关于 Spring Security OAuth2 中 CORS 跨域问题

最新推荐文章于 2024-01-19 09:52:39 发布
最新推荐文章于 2024-01-19 09:52:39 发布
阅读量2.5k 收藏 5
点赞数 2
文章标签: java 前端 运维 ViewUI

CORS 是一个 W3C 标准,全称是”跨域资源共享”(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了 AJAX 只能同源使用的限制(跨域资源共享 CORS 详解)。

解决 CORS 跨域方法大致有如下几类:

  • 使用 Nginx 代理配置转发请求。
  • 在 Zuul (配置允许敏感头信息等) 或  Spring Cloud Gateway 层配置跨域网关路由转发到资源端不涉及跨域。
  • Spring Boot 资源端配置以支持跨域(适用于无网关场景)。

Spring Boot 实现 CORS 跨域 (官方

  • 单个方法的跨域支持,可以使用 @CrossOrigin 的注解实现
  • 采用 JavaConfig 实现
  • 采用 Filter

但是如果项目中包含 Spring Security 就会有 401 的问题,Spring Security 本身是通过 Filter 实现的,如果没有对其单独做 CORS 的处理,在 Web Security 报错 401 的时候是不会返回相应的 CORS 的字段的。这会导致出现的 401 错误成为了一个无法进行跨域的错误,导致前端程序无法正常的处理 401 相应 。对于spring security oauth2 默认接口,例如 /oauth/token 跨域问题,可以通过全局 CORS Filter 解决。

@Configuration
public class GlobalCorsConfiguration {

    @Bean
    public CorsFilter corsFilter() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
//        corsConfiguration.addExposedHeader("head1");
        //corsConfiguration.addExposedHeader("Location");
        UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }
}

配置 CorsFilter 优先级与 Spring Security 不拦截 OPTIONS 请求

  • 配置 Spring Security 策略,不拦截 OPTIONS 请求
  • 自定义 CorsFilter,设置 order 优先级比 Spring Security 的 order 高。

配置服务器允许 /oauth/token的 OPTIONS 方法,因为 /oauth/token 接口是先发一个 OPTIONS 请求,然后再发送 POST请求,如果是 OPTIONS 接口不被允许,就会返回 401 错误。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Order(-1)
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
//        http.requestMatchers().antMatchers(HttpMethod.OPTIONS, "/oauth/**","/login/**","/logout/**")
//            .and()
//            .authorizeRequests()
//            .antMatchers().permitAll()
//            .and()
//            .formLogin().permitAll(); //新增login form 支持用户登录及授权

            http.requestMatchers().antMatchers(HttpMethod.OPTIONS, "/oauth/**")
                    .and()
                    .cors()
                    .and()
                    .csrf().disable();
    }
}

再次 Vue(vue-resource) 前端测试调用,问题解决。

this.$http.post('http://47.100.188.242:8888/oauth/token',
                        {'grant_type':'password','scope':'read','username':'test','password':'test'}
                        ,{emulateJSON:true,headers:{Authorization: 'Basic Y2ssxpZW50Xzkd5c3VsuX3dlYjpzwZWNyZXRfOTlezdsW5fMTIzNDU2'}}).then(function(){

                }, function(){

                });

报文

OPTIONS http://localhost:8888/oauth/token HTTP/1.1
Host: localhost:8888
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Access-Control-Request-Method: POST
Origin: http://localhost:5000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.92 Safari/537.36
Access-Control-Request-Headers: authorization
Accept: */*
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9

HTTP/1.1 200
Vary: Origin
Vary: Access-Control-Request-Method
Vary: Access-Control-Request-Headers
Access-Control-Allow-Origin: http://localhost:5000
Access-Control-Allow-Methods: POST
Access-Control-Allow-Headers: authorization
Access-Control-Allow-Credentials: true
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Frame-Options: DENY
Content-Length: 0
Date: Thu, 27 Sep 2018 04:38:56 GMT

-------------------------------------------------------------------
POST http://localhost:8888/oauth/token HTTP/1.1
Host: localhost:8888
Connection: keep-alive
Content-Length: 60
Pragma: no-cache
Cache-Control: no-cache
Accept: */*
Origin: http://localhost:5000
Authorization: Basic Y2xpZW50Xzks5c3VuX3dlYjpzZWNyZXRfOsTlzdW5fMTIzNDUs2
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.92 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Referer: http://localhost:5000/test.html
Accept-Encoding: gzip, deflate, br

grant_type=password&username=test&password=test&soap=api

HTTP/1.1 200
Vary: Origin
Vary: Access-Control-Request-Method
Vary: Access-Control-Request-Headers
Access-Control-Allow-Origin: http://localhost:5000
Access-Control-Allow-Credentials: true
Cache-Control: no-store
Pragma: no-cache
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
X-Frame-Options: DENY
Content-Type: application/json;charset=UTF-8
Date: Thu, 27 Sep 2018 04:38:56 GMT
Content-Length: 1560

{"access_token":"eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJpcnZpbmciLCJzY29wZSI6WyJhbGwiLCJhcGkiLCJ1c2VyIiwicmVhZCIsIndyaXRlIl0sImV4dF9uYW1lIjoiaXJ2aW5nIiwiZXhwIjoxNTM4MDMwMjk4LCJjbGllbnRfbmFtZSI6ImlydmluZyIsImp0aSI6IjIwOTg1ZjJhLWNiMGUtNDRiZi1hZWIyLTYzMGQ5NWFhNDI3ZSIsImNsaWVudF9pZCI6ImNsaWVudF85OXN1bl93ZWIifQ.koBwYKeLGr0KgZkOAN9ENGtKtHyQnzBRR_b0N1Ck1g2hk5VOGKikBTcCf-HBycHDvFZzADyqzi1640JDWo7MwwZm72r4Ih_QN-A_CztAMLyxsMvotMx9Du4z8wOJ4qaOGEuFGj3HFdFaMG3ltaN1WnoxORolFLqd6O-Q21SUhXaOMldOUZ_AyQildNnJ3-EJSavVSEc78jnW0P5fEJtp7QpRTS6nyvwwQifD7uoshnPWWbAeX7rYfAhEie3m7csx6sB_7nnJavKyk_AUpddioOgvw8QDZSmIGPKDeLlFLNpq1NGssgCqECyxdwmWVCs3x7rr6CwRDFfva87moJQAIQ","token_type":"bearer","refresh_token":"eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJpcnZpbmciLCJzY29wZSI6WyJhbGwiLCJhcGkiLCJ1c2VyIiwicmVhZCIsIndyaXRlIl0sImF0aSI6IjIwOTg1ZjJhLWNiMGUtNDRiZi1hZWIyLTYzMGQ5NWFhNDI3ZSIsImV4dF9uYW1lIjoiaXJ2aW5nIiwiZXhwIjoxNTM4MDIzMjc1LCJjbGllbnRfbmFtZSI6ImlydmluZyIsImp0aSI6IjRiNTc1MTVlLWEwOTUtNGZiMS05MGQ3LTE0MjQyOTcyMWI1YyIsImNsaWVudF9pZCI6ImNsaWVudF85OXN1bl93ZWIifQ.E8gviZsAb8ci_PMAzj4Oj7bqopr8xNwG3LAwa-pi987yVhg7CTlDhD0QOZLqHVPViwMY7dql-j2ccefwpZsfeaL4i1x5xouANoJ-zRJi7aruxJ_3guy2Ln0fReEYnOnkzKRGjWkdeCbxmrFgg0TkDASB_vTsegsbjqpVfCRg7LAvIcZwQCj1uiSqV8jaHbadvZpA1yZXt7lOMILHwtKkcEOkM7xDUbCHrG1J6qNjRNRbZhI34xXzP0EdXq8_FBA-ykpI1NWTt8jqYtQJfjyZCb9StcQmTqIq234d1ES6uiyZz-pqaiAo7qiVbrK85uOPmuCzuYtZcbWs8neiDeL8_g","expires_in":7161,"scope":"all api user read write","client_name":"irving","ext_name":"irving","jti":"20985f2a-cb0e-44bf-aeb2-630d95aa427e"}

备注:

Spring Security 文档中 (https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#cors)定义的方式。 

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // by default uses a Bean by the name of corsConfigurationSource
            .cors().and()
            ...
    }

    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
        configuration.setAllowedMethods(Arrays.asList("GET","POST"));
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }
}

Spring Cloud Gateway (http://cloud.spring.io/spring-cloud-gateway/single/spring-cloud-gateway.html#_cors_configuration)

spring:
  cloud:
    gateway:
      globalcors:
        corsConfigurations:
          '[/**]':
            allowedOrigins: "docs.spring.io"
            allowedMethods:
            - GET

ZUUL

https://cloud.spring.io/spring-cloud-static/spring-cloud-netflix/2.1.0.M3/single/spring-cloud-netflix.html#_enabling_cross_origin_requests

@Bean
public WebMvcConfigurer corsConfigurer() {
    return new WebMvcConfigurer() {
        public void addCorsMappings(CorsRegistry registry) {
            registry.addMapping("/path-1/**")
                    .allowedOrigins("http://allowed-origin.com")
                    .allowedMethods("GET", "POST");
        }
    };
}

REFER:
https://aisensiy.github.io/2017/11/08/spring-cors-and-security/
http://www.spring4all.com/article/177
https://blog.csdn.net/GeorgeShaw1/article/details/75089734
https://stackoverflow.com/questions/37516755/spring-boot-rest-service-options-401-on-oauth-token
https://github.com/pagekit/vue-resource
http://cloud.spring.io/spring-cloud-gateway/single/spring-cloud-gateway.html#_cors_configuration

weixin_34220623
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringSecurity+Oauth2获取AccessToken跨域CORS问题解决
Eiverl的博客
09-23 1437
问题: 在springboot+SpringSecurity+oauth2项目,No ‘Access-Control-Allow-Origin’ 终极解决办法,在使用了corsFilter进行跨域处理,相关代码配置如下: @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException,
SpringSecurity笔记,编程不良人笔记
10-28
- CORS(Cross-Origin Resource Sharing):SpringSecurity可以帮助配置CORS策略,允许跨域请求。 7. **代码示例** 在`SpringSecurity.md`和`SpringSecurity.pdf`文档,可能包含SpringSecurity配置、自定义用户...
Spring Security OAuth2 CORS 跨域问题
windows_2006的专栏
07-05 3977
错误情况 项目包含 Spring Security 就会有 401 的问题,Spring Security 本身是通过 Filter 实现的,如果没有对其单独做 CORS 的处理,在 Web Security 报错 401 的时候是不会返回相应的 CORS 的字段的。这会导致出现的 401 错误成为了一个无法进行跨域的错误,导致前端程序无法正常的处理 401 相应 。对于spring secu...
关于Security oauth2 +Sso整合出现的问题
waooi的博客
05-09 762
当搭建好security授权服务器,资源服务器,和单点登录客户端的时候,挺开心的,基本上都是使用注解写的,也没啥多大的变动. 但是在我使用ResponseBodyAdvice包装类统一返回响应请求的时候,问题就来了,再进行统一包装的时候也会将通过授权后返回的token信息进行包装,可是当客户端对返回的response进行解析的时候死活解析不出来,会把返回的信息全部放入到增强内容additionallnformation当 这就令我很苦恼,也算没吃透security就开始写带来的问题,找了很多方法,
解决跨域(二)---CORS
wei_dan1129的博客
01-15 174
CORS CORS 需要浏览器和后端同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10,IE 8 和 9 需要通过 XDomainRequest 来实现。 浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域。 服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。 该属性表示哪些域名可以访...
java跨域问题
一个菜鸡的博客
02-08 706
浏览器安全的基石是,什么是同源策略呢?如果两个 URL 的(如果有指定的话) 和都相同的话,则这两个 URL 是同源。这个方案也被称为“协议/主机/端口元组”,或者直接是“元组”。(“元组”是指一组项目构成的整体,双重/三重/四重/五重/等的通用形式)。http://
详解Springboot2.3集成Spring security 框架(原生集成)
08-18
2. **创建Security配置类**:创建一个名为`SpringSecurityConfig`的类,通常会标记为`@Configuration`和`@EnableWebSecurity`,以启用Spring Security的Web安全功能。这个配置类是Spring Security的核心,可以在这里...
29-Spring Boot自己实现简版OAuth21
08-08
例如,AccessTokenController 的方法在生产环境需要处理跨域问题,可以通过在 Spring Security 配置启用 CORS 支持。 测试过程,我们可以模拟客户端行为,通过浏览器访问授权服务,输入账号密码,然后观察...
spring security 资料收集
01-10
5. **会话管理**:Spring Security提供了会话管理策略,包括防止会话固定攻击(session fixation)、会话超时以及跨域资源共享(CORS)配置。 6. **CSRF防护**:Spring Security默认启用CSRF防护,防止非幂等操作被...
xumumi-system-security:基于 Spring Security 开发的 jwt 安全模块
04-12
在现代Web应用程序,安全是至关重要的,Spring Security为开发者提供了一套强大的工具来保护应用程序,而JWT则是一种轻量级的身份验证方式,它允许在客户端和服务器之间安全地传递信息,而无需在每个请求发送...
拦截器实现SpringBoot跨域请求
yaoct的博客
02-26 3178
因为springboot的@CrossOrigin注解在拦截器上无效,有时候就不能在拦截器返回给数据前端信息。 所以自己实现拦截器实现跨域处理,再在普通拦截器上,在HttpServletResponse封装返回给前端的信息 。 这里就要先了解CORS的跨域原理,下面这段摘自https://www.jianshu.com/p/f5a88983f42d。 cross-origin reso.........
Spring Boot3 跨域配置 Cors
最新发布
xdpcxq1029的博客
01-19 1006
CORS,全称是“跨源资源共享”(Cross-Origin Resource Sharing),是一种Web应用程序的安全机制,用于控制不同源的资源之间的交互。在Web应用程序CORS定义了一种机制,通过该机制,浏览器能够限制哪些外部网页可以访问来自不同源的资源。源由协议、域名和端口组成。当一个网页请求另一个网页上的资源时,浏览器会检查请求是否符合CORS规范,以确定是否允许该请求。
SpringBoot 配置跨域问题处理
John的博客
07-17 1060
目前我只用一种方法,跨域专门用跨域过滤处理 CorsFilter 然后通过bean注入交给spring容器一并处理该过程,我们只负责进行配置即可。在这我需要讲解一下AllowCredentials 和AllowedOrigins 匹配使用 ,AllowCredentials 含义就允许携带的认证值进行访问,如果AllowedOrigins为* 全部的话,AllowCredentials 必须为false 否则无效,AllowedOrigins 指定某一些地址,AllowCredenti...
SpringBoot 优雅配置跨域多种方式及Spring Security跨域访问配置的坑
daTou
08-28 7383
前言 最近在做项目的时候,基于前后端分离的权限管理系统,后台使用 Spring Security 作为权限控制管理, 然后在前端接口访问时候涉及到跨域,但我怎么配置跨域也没有生效,这里有一个坑,在使用Spring Security时候单独配置,SpringBoot 跨越还不行,还需要配置Security 跨域才行。 什么是跨域 跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问 在 HTML ,<a>, <form>, <img>, <script&g
引用Spring Security 项目的跨域处理
竹林幽深
06-14 704
https://blog.csdn.net/qq_14962891/article/details/80418455 最近项目采用了前后端分离的框架,前端和后台接口没有部署到一个站点,出现了跨域问题,什么是跨域,这里就不再赘述,直接说解决办法。Spring 解决跨域的方式有很多,个人采用了Crosfilter的方式。具体代码如下: @Bean public CorsFilter cor...
Spring Boot Security跨域访问 cors
热门推荐
Fouy_风度玉门。
09-28 1万+
文章目录未使用Security 的Boot 项目使用Security 的情况使用Security开启允许iframe嵌套 使用Spring Security 在Boot 项目,实现前后端分离的跨域访问,只需要简单的配置即可。 未使用Security 的Boot 项目 在未使用Spring Security 的Boot 项目,只需要在 Application.java 添加如下代码即可 @Be...
解决使用zuul的时候出现的跨域response多allow-origin值的问题
lwy572039941的博客
03-25 2208
解决使用zuul的时候出现的跨域response多allow-origin值的问题 解决跨域问题: @Configuration public class CorsConfig { @Bean public CorsFilter corsFilter(){ final UrlBasedCorsConfigurationSource source = new Url...
服务器推送之WebSocket 入门学习路程(四)
wwwgggisnotme的专栏
07-08 3032
【小结2】 经过前面的这些坑,虽然看起来不多,但是别忘了,这些坑也是总结出来的,不总结的时候,谁知道是几个坑啊 【Step 6: 写高级的代码】 在弄stomp之前,强烈建议 大家看看stomp的知识,不才孤陋寡闻,以为stomp是spring支持websocket才出的东西,其实不然,这东西早就有,不看的话有些概念弄不清。 在这之前读文档的时候 就说了一个坑, 这个stomp的用
OAuth2和Spring Security的后端配置跨域
09-11
对于OAuth2和Spring Security的后端配置跨域,你可以采取以下步骤: 1. 在Spring Security配置类,使用`@EnableWebSecurity`注解启用Web安全功能。 2. 创建一个继承自`WebSecurityConfigurerAdapter`的配置类,并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值