springSecruity--->和springboot结合的跨域问题

已于 2024-03-12 11:42:07 修改
阅读量910 收藏 19
点赞数 17
分类专栏: springSecruity 文章标签: spring boot 后端 java
于 2024-02-29 16:03:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56851166/article/details/136372422
版权

🤦‍♂️这个是我在springboot中使用springSecruity写一个小demo时遇到的问题,记录下来🤦‍♂️

文章目录

跨域请求

什么是跨域请求,为啥会有跨域请求?👍

跨域请求,就是说浏览器在执行脚本文件的ajax请求时,脚本文件所在的服务地址和请求的服务地址不一样。说白了就是ip、网络协议、端口都一样的时候,就是同一个域,否则就是跨域。这是由于Netscape提出一个著名的安全策略——同源策略造成的,这是浏览器对JavaScript施加的安全限制。是防止外网的脚本恶意攻击服务器的一种措施。

俺们先来看看请求又有哪几种吧:

1.简单请求:

简单请求是指符合跨域请求规范中定义的一种简单请求类型。简单请求必须满足以下条件:
请求方法限于 GET、POST 或 HEAD;
只能使用以下几种 Content-Type:application/x-www-form-urlencoded、multipart/form-data、text/plain;
请求中的任意 XMLHttpRequestUpload 对象均没有注册任何事件监听器;
请求中没有使用 ReadableStream 对象;
请求中的任意 ReadableStream 对象均没有被启动;
请求的 method 属性不是 GET、HEAD 或 POST 以外的字符串;
请求的带有信函头之一。
简单请求不会触发预检请求(OPTIONS 请求),而是直接发送实际的请求。这样可以减少跨域请求的复杂性和延迟。

对于简单请求
CORS的策略是请求时在请求头中增加一个Origin字段,服务器收到请求后,根据该字段判断是否允许该请求访问。

1.如果允许,则在 HTTP 头信息中添加 Access-Control-Allow-Origin 字段,并返回正确的结果 ;
2.如果不 允许,则不在 HTTP 头信息中添加 Access-Control-Allow-Origin 字段 。

2.非简单请求

对于非简单请求的跨源请求,浏览器会在真实请求发出前,增加一次OPTION请求,称为预检请求(preflight request)。预检请求将真实请求的信息,包括请求方法、自定义头字段、源信息添加到 HTTP 头信息字段中,询问服务器是否允许这样的操作。

例如一个DELETE请求:

OPTIONS /test HTTP/1.1
Origin: http://www.examples.com
Access-Control-Request-Method: DELETE
Access-Control-Request-Headers: X-Custom-Header
Host: www.examples.com

与 CORS 相关的字段有:

请求使用的 HTTP 方法 Access-Control-Request-Method ;
请求中包含的自定义头字段 Access-Control-Request-Headers 。
服务器收到请求时,需要分别对 OriginAccess-Control-Request-MethodAccess-Control-Request-Headers 进行验证,验证通过后,会在返回 HTTP头信息中添加 :

Access-Control-Allow-Origin: http://www.examples.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000
他们的含义分别是:

Access-Control-Allow-Methods: 真实请求允许的方法
Access-Control-Allow-Headers: 服务器允许使用的字段
Access-Control-Allow-Credentials: 是否允许用户发送、处理 cookie
Access-Control-Max-Age: 预检请求的有效期,单位为秒。有效期内,不会重复发送预检请求
当预检请求通过后,浏览器会发送真实请求到服务器。这就实现了跨源请求。

总之:跨域请求会经历的几个步骤也就这几步
1.访问另一个域的资源。
2.有可能会发起一次预检请求(非简单请求,或超过了 Max-Age)。
3.发起实际请求。

springboot项目中使用springSecruity导致跨域请求@CrossOrigin请求失效解决方法

第一步

想访问的controller类该加上@CrossOrigin还加上,不要删除

第二步

配置springSecruity配置类,添加跨域配置
下面代码中通过调用http.cors().and().csrf().disable()方法来启用跨域配置并禁用CSRF保护。

package com.example.sec_demo1.config;

/**
 * @ClassName Sccc
 * @Description TODO
 * @Author zyhh
 * @date 2024/2/29 14:27
 * @version: 1.0
 */

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.web.cors.CorsUtils;

/**
 * SpringSecurity配置类
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)//这个是开启方法级别权限
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 授权
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 开启跨域访问
        http.cors(); //.disable();
        // 开启模拟请求,比如API POST测试工具的测试,不开启时,API POST为报403错误
        http.csrf().disable();

        // iframe 跳转错误处理 Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny'
        http.headers().frameOptions().disable();
        // 当出现跨域的OPTIONS请求时,发现被拦截,加入下面设置可实现对OPTIONS请求的放行。
        http.authorizeRequests().
                requestMatchers(CorsUtils::isPreFlightRequest).
                permitAll();
    }
}

第三步

配置一个CorsConfigurationSource的Bean来定义跨域配置。
通过CorsConfigurationSource的Bean定义了允许的来源、方法和头部,并将其应用到所有路径上。

@Configuration
public class CorsConfig {

    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.addAllowedOrigin("*");
        configuration.addAllowedMethod("*");
        configuration.addAllowedHeader("*");
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }
}

=============== over ===================================

再补充一点哈哈

springboot 中的跨域方法

有三种
1.针对单个 API的
2.针对整个应用的
3.在一些情况下是等效的,而在另一些情况下却又出现不同

针对单个API的
其实就是使用@CrossOrigin。可以加类上,也可以加单个方法上。

针对整个应用的
实现 WebMvcConfigurerz中的addCorsMappings 方法

/**
 * SpringMVC 跨域配置
 */
@Configuration
public class MvcConfig implements WebMvcConfigurer {

    @Bean
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
        final CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowCredentials(true); /*是否允许请求带有验证信息*/
        corsConfiguration.addAllowedOrigin("*");/*允许访问的客户端域名*/
        corsConfiguration.addAllowedHeader("*");/*允许服务端访问的客户端请求头*/
        corsConfiguration.addAllowedMethod("*"); /*允许访问的方法名,GET POST等*/
        corsConfiguration.addExposedHeader("token");/*暴露哪些头部信息 不能用*因为跨域访问默认不能获取全部头部信息*/
        corsConfiguration.addExposedHeader("TOKEN");
        corsConfiguration.addExposedHeader("Authorization");
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }
}

在一些情况下是等效的,而在另一些情况下却又出现不同
注入 CorsFilter
注入 CorsFilter 不止这一种方式,我们还可以通过注入一个 FilterRegistrationBean 来实现,这里就不给例子了。

@WebFilter("/*")
public class CORSFilter implements Filter {

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException, ServletException, IOException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse resp = (HttpServletResponse) servletResponse;

        // 告诉浏览器允许所有的域访问
        // 注意 * 不能满足带有cookie的访问,Origin 必须是全匹配
        // resp.addHeader("Access-Control-Allow-Origin", "*");
        // 解决办法通过获取Origin请求头来动态设置
        String origin = request.getHeader("Origin");
        if (StringUtils.hasText(origin)) {
            resp.addHeader("Access-Control-Allow-Origin", origin);
        }
        // 允许带有cookie访问
        resp.addHeader("Access-Control-Allow-Credentials", "true");

        // 告诉浏览器允许跨域访问的方法
        resp.addHeader("Access-Control-Allow-Methods", "*");

        // 告诉浏览器允许带有Content-Type,header1,header2头的请求访问
        // resp.addHeader("Access-Control-Allow-Headers", "Content-Type,header1,header2");
        // 设置支持所有的自定义请求头
        String headers = request.getHeader("Access-Control-Request-Headers");
        if (StringUtils.hasText(headers)) {
            resp.addHeader("Access-Control-Allow-Headers", headers);
        }

        // 告诉浏览器缓存OPTIONS预检请求1小时,避免非简单请求每次发送预检请求,提升性能
        resp.addHeader("Access-Control-Max-Age", "3600");

        chain.doFilter(request, resp);
    }
}

以上是springboot才需要的配置,如果是springboot+springSecruity。这些是没办法使用的。得使用

CorsConfigurationSource配置类和 继承WebSecurityConfigurerAdapter类并实现configure方法。

a.cup
关注
  • 17
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot跨域Access-Control-Allow-Origin实现解析
08-25
主要介绍了SpringBoot跨域Access-Control-Allow-Origin实现解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springboot或者springsecurity跨域问题 ---简单有效
qq_56263094的博客
05-02 1387
目录 springboot后端配置解决跨域 为什么会出现跨域问题? 首先一个定义一定要了解,就是浏览器的同源策略 什么是浏览器的同源策略,简单来说就是浏览器发送请求的协议、域名和端口要和服务器接收请求的协议、域名以及端口一致。这样才能完成交互,但是很显然这样是不可能的,尤其在对于在同一台电脑上开发前后端分离的项目的时候,一定是会使用两个端口的。那么这样就形成了跨域问题。 其中有俩种方法解决,一种是在前端配置跨域代理,第二种是后端新建一个配置类 在这里只介绍第一种,因为最为简便 s..
SpringBoot】跨域 Access-Control-Allow-Origin 问题
ranmaxli的博客
01-13 2071
方式一: 在过滤器中设置响应头 @Component public class CorsFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, Servlet...
Springboot解决Access-Control-Allow-Origin跨域问题
qq_42112979的博客
10-21 3963
最近在开发过程中遇到Access-Control-Allow-Origin这个问题,下面是个人网上搜罗的方法 文章目录前言一、添加配置文件二,创建文件1.创建CorsFilter类2.创建CorsConfig类 前言 这个方法适用于springboot 提示:以下是本篇文章正文内容,下面案例可供参考 一、添加配置文件 springboot的配置文件里添加,允许同一个局域网下的人访问 #配置同一个局域网访问 server.address=0.0.0.0 二,创建文件 1.创建CorsFilter类 代
spring bootspring cloud(八)Access-Control-Allow-Origin解决跨域问题
terry711的专栏
06-01 6366
后端分离以后,因为不在同一个域名下面,前端调用后端接口时候如果没有设置允许跨域就会报Access-Control-Allow-Origin错误。先继承implements WebMvcConfigurer。然后实现addCorsMappings方法,配置参数。 第二种:类注解,允许当前类中所有的方法跨域 通过在Controller层配置注解的方式设置跨域,通过@CrossOrigin(origins = "*")配置允许当前Controller下所有的方法跨域。 第三种:方法注解
Spring Boot-Shiro-Vue 提供一套基于SpringBoot-shiro-vue的权限管理思路.
05-24
使用token作为登录凭证,不使用session,避免跨域问题 使用自定义注解+aop 替代shiro的功能,简化了配置,增强了可拓展性 设计思路 核心 每个登录用户拥有各自的N条权限,比如 文章:查看/编辑/发布/删除 后端 基于 RBAC...
springboot-rest,cors跨域
11-26
由于各个Spring Data模块的初始日期不同,因此大多数模块都带有不同的主要版本号和次要版本号。找到兼容版本的最简单方法是依赖我们随定义的兼容版本提供的Spring Data Release Train BOM。在Maven项目中,您将在...
maven-archetype-springbootSpring引导的Maven原型
01-30
提供Maven配置文件和Spring配置文件完美融合的解决方案 集成通用Mapper和PageHelper,添加BaseService,常用CRUD无需编写代码 集成MyBatis Generator,额外提供功能强大的插件 集成 ,无需显式声明数据源,支持多...
vue-socket.io跨域问题有效解决方法
10-15
在本篇文章里小编给大家整理的是关于vue-socket.io跨域问题有效解决方法,对此有兴趣的朋友们可以参考下。
如何使用Spring Boot导出数据到Excel表格
weixin_54574094的博客
04-30 166
本文介绍了如何使用Spring Boot和Apache POI库将数据导出到Excel表格的方法。通过一个简单的示例,你可以了解到实现这一功能的基本步骤和方法。在实际项目中,你可以根据需求对代码进行扩展和定制,以满足更复杂的导出需求。希望本文对你有所帮助,如果有任何疑问或建议,请随时留言。
如何在Spring Boot中配置数据库密码加密
weixin_43816998的博客
04-28 160
Spring Boot中配置数据库密码加密
快速构建Spring boot项目
Fxdll的博客
04-22 615
2、运行4、开发环境热部署查看目前已有的依赖。
Spring Boot的热部署工具“AND”Swagger测试工具
闲来垂钓碧溪上的博客
04-30 209
指的是在项目无需重启的情况下,只需要刷新页面,即可获得已经修改的样式或功能。要注意该工具一般用于开发环境,在生产环境中最好不要添加这个工具。对于无需重启便可刷新这么方便的工具,在项目中该如何使用:在spring boot 项目中使用工具的方法就是引入相关依赖,热部署工具的依赖如下:
# 使用 spring boot 时,@Autowired 注解 自动装配注入时,变量报红解决方法:
段子手168的博客
04-29 220
# 使用 spring boot 时,@Autowired 注解 自动装配注入时,变量报红解决方法:
Spring boot 应用引入 Spring cloud alibaba nacos
ttyy1112的专栏
04-30 532
通过这些步骤,您的Spring Boot应用就可以成功引入Spring Cloud Alibaba的依赖,并且使用Nacos作为服务发现和配置中心。要在Spring Boot应用中引入Spring Cloud Alibaba的依赖以及Nacos的依赖,您可以按照以下步骤在。通过上述步骤,你可以使用OpenFeign轻松地调用远程服务。如果使用tomcat方式启动应用,应用无法自动注册到nacos,可参考。运行你的应用程序,它将会自动注册到Nacos注册中心。注解,以启用Nacos服务注册功能。
Spring Boot Admin
qq_34020761的博客
04-27 364
Spring Boot Admin用于监控线上所有Spring Boot应用的健康状况,提供实时警报功能~
Spring boot + dubbo 项目启动报错 ClassNotFoundException WebServerFactoryCustomizer
J_bean的博客
04-30 105
解决 Spring boot + dubbo 项目启动报错 ClassNotFoundException WebServerFactoryCustomizer 问题
基于Spring Boot的校园博客系统设计与实现
最新发布
wudixiuluo的博客
04-30 462
随着现在网络的快速发展,网上管理系统也逐渐快速发展起来,网上管理模式很快融入到了许多网站的之中,随之就产生了“校园博客系统”,这样就让校园博客系统更加方便简单。
springboot 解决sa-token跨域问题
06-07
Spring Boot 中解决 sa-token 跨域问题可以通过配置拦截器来实现。具体实现步骤如下: 1. 创建一个拦截器类,实现 HandlerInterceptor 接口,并重写 preHandle 方法,该方法会在请求处理之前被调用。在该方法中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值