Spring Security OAuth2 中 CORS 跨域问题

最新推荐文章于 2024-05-28 08:25:45 发布
最新推荐文章于 2024-05-28 08:25:45 发布
阅读量3.9k 收藏 16
点赞数 8
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/windows_2006/article/details/94736457
版权

错误情况

项目中包含 Spring Security 就会有 401 的问题,Spring Security 本身是通过 Filter 实现的,如果没有对其单独做 CORS 的处理,在 Web Security 报错 401 的时候是不会返回相应的 CORS 的字段的。这会导致出现的 401 错误成为了一个无法进行跨域的错误,导致前端程序无法正常的处理 401 相应 。对于spring security oauth2 默认接口,例如 /oauth/token 跨域问题,可以通过全局 CORS Filter 解决

解决办法

1、在spring boot项目中配置跨域
@Configuration
public class MyCorsConfiguration {

    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*"); // 1  
        corsConfiguration.addAllowedHeader("*"); // 2
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.addAllowedMethod("*"); // 3  
        return corsConfiguration;
    }

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", buildConfig()); // 4  
        return new CorsFilter(source);
    }

}
2、设置对/oauth/路径的特殊处理

在函数头中加入注解:

@EnableGlobalMethodSecurity(prePostEnabled = true)
@Order(-1)

在config中加入

http.requestMatchers().antMatchers(HttpMethod.OPTIONS, "/oauth/**")
				.and()
				.cors()
				.and()
				.csrf().disable();

代码展示

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Order(-1)
public class WebsecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	private MyUserDetailsService userDetailsService;

	@Autowired
	public void globalUserDetails(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailsService);
	}

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.exceptionHandling().accessDeniedHandler(new InterestAccessDeniedHandler());
		http.authorizeRequests().anyRequest().authenticated();
		http.requestMatchers().antMatchers(HttpMethod.OPTIONS, "/oauth/**")
				.and()
				.cors()
				.and()
				.csrf().disable();
//		http.authorizeRequests().antMatchers(HttpMethod.OPTIONS, "/oauth/**");
		http.formLogin().failureUrl("/login?error").permitAll();
		http.logout().permitAll();
		http.csrf().disable();
	}

	// 配置内存模式的用户
	/*
	 * @Bean
	 * 
	 * @Override protected UserDetailsService userDetailsService(){
	 * InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
	 * manager.createUser(User.withUsername("test").password("123").authorities(
	 * "USER").build());
	 * manager.createUser(User.withUsername("test1").password("123").authorities(
	 * "USER").build()); return manager; }
	 */

	/**
	 * 需要配置这个支持password模式 support password grant type
	 * 
	 * @return
	 * @throws Exception
	 */
	@Override
	@Bean
	public AuthenticationManager authenticationManagerBean() throws Exception {
		return super.authenticationManagerBean();
	}

}
飘哥(ptsroot)
关注
  • 8
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringSecurity笔记,编程不良人笔记
10-28
- CORS(Cross-Origin Resource Sharing):SpringSecurity可以帮助配置CORS策略,允许跨域请求。 7. **代码示例** 在`SpringSecurity.md`和`SpringSecurity.pdf`文档,可能包含SpringSecurity配置、自定义用户...
29-Spring Boot自己实现简版OAuth21
08-08
例如,AccessTokenController 的方法在生产环境需要处理跨域问题,可以通过在 Spring Security 配置启用 CORS 支持。 测试过程,我们可以模拟客户端行为,通过浏览器访问授权服务,输入账号密码,然后观察...
关于SpringBoot Security oauth2使用Cors问题(登出无效)
香酥蟹的博客
12-09 1839
前言 : /logout at position 1 of 10 in additional filter chain; firing Filter: 'WebAsyncManagerIntegrationFilter' : /logout at position 2 of 10 in additional filter chain; firing Filter: 'SecurityConte...
如何在 Spring Boot 使用 OAuth2
Java徐师兄的博客
06-26 5935
OAuth2 是一种流行的授权协议,用于授权第三方应用程序访问受保护的资源。OAuth2 协议定义了四种角色:资源所有者、客户端、授权服务器和资源服务器。资源所有者是资源的拥有者,客户端是请求访问资源的应用程序,授权服务器是授权客户端访问资源的服务器,资源服务器是托管受保护资源的服务器。客户端向授权服务器发送请求,请求授权访问某个资源。授权服务器向资源所有者询问是否授权客户端访问该资源。如果资源所有者授权客户端访问该资源,则授权服务器向客户端颁发访问令牌。
SpringBoot搭建OAuth2
最新发布
m0_60681411的博客
05-28 1485
本文描述了通过SpringBoot从无到有的搭建OAuth2服务器的一系列实践过程。其包括OAuth2的授权方式介绍,测试场景,过程遇到的困难等,对新接触OAuth2的人有较大帮助。
Spring Boot OAuth 2
探索er的博客
05-12 7983
Spring Boot OAuth 2
SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 9164
了解OAUTH2统一认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
SpringBoot 如何使用 OAuth2 进行认证和授权
it_xushixiong的博客
06-23 4899
在本文,我们介绍了如何在 SpringBoot 使用 OAuth2 进行认证和授权。我们首先介绍了 OAuth2 的基本概念和 Spring SecuritySpring OAuth2 的相关知识,然后详细讲解了在 SpringBoot 如何配置 Spring SecurityOAuth2,以及如何创建控制器来处理 OAuth2 相关请求。通过本文的讲解,相信读者已经掌握了在 SpringBoot 使用 OAuth2 进行认证和授权的。
springboot2整合oauth2
热门推荐
qq_37170583的博客
06-15 6万+
1.背景 项目由springboot1.5.X升级到springboot2.0.0后,导致各组件API以及依赖包发生了变化。 完整项目demo:https://gitee.com/zkane/springboot2-oauth2.git 2.spring security Spring Security 从入门到进阶系列教程网址:http://www.spring4all.com/ar...
spring security 资料收集
01-10
5. **会话管理**:Spring Security提供了会话管理策略,包括防止会话固定攻击(session fixation)、会话超时以及跨域资源共享(CORS)配置。 6. **CSRF防护**:Spring Security默认启用CSRF防护,防止非幂等操作被...
SpringSecurity相关技术资料及范例
10-30
SpringSecurity是Java开发用于构建安全Web应用的框架,它提供了全面的身份验证、授权和访问控制功能。这个压缩包文件包含了一系列与SpringSecurity相关的技术资料和实战范例,旨在帮助初学者快速入门并掌握该框架...
xumumi-system-security:基于 Spring Security 开发的 jwt 安全模块
04-12
在现代Web应用程序,安全是至关重要的,Spring Security为开发者提供了一套强大的工具来保护应用程序,而JWT则是一种轻量级的身份验证方式,它允许在客户端和服务器之间安全地传递信息,而无需在每个请求发送...
SpringBoot 如何配置 OAuth2 认证
徐师兄的博客
10-08 2150
OAuth2是一种用于授权的开放标准,用于控制第三方应用程序访问用户数据的权限。OAuth2定义了不同的授权流程,包括授权码流、密码流、客户端凭据流等,以满足不同的应用程序需求。资源所有者(Resource Owner):拥有资源的用户或实体。客户端(Client):访问资源的应用程序。资源服务器(Resource Server):存储和提供资源的服务器。授权服务器(Authorization Server):颁发访问令牌的服务器。
Springboot整合OAuth2
qq_41566980的博客
08-28 6611
概述:Spring OAuth2有四种授权方式: 1、授权码模式(authorization code) 2、简化模式(implicit) 3、密码模式(resource owner password credentials) 4、客户端模式(client credentials) 其用得比较多的是密码模式和客户端模式,下面就举例客户端模式,本示例项目认证服务和资源服务是同一服务 参考文章地址 一、前期准备 1.引入maven依赖 2.数据库脚本导入 -- ----------------------
spring security+Oauth2密码模式认证时,报401,Unauthorized的问题排查
jll126的博客
10-22 1万+
第一种情况: 进行 /auth/token的post请求时,没有进行httpbasic认证。 什么是http Basic认证? http协议的一种认证方式,将客户端id和客户端密码按照“客户端ID:客户端密码”的格式拼接,并用base64编码,放在 header请求服务端。例子如下: Authorization:Basic ASDLKFALDSFAJSLDFKLASD= ASDLKFALDSFAJSLDFKLASD= 就是 客户端ID:客户端密码 的64编码 springsecurity的...
security+oauth2 在进行资源访问的时候报错401,无效的access_token错误
weixin_44530390的博客
08-03 6325
参考资料:不分先后 https://my.oschina.net/caidenpan/blog/2978811 https://www.cnblogs.com/hellxz/p/12044482.html https://www.cnblogs.com/hellxz/p/12044482.html 首先,我大致说下我情况的背景: 是一个简但的springcloud项目, 采用的Eureka+zuul+fegin 认证授权采用的security+oauth2 spring-cloud版本Hoxton.SR6
SpringBoot集成OAuth2技术
禅与计算机程序设计艺术
01-28 1522
1.背景介绍 1. 背景介绍 OAuth2 是一种授权协议,它允许用户授予第三方应用程序访问他们的资源,而无需将他们的凭据(如密码)传递给这些应用程序。这种授权协议在现代互联网应用程序广泛使用,例如在社交网络、单点登录(SSO)和其他云服务Spring Boot 是一个用于构建新 Spring 应用程序的快速开始搭建平台。它提供了一种简单的方法来配置 Spring 应用程序,使其易于...
oauth2 跨域 cors
旅人的博客
08-29 1344
问题描述:在使用oauth2时访问/oauth/token时出现401的问题! 如果项目包含 Spring Security 就会有 401 的问题,Spring Security 本身是通过 Filter 实现的,如果没有对其单独做 CORS 的处理,在 Web Security 报错 401 的时候是不会返回相应的 CORS 的字段的。这会导致出现的 401 错误成为了一个无法进行跨域的错误...
Spring Security 实战干货: 401和403状态
码农小胖哥
07-27 5554
1. 前言最近几篇我对Spring Security用户认证流程进行了分析,同时在分析的基础上我们实现了一个验证码登录认证的实战功能。当认证失败后交给了AuthenticationFa...
spring-security-oauth2文档
03-26
本文档主要介绍了Spring Security OAuth2 Boot 2.6.8 版本,这是Spring Security OAuth2官方文档的最新维护版本,着重于简化在Spring框架设置授权服务器和资源服务器的过程。Spring Security OAuth2 Boot提供了一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值