webmvcconfigurer配置跨域_为什么加了 Spring Security 会导致 Spring Boot 跨域失效呢?...

最新推荐文章于 2024-03-26 13:02:11 发布
最新推荐文章于 2024-03-26 13:02:11 发布
阅读量1.3k 收藏 2
点赞数
文章标签: webmvcconfigurer配置跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36431195/article/details/113324072
版权
本文详细探讨了CORS(跨域资源共享)在Spring中的配置方法,包括@CrossOrigin注解、实现WebMvcConfigurer.addCorsMappings和注入CorsFilter。特别地,文章指出当引入Spring Security后,如何通过HttpSecurity.cors方法正确配置CORS,以解决预检请求因未携带认证信息而导致的身份验证失败问题。同时,文章分析了不同配置方式的区别,如Filter与Interceptor的调用时机,以及Spring Security中CorsFilter的位置,揭示了Spring Security如何确保CORS验证在身份验证Filter之前执行,确保跨域请求的正常处理。
摘要由CSDN通过智能技术生成

点击上方 IT牧场 ,选择 置顶或者星标

技术干货每日送达

e4bcad8d388c7cc91f1806367329292a.png

作者:欧阳我去

链接:https://segmentfault.com/a/1190000019485883

作为一个后端开发,我们经常遇到的一个问题就是需要配置 CORS,好让我们的前端能够访问到我们的 API,并且不让其他人访问。而在 Spring 中,我们见过很多种 CORS 的配置,很多资料都只是告诉我们可以这样配置、可以那样配置,但是这些配置有什么区别?

1、CORS 是什么

首先我们要明确,CORS 是什么,以及规范是如何要求的。这里只是梳理一下流程。

CORS 全称是 Cross-Origin Resource Sharing,直译过来就是跨域资源共享。要理解这个概念就需要知道域、资源和同源策略这三个概念。

  • 域,指的是一个站点,由 protocal、host 和 port 三部分组成,其中 host 可以是域名,也可以是 ip ;port 如果没有指明,则是使用 protocal 的默认端口.
  • 资源,是指一个 URL 对应的内容,可以是一张图片、一种字体、一段 HTML 代码、一份 JSON 数据等等任何形式的任何内容。
  • 同源策略,指的是为了防止 XSS,浏览器、客户端应该仅请求与当前页面来自同一个域的资源,请求其他域的资源需要通过验证。

了解了这三个概念,我们就能理解为什么有 CORS 规范了:从站点 A 请求站点 B 的资源的时候,由于浏览器的同源策略的影响,这样的跨域请求将被禁止发送;为了让跨域请求能够正常发送,我们需要一套机制在不破坏同源策略的安全性的情况下、允许跨域请求正常发送,这样的机制就是 CORS。

2、预检请求

在 CORS 中,定义了一种预检请求,即 preflight request,当实际请求不是一个 简单请求 时,会发起一次预检请求。预检请求是针对实际请求的 URL 发起一次 OPTIONS 请求,并带上下面三个 headers :

  • Origin:值为当前页面所在的域,用于告诉服务器当前请求的域。如果没有这个 header,服务器将不会进行 CORS 验证。
  • Access-Control-Request-Method:值为实际请求将会使用的方法。
  • Access-Control-Request-Headers:值为实际请求将会使用的 header 集合。

如果服务器端 CORS 验证失败,则会返回客户端错误,即 4xx 的状态码。

否则,将会请求成功,返回 200 的状态码,并带上下面这些 headers:

  • Access-Control-Allow-Origin:允许请求的域,多数情况下,就是预检请求中的 Origin 的值。
  • Access-Control-Allow-Credentials:一个布尔值,表示服务器是否允许使用 cookies。
  • Access-Control-Expose-Headers:实际请求中可以出现在响应中的 headers 集合。
  • Access-Control-Max-Age:预检请求返回的规则可以被缓存的最长时间,超过这个时间,需要再次发起预检请求。
  • Access-Control-Allow-Methods:实际请求中可以使用到的方法集合浏览器会根据预检请求的响应,来决定是否发起实际请求。

2.1 小结

到这里, 我们就知道了跨域请求会经历的故事:

  1. 访问另一个域的资源。
  2. 有可能会发起一次预检请求(非简单请求,或超过了 Max-Age)。
  3. 发起实际请求。

接下来,我们看看在 Spring 中,我们是如何让 CORS 机制在我们的应用中生效的。

3、三种配置的方式

Spring 提供了多种配置 CORS 的方式,有的方式针对单个 API,有的方式可以针对整个应用;有的方式在一些情况下是等效的,而在另一些情况下却又出现不同。我们这里例举几种典型的方式来看看应该如何配置。

假设我们有一个 API:

@RestController
class HelloController {
    
    @GetMapping("hello")
    fun hello(): String {
    
        return "Hello, CORS!"
    }
}

3.1 @CrossOrigin 注解

使用 @CorssOrigin 注解需要引入 Spring Web 的依赖,该注解可以作用于方法或者类,可以针对这个方法或类对应的一个或多个 API 配置 CORS 规则:

@RestController
class HelloController {
    
    @GetMapping("hello")
    @CrossOrigin(origins = ["http://localhost:8080"])
    fun hello(): String {
    
        return "Hello, CORS!"
    }
}

3.2 实现 WebMvcConfigurer.addCorsMappings 方法

WebMvcConfigurer 是一个接口,它同样来自于 Spring Web。我们可以通过实现它的 addCorsMappings 方法来针对全局 API 配置 CORS 规则:

@Configuration
@EnableWebMvc
class MvcConfig: WebMvcConfigurer {
    
    override fun addCorsMappings(registry: CorsRegistry) {
    
        registry.addMapping("/hello")
                .allowedOrigins("http://localhost:8080")
    }
}

3.3 注入 CorsFilter

CorsFilter 同样来自于 Spring Web,但是实现 WebMvcConfigurer.addCorsMappings 方法并不会使用到这个类,具体原因我们后面来分析。我们可以通过注入一个 CorsFilter 来使用它:

@Configuration
class CORSConfiguration {
    
    @Bean
    fun corsFilter(): CorsFilter {
    
        val configuration 
最低0.47元/天 解锁文章
孔昊旻
关注
25. Spring Boot 2.x 最佳实践之 Spring Security+ Swagger+自定义拦截器Token权限校验
极客星云-CSDN博客
05-17 2561
这篇博文来总结下Spring Boot 2.x+ Spring Security+ 自定义拦截器实现带Token权限控制最佳实战攻略.
springboot-WebMvcConfigurer配置拦截器/跨域/格式化/注册控制器
没啥简介
01-03 6282
WebMvcConfigurer1. 拦截器2. 跨域访问3. 格式化4. 注册controller WebMvcConfigurer 是用来全局定制化Spring BootMVC 特性。开发者通过实现WebMvcConfigurer 接口来配置应用的 MVC 全局特性。 配置类如下: import org.springframework.context.annotation.Configuration; import org.springframework.format.FormatterReg
SpringBoot--WebMvcConfigurer详解
热门推荐
Java后端技术栈
12-09 3万+
目录 1. 简介 2. WebMvcConfigurer接口 2.1 addInterceptors:拦截器 2.2addViewControllers:页面跳转 2.3addResourceHandlers:静态资源 2.4configureDefaultServletHandling:默认静态资源处理器 2.5configureViewResolvers:视图解析器 2.6configureContentNegotiation:配置内容裁决的一些参数 2.7addCorsM......
springsecurity oauth2.0 spring mvc集成spring security 3
健康平安的活着的专栏
07-31 3688
spring security spring security是一个封装比较完整安全的认证授权框架。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,在spring boot项目spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。 ...
WebMvcConfigurer 与 WebSecurityConfigurerAdapter
05-12 2283
SpringBoot使用Spring Security,需要在WebSecurityConfigurerAdapter和WebMvcConfigurer同时开启跨域 首先在WebMvcConfigurer开启跨域 @Configuration public class WebConfig implements WebMvcConfigurer { /** * 允许跨域请求 * @param registry */ @Override pu
SpringBoot---WebMvcConfigurer详解
lihaooye的博客
08-17 298
1. 简介 WebMvcConfigurer配置类其实是Spring内部的一种配置方式,采用JavaBean的形式来代替传统的xml配置文件形式进行针对框架个性化定制,可以自定义一些Handler,Interceptor,ViewResolver,MessageConverter。基于java-based方式的spring mvc配置,需要创建一个配置类并实现WebMvcConfigurer接口; 在Spring Boot 1.5版本都是靠重写WebMvcConfigurerAdapter的方法来添加.
SpringBoot实现WebMvcConfigurer,配置跨域无效
热爱生活,享受编程
05-29 2645
SpringBoot配置跨域无效的分析与解决
Springboot +spring security,解决跨域问题
weixin_40991408的博客
05-26 2341
Springboot +spring security,解决跨域问题
springboot或者springsecurity跨域问题 ---简单有效
qq_56263094的博客
05-02 1493
目录 springboot后端配置解决跨域 为什么出现跨域问题? 首先一个定义一定要了解,就是浏览器的同源策略 什么是浏览器的同源策略,简单来说就是浏览器发送请求的协议、域名和端口要和服务器接收请求的协议、域名以及端口一致。这样才能完成交互,但是很显然这样是不可能的,尤其在对于在同一台电脑上开发前后端分离的项目的时候,一定是使用两个端口的。那么这样就形成了跨域问题。 其有俩种方法解决,一种是在前端配置跨域代理,第二种是后端新建一个配置类 在这里只介绍第一种,因为最为简便 s..
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
综上所述,解决Vue+Spring Boot跨域和Session失效问题的关键在于配置CORS策略以允许携带Cookie的跨域请求,并确保Session配置正确。同时,考虑采用Token认证机制,如JWT,以实现更灵活的认证和授权管理。
SpringBoot通过实现WebMvcConfigurer参数校验的方法示例
08-25
主要介绍了SpringBoot通过实现WebMvcConfigurer参数校验的方法示例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringSecurity四:Springboot集成SpringSecurity
xiaxiaomao1981的博客
02-24 183
Spring security也是spring家族的一员,使用spring boot集成spring security非常的方便,下面就通过一个例子来讲解一下如何在spring boot集成spring security 创建mavean工程springboot_security Pom.xml <parent> <groupId>org....
SpringBoot-拦截器(WebMVCConfigurer)
weixin_44714085的博客
11-25 756
拦截器, 跨域配置, 格式化, 和URL路由分发配置
springboot 2.0 mvc配置接口WebMvcConfigurer
菜鸟日记
03-28 694
springboot1.xmvc配置通常是继承WebMvcConfigurerAdapter抽象类,springboot2.x废弃了WebMvcConfigurerAdapter,官方推荐两种方式来实现mvc配置。 一是继承WebMvcConfigurationSupport,但是继承它以后springboot默认的配置全部失效,都要在类重写,太粗暴。二是实现WebMvcConfigure...
springboot配置跨越问题(WebMvcConfigurerAdapter& corsFilter)
qq_40132981的博客
07-31 471
Spring Boot 配置 CORS 1、使用@CrossOrigin注解实现 如果想要对某一接口配置CORS,可以在方法上添加@CrossOrigin注解 : @CrossOrigin(origins = {"http://localhost:9000", "null"}) @RequestMapping(value = "/test", method = RequestMethod.GET) public String greetings() { return "{\"pr...
登录前后端分离解决跨域(nginx和WebMvcConfigurer)cookic session问题
qwertytrewq0030的博客
08-03 469
登录前后端分离解决跨域(nginx和WebMvcConfigurer)cookic session问题 制作登录界面 创建web项目及登录页面 创建登录js+ajax function userLogin() { $.ajax({url: 'http://127.0.0.1:8080/user/login',type: 'post',xhrFields:{withCredentials:true},data: {user:111,password:111},dataType: 'text',succe.
SpringBoot项目报错】全局跨域配置失效WebMvcConfigurer
lilichalilicha的博客
08-18 1064
2、配置类继承 WebSecurityConfigurerAdapter 类,重写configure方法。1、配置类实现 WebMvcConfigurer 接口, 重写 addCorsMappings 方法。放弃全局配置, 在controller 类上注解 @CrossOrigin。前端代码调用后台接口 仍然报 跨域错误。不明,可能是配置冲突。
跨域配置public class CorsConfig implements WebMvcConfigurer失效解决
最新发布
biodog的博客
03-26 432
解决方法:1.修改静态资源配置类,实现configurer接口而不是继承webMvcConfigurationSupport类来完成静态资源配置。问题原因:1.在另一个类配置了静态资源映射,继承了webMvcConfigurationSupport类。2.如果使用了@EnableWebMvc这个注解也可能导致其他配置失效,造成类似的问题。2.配置都在继承webMvcConfigurationSupport的这个类完成。log.info("跨域配置开始。}配置了全局跨域处理但未生效。
配置WebMvcConfigurer全局跨域,不生效的原因及解决办法
qq_41348755的博客
04-13 1万+
WebMvcConfigurer配置全局跨域不生效
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值