRequest(request)) { CorsConfiguration globalConfig = this.corsConfigSource.getCorsConfiguration(request); CorsConfiguration handlerConfig = getCorsConfiguration(handler, request); CorsConfiguration config = (globalConfig != null ? globalConfig.combine(handlerConfig) : handlerConfig); executionChain = getCorsHandlerExecutionChain(request, executionChain, config); } return executionChain; } // HttpHeaders public static final String ORIGIN = "Origin"; // CorsUtils public static boolean isCorsRequest(HttpServletRequest request) { return (request.getHeader(HttpHeaders.ORIGIN) != null); }

通过请求头的http方法是否options判断是否预请求,如果是使用PreFlightRequest替换处理器;如果是普通请求,添加一个拦截器CorsInterceptor。

PreFlightRequest是CorsProcessor对于HttpRequestHandler的一个适配器。这样HandlerAdapter直接使用HttpRequestHandlerAdapter处理。

CorsInterceptor 是CorsProcessor对于HnalderInterceptorAdapter的适配器。

    // AbstractHandlerMapping
    protected HandlerExecutionChain getCorsHandlerExecutionChain(HttpServletRequest request, HandlerExecutionChain chain, CorsConfiguration config) { if (CorsUtils.isPreFlightRequest(request)) { HandlerInterceptor[] interceptors = chain.getInterceptors(); chain = new HandlerExecutionChain(new PreFlightHandler(config), interceptors); } else { chain.addInterceptor(new CorsInterceptor(config)); } return chain; } private class PreFlightHandler implements HttpRequestHandler { private final CorsConfiguration config; public PreFlightHandler(CorsConfiguration config) { this.config = config; } @Override public void handleRequest(HttpServletRequest request, HttpServletResponse response) throws IOException { corsProcessor.processRequest(this.config, request, response); } } private class CorsInterceptor extends HandlerInterceptorAdapter { private final CorsConfiguration config; public CorsInterceptor(CorsConfiguration config) { this.config = config; } @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { return corsProcessor.processRequest(this.config, request, response); } } // CorsUtils public static boolean isPreFlightRequest(HttpServletRequest request) { return (isCorsRequest(request) && request.getMethod().equals(HttpMethod.OPTIONS.name()) && request.getHeader(HttpHeaders.ACCESS_CONTROL_REQUEST_METHOD) != null); }

可以去github查看: https://github.com/haplone/spring_doc/blob/master/mvc/cors.md

参考:
https://spring.io/blog/2015/06/08/cors-support-in-spring-framework

转载于:https://www.cnblogs.com/hfultrastrong/p/11497321.html

weixin_30709929
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring MVC cors跨域实现源码解析
08-31
本文主要介绍了spring MVC cors跨域实现源码解析。具有很好的参考价值,下面跟着小编一起来看下吧
SpringBoot 配置CORS处理前后端分离跨域配置无效问题解析
qw_6918966011的博客
08-13 630
浏览器有跨域限制,非同源策略(协议、主机名或端口不同)被视为跨域请求,解决跨域跨域资源共享(CORS)、反向代理和JSONP的方式。本篇通过 SpringBoot 的资源共享配置(CORS)来解决前后端分离项目的跨域,以及从原理上去解决跨域配置不生效的问题。
SpringBoot超赞的跨域配置类——CorsConfig
ZBYTSL的博客
01-10 4437
import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web....
跨域问题
keep12moving的博客
09-11 397
跨域:浏览器对于javascript的同源策略的限制 。 以下情况都属于跨域跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同...
跨域拦截配置 (url
JCrock11的博客
08-21 610
跨域拦截(Cors)的解决配置
Spring Boot解决跨域问题
qq_43203949的博客
08-16 864
Spring Boot解决跨域问题 方法一(常用) 实现接口WebMvcConfigurer,并重写addCorsMappings(CorsRegistry registry) @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping
解决跨域(CORS)问题
Java技术攻略的博客
03-07 1661
CORS全称Cross-Origin Resource Sharing,意为跨域资源共享。当一个资源去访问另一个不同域名或者同域名不同端口的资源时,就会发出跨域请求。如果此时另一个资源不允许其进行跨域资源访问,那么访问的那个资源就会遇到跨域问题。
spring boot cors解决跨域问题
小动物的圈圈
04-21 666
package com.rw.finance.client.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfig...
详解Spring MVC CORS 跨域
08-30
本篇文章主要介绍了详解Spring MVC CORS 跨域 ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring MVCCORS跨域的详细介绍
08-30
本文介绍了 CORS 的知识以及如何在 Spring MVC 中配置 CORS,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Spring Boot 通过CORS实现跨域问题
09-07
主要介绍了Spring Boot 通过CORS实现跨域,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
spring4.3 实现跨域CORS的方法
08-28
下面小编就为大家分享一篇spring4.3 实现跨域CORS的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
16:00面试,16:06就出来了,问的问题有点变态。。。
qq_48811377的博客
04-30 6711
整份文档一共有将近 200 页,全部为大家展示出来肯定是不太现实的,为了不影响大家的阅读体验就只展示了部分内容,还望大家海涵,希望能帮助到您面试前的复习且找到一个好的工作,也节省大家在网上搜索资料的时间来学习!
【课堂练习】
JacksonLeo的博客
04-29 506
虽然现代JVM的垃圾回收机制已经非常高效,但是在性能敏感的场合,仍然需要注意对象的创建频率。例如,在SysLogininforMapper中的deleteLogininforByIds方法,如果处理大量ID时,应考虑使用批处理技术,而不是循环单条处理。例如,在SysMenuMapper中的查询方法,如果涉及到复杂的查询条件或者大量数据的查询,应确保SQL语句的优化和索引的使用。异常处理:代码中应该有更明确的异常处理逻辑,比如使用try-catch块捕获可能的异常,并进行适当的处理,如记录日志、回滚事务等。
第16章 基于结构的测试技术(白盒测试技术)
最新发布
weixin_43499846的博客
05-04 940
不需要执行程序在编译和动态测试之前快速找出软件的一些缺陷的本质(黑盒是表面)能发现30%~70%左右的逻辑设计和编码的缺陷给变量赋值的过程;从变量定义到使用的控制流子路径要求覆盖变量所有定义,要覆盖从定义到其谓词使用或计算使用的至少一个子路径从每个变量定义到该定义的每次使用(包括谓词使用和计算使用)的所有控制流子路径要求覆盖到从每个变量定义到它的每次使用的所有无环子路径(从定义到使用的过程中,对这个变量不再做第二次定义)全使用测试和全定义–使用路径测试的区别。
使用groovy+spock优雅的进行单测
ttyy1112的专栏
04-30 941
Groovy是一种基于JVM的动态语言,它可以与Java代码无缝集成。Spock是一个基于Groovy的测试框架,专注于简洁性和可读性。它提供了丰富的测试DSL(领域特定语言),支持行为驱动开发(BDD)风格的测试。使用Groovy和Spock进行单元测试时,你可以利用Spock的特性编写清晰、易读的测试用例。通过givenwhenthen和where块,你可以清晰地描述测试的前提条件、操作和预期结果。同时,Spock还提供了@Unroll。
华为od入职第13天!
xiaofanren1111的博客
04-29 160
今天早上就分配活了,写一个模块的ut,但是今天一句代码没写成,一直在看代码逻辑。晚上我导师给我们几个新员工讲项目框架和一些代码逻辑啥的,讲了一个多小时,然后讲完后拉我单独又聊了一下,他跟我讲怎么写单元测试,然后diss了一下之前那些写单元测试的,说那些代码写得和💩一样,为了覆盖率而写的,然后让我去写的话怎么去写,然后还说让我尽量把那些写得像屎一样的重新写一下。我只是个新来的小od,我连那种💩一样的都写不出来😂。跟我聊了一个多小时,莫名就到晚上9.00了,我同事一直在催我走,然后就去拿了个夜宵走人了。
软件测试期末试题
qq_59468567的博客
05-03 964
( B )A.集成测试B.配置项测试C.单元测试D.系统测试89按照。
spring mvc 设置跨域请求
03-23
Spring MVC中设置跨域请求可以通过以下步骤实现: 1. 添加CORS配置类:创建一个类,例如`CorsConfig`,并使用`@Configuration`注解标记。在该类中,可以使用`addMapping`方法来配置允许跨域请求的路径、允许的请求方法、允许的请求头等。 ```java @Configuration public class CorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurerAdapter() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**") // 配置允许跨域的路径 .allowedOrigins("http://example.com") // 允许的源地址 .allowedMethods("GET", "POST") // 允许的请求方法 .allowedHeaders("header1", "header2") // 允许的请求头 .allowCredentials(true); // 是否允许发送Cookie } }; } } ``` 2.用CORS配置:在Spring MVC的配置类中,使用`@EnableWebMvc`注解启用MVC配置,并将上一步创建的CORS配置类添加到配置中。 ```java @Configuration @EnableWebMvc public class MvcConfig extends WebMvcConfigurerAdapter { @Autowired private CorsConfig corsConfig; @Override public void addCorsMappings(CorsRegistry registry) { corsConfig.corsConfigurer().addCorsMappings(registry); } } ``` 通过以上步骤,你可以在Spring MVC中设置跨域请求。请注意,这只是一种常见的配置方式,你可以根据实际需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值