Spring WebFlux下CORS WebFilter与SecurityWebFilterChain的配置

最新推荐文章于 2024-07-11 06:15:00 发布
最新推荐文章于 2024-07-11 06:15:00 发布
阅读量3.5k 收藏 2
点赞数 1
分类专栏: gateway 文章标签: spring 前端 java
原文链接:https://www.jianshu.com/p/68064e2f13ed
版权

需求:前端VUE项目需要在HTTP header添加JWT token发送到Spring后端认证。

尝试:使用Spring官方的配置


@Configuration
@EnableWebFlux
public class WebConfig implements WebFluxConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {

        registry.addMapping("/api/**")
            .allowedOrigins("http://domain2.com")
            .allowedMethods("PUT", "DELETE")
            .allowedHeaders("header1", "header2", "header3")
            .exposedHeaders("header1", "header2")
            .allowCredentials(true).maxAge(3600);

        // Add more mappings...
    }
}




@Bean
CorsWebFilter corsFilter() {

    CorsConfiguration config = new CorsConfiguration();

    // Possibly...
    // config.applyPermitDefaultValues()

    config.setAllowCredentials(true);
    config.addAllowedOrigin("http://domain1.com");
    config.addAllowedHeader("");
    config.addAllowedMethod("");

    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/**", config);

    return new CorsWebFilter(source);
}

结果都是报错:


Failed to load http://127.0.0.1:8080/api/company/statistics: 
Response to preflight request doesn't pass access control check: 
No 'Access-Control-Allow-Origin' header is present on the requested resource. 
Origin 'http://localhost:8081' is therefore not allowed access. The response had HTTP status code 401.

最后解决方案:

@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CORSFilter implements WebFilter {

    @Override
    public Mono<Void> filter(ServerWebExchange swe, WebFilterChain wfc) {
        ServerHttpRequest request = swe.getRequest();
        if (CorsUtils.isCorsRequest(request)) {
            ServerHttpResponse response = swe.getResponse();
            HttpHeaders headers = response.getHeaders();
            headers.add("Access-Control-Allow-Origin", "*");
            headers.add("Access-Control-Allow-Methods", "*");
            headers.add("Access-Control-Max-Age", "3600");
            headers.add("Access-Control-Allow-Headers", "my-token");
            headers.add("Access-Control-Allow-Headers", "Content-Type");
            if (request.getMethod() == HttpMethod.OPTIONS) {
                response.setStatusCode(HttpStatus.OK);
                return Mono.empty();
            }
        }
        return wfc.filter(swe);
    }
}


@EnableWebFluxSecurity
@EnableReactiveMethodSecurity
public class SecurityConfig {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private CustomSecurityContextRepository securityContextRepository;

    @Bean
    public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) throws Exception {
        return http.csrf().disable()
                .formLogin().disable()
                .httpBasic().disable()
                .authenticationManager(authenticationManager)
                .securityContextRepository(securityContextRepository)
                .authorizeExchange()
                .pathMatchers("/api/auth").permitAll()
                .pathMatchers("/api/public").permitAll()
                .anyExchange().authenticated()
                .and().build();
    }
}

重要地方:@Order(Ordered.HIGHEST_PRECEDENCE)

木鱼-
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Boot 中文参考指南(二)-Web
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
03-13 2876
跟其他的静态资源一样,Spring Boot 会在配置的静态内容位置检查,如果存在这样的文件,它会自动用作应用程序的图标。如果要显示一个给定状态码的自定义HTML错误页,可以将文件添加到/error目录。错误页面可以是静态HTML(即,添加到任何静态资源目录下)或者使用模版构建,文件名应该是确切状态代码或序列掩码。src/+- main/+- java/+- public/+- error/src/+- main/+- java/+- error/对于更复杂的映射,可以添加实现。
Spring的Gateway与Security在项目如何使用
Trouvailless的博客
05-25 3638
网上貌似webflux这一套的SpringSecurity操作资料貌似很少。 自己研究了一波,记录下来做一点备忘,如果能帮到也在迷惑的人一点点,就更好了。 新项目是前后端分离的项目,前台vue,后端SpringCloud2.0,采用oauth2.0机制来获得用户,权限框架用的gateway。 一,前台登录 大概思路前台主要是配合项目中配置的clientId,clientSecret去第三方服务器拿授权码code,然后拿这个code去后端交互,后端根据code去第三方拿用户信息,由于第三方只保存用户信
spring cloud WebFlux gateway 解决跨域问题
dingdeyangvip123的博客
09-21 1697
跨域问题对于后端来说已经不是什么新鲜的事,传统gataway跨域网上有很多解决办法和实现方案比如1.在yml中添加 spring: cloud: gateway: globalcors: corsConfigurations: '[/**]': allow-credentials: true allowedOrigins: "*" allowedMethods: "*" ...
Spring WebFlux响应式实现WebFilter解决跨域问题
Demon_Hao的博客
04-08 703
Spring Framework 中处理 Web 请求的关键接口之一,它为开发者提供了一种灵活、强大的方式来拦截、处理和增强 Web 请求的处理流程,适用于基于响应式编程模型的 Spring Web 应用程序。适用于基于响应式编程模型的 Spring 应用程序,可以与 Spring WebFluxSpring WebFlux.fn 等组件集成,实现非阻塞、响应式的请求处理。更加适用于响应式编程模型,可以轻松地与 Spring WebFluxSpring WebFlux.fn 等响应式模块集成。
SpringspringSecurity5版本以上中SecurityFilterChain概述
最新发布
wosixiaokeai的博客
07-11 474
定义是Spring Security Web模块中的一个接口,它定义了一组安全过滤器,这些过滤器用于处理HTTP请求,并根据配置执行相应的安全逻辑。作用:当一个HTTP请求到达Spring应用程序时,它会被中配置的过滤器依次处理。每个过滤器根据其职责对请求进行处理,如验证认证信息、检查用户权限等。如果请求在某个过滤器中被认为是合法且符合安全要求的,它将继续传递至下一个过滤器或最终达到控制器;如果请求被某个过滤器拦截(如认证失败),则不再继续传递,而是直接返回响应。
创建Spring Security Filter Chain
m13012606980的专栏
10-09 724
springSecurityFilterChain方法块中参数的初始化 讲解基于 spring-security 4.1.0.RELEASE 和 spring-security-oauth2-2.3.5.RELEASE 版本 通过了解springSecurityFilterChain()这个方法的逻辑来详细了解 Spring Security 过滤器链的创建流程。方法里有两个变量webSecurityConfigurers和webSecurity。都是在WebSecurityConfiguration被sp
Spring Security 的学习1
小熊的博客
10-18 252
Spring Security 概念 Spring Securityspring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。 简单入门 构建mvc项目: 导入security 所需的jar 包: Spring Security主要jar包功能介绍 spring-security-core.jar 核心包,任何Spring Security功能都需要此包。 spring-security-web.jar web工程必备,包
Spring Security Web Application 之 Security Filter Chain
来啊 快活啊
06-12 2029
Security Filter ChainSpring SecurityWeb模块为Web开发提供了非常全面的支持。整个spring security web模块就是以Servlet Filter为基础构建的。此模块会处理HttpServletRequest和HttpServletResponse对象,不管请求是从浏览器发出的还是从一个web客户端或者是ajax应用发出的。Spring Secur
SpringWebFlux的过滤器
m0_53246313的博客
02-22 1574
SpringWebFlux的过滤器
Spring Security 中,通过配置 Filter 链来实现安全控制
qq_60458298的博客
03-23 1001
userDetailsService():表示指定自定义的 UserDetailsService 实现类。accessDeniedPage():表示指定访问被拒绝页面的 URL。logoutSuccessUrl():表示退出登录后跳转的 URL。successHandler():表示指定登录成功的处理器。failureHandler():表示指定登录失败的处理器。passwordEncoder():表示指定密码的加密方式。loginPage():表示指定登录页面的 URL。
springboot2 webflux集成spring security做权限登陆校验
热门推荐
chiying5380的博客
06-13 1万+
一、主要pom依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifac...
webflux 环境中使用 Spring Security
2301_76607156的博客
04-11 2182
复制日志中出现的名称:,在 idea 中按两下 shift在类中可以看到如下代码:可以看到密码的来源于 User 对象,而 User 对象,由方法传入,但值最终都是取自对象。而就是一个读取配置文件的类,定义如下:spring:security:user:复制代码再次启动项目,就可以使用cxyxj在 mvc 中还自定义过登录成功响应、登录失败响应、登录无权限访问响应、未登录访问认证资源响应、登出成功响应。那在 webflux 中如何自定义呢?
SpringCloud Alibaba微服务实战十四 - SpringCloud Gateway集成Oauth2
2401_84003809的博客
04-18 496
webFlux环境下通过实现接口 自定义认证接口管理,由于我们的token是存在jdbc中所以命名上就叫@Slf4j@Override//根据access_token从数据库获取不到OAuth2AccessTokenreturn Mono.error(new InvalidTokenException(“Access Token 无效!”));}else {
Spring Security 5.7.1安全过滤器链配置方法
DDDInJava
05-31 4074
@RequiredArgsConstructor(onConstructor_ = @Autowired) @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfiguration { @NonNull private AuthenticationSuccessHandler authenticationSuccessHandler; @NonNull p.
SpringSecurity自定义Filter、自定义FilterChain以及FilterChain的匹配
户伟伟的博客
12-20 3625
SpringSecurity怎么自定义Filter、怎么自定义FilterChain以及怎么实现FilterChain的匹配
SpringSecurity_过滤器链
qq_45907893的博客
05-21 313
SpringSecurity
Spring Security Web : SecurityFilterChain 安全过滤器概念模型
Details Inside Spring
05-16 6808
SecurityFilterChain,字面意思"安全过滤器链",是Spring Security Web对匹配特定HTTP请求的一组安全过滤器的抽象建模。这样的一个对象在配置阶段用于配置FilterChainProxy,而FilterChainProxy在请求到达时会使用所持有的某个SecurityFilterChain判断该请求是否匹配该SecurityFilterChain,如果匹配的话,该...
HttpSecurity 是如何组装过滤器链的
江南一点雨的专栏
05-31 989
有小伙伴们问到这个问题,简单写篇文章和大伙聊一下。
SpringSecurity WebFlux 过滤链生成源码分析
qq_39220528的博客
11-13 4465
概述 SpringSecurity主要采用建造者模式构造过滤器。
Spring MVC CORS 跨域实现源码详解与配置
- **Web.xml中的CorsFilter**:这是一种通过配置`<filter>`和`<filter-mapping>`元素来全局启用CORS的方法。通过`CorsFilter`,你可以设置允许的来源、HTTP方法、头部信息等,以便支持特定的跨域请求。 - **XML...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值