新手上路，请多包涵

我对 spring 安全 URL 的 CORS 过滤器有问题。它没有设置 Access-Control-Allow-Origin 和 URL 上属于 spring sec（登录/注销）或由 Spring Security 过滤的其他公开标头。

以下是配置。

CORS：

 @Configuration
@EnableWebMvc
public class MyWebMvcConfig extends WebMvcConfigurerAdapter {
********some irrelevant configs************
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/*").allowedOrigins("*").allowedMethods("GET", "POST", "OPTIONS", "PUT")
                .allowedHeaders("Content-Type", "X-Requested-With", "accept", "Origin", "Access-Control-Request-Method",
                        "Access-Control-Request-Headers")
                .exposedHeaders("Access-Control-Allow-Origin", "Access-Control-Allow-Credentials")
                .allowCredentials(true).maxAge(3600);
    }
}

安全：

 @Configuration
@EnableWebSecurity
public class OAuth2SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .exceptionHandling().authenticationEntryPoint(authenticationEntryPoint).and()
                .formLogin()
                    .successHandler(ajaxSuccessHandler)
                    .failureHandler(ajaxFailureHandler)
                    .loginProcessingUrl("/authentication")
                    .passwordParameter("password")
                    .usernameParameter("username")
                .and()
                .logout()
                    .deleteCookies("JSESSIONID")
                    .invalidateHttpSession(true)
                    .logoutUrl("/logout")
                    .logoutSuccessUrl("/")
                .and()
                .csrf().disable()
                .anonymous().disable()
                .authorizeRequests()
                .antMatchers("/authentication").permitAll()
                .antMatchers("/oauth/token").permitAll()
                .antMatchers("/admin/*").access("hasRole('ROLE_ADMIN')")
                .antMatchers("/user/*").access("hasRole('ROLE_USER')");
    }
}

因此，如果我向安全性未侦听的 url 发出请求 - 设置了 CORS 标头。 Spring 安全 URL - 未设置。

春季启动 1.4.1

原文由 user1935987 发布，翻译遵循 CC BY-SA 4.0 许可协议

spring spring-boot spring-mvc spring-security cors

阅读 606

2 个回答

得票最新

社区维基

发布于
2022-11-08

✓ 已被采纳

您可以编写自己的 CorsFilter 并将其添加到您的安全配置中，而不是使用 CorsRegistry。

自定义 CorsFilter 类：

 public class CorsFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        HttpServletRequest request= (HttpServletRequest) servletRequest;

        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "GET,POST,DELETE,PUT,OPTIONS");
        response.setHeader("Access-Control-Allow-Headers", "*");
        response.setHeader("Access-Control-Allow-Credentials", true);
        response.setHeader("Access-Control-Max-Age", 180);
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {

    }
}

安全配置类：

 @Configuration
@EnableWebSecurity
public class OAuth2SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Bean
    CorsFilter corsFilter() {
        CorsFilter filter = new CorsFilter();
        return filter;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .addFilterBefore(corsFilter(), SessionManagementFilter.class) //adds your custom CorsFilter
                .exceptionHandling().authenticationEntryPoint(authenticationEntryPoint).and()
                .formLogin()
                    .successHandler(ajaxSuccessHandler)
                    .failureHandler(ajaxFailureHandler)
                    .loginProcessingUrl("/authentication")
                    .passwordParameter("password")
                    .usernameParameter("username")
                .and()
                .logout()
                    .deleteCookies("JSESSIONID")
                    .invalidateHttpSession(true)
                    .logoutUrl("/logout")
                    .logoutSuccessUrl("/")
                .and()
                .csrf().disable()
                .anonymous().disable()
                .authorizeRequests()
                .antMatchers("/authentication").permitAll()
                .antMatchers("/oauth/token").permitAll()
                .antMatchers("/admin/*").access("hasRole('ROLE_ADMIN')")
                .antMatchers("/user/*").access("hasRole('ROLE_USER')");
    }
}

原文由 mika 发布，翻译遵循 CC BY-SA 3.0 许可协议

社区维基

发布于
2022-11-08

选项 1（使用 WebMvcConfigurer bean）：

您开始使用的 CORS 配置不是使用 Spring Boot 执行此操作的正确方法。你需要注册一个 WebMvcConfigurer bean。参考这里。

示例 Spring Boot CORS 配置：

 @Configuration
@Profile("dev")
public class DevConfig {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**").allowedOrigins("http://localhost:4200");
            }
        };
    }

}

这将为基本（无安全启动器）Spring Boot 应用程序提供 CORS 配置。请注意，CORS 支持独立于 Spring Security 存在。

引入 Spring Security 后，您需要将 CORS 注册到您的安全配置中。 Spring Security 足够聪明，可以获取您现有的 CORS 配置。

 @Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .cors().and()
         ....

选项 2（使用 CorsConfigurationSource bean）：

我描述的第一个选项实际上是从将 Spring Security 添加到现有应用程序的角度来看的。如果您从一开始就添加 Spring Security，则 Spring Security Docs 中概述的方式涉及添加 CorsConfigurationSource bean。

 @EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // by default uses a Bean by the name of corsConfigurationSource
            .cors().and()
            ...
    }

    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
        configuration.setAllowedMethods(Arrays.asList("GET","POST"));
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }
}

原文由 The Gilbert Arenas Dagger 发布，翻译遵循 CC BY-SA 3.0 许可协议

撰写回答

你尚未登录，登录后可以

和开发者交流问题的细节
关注并接收问题和回答的更新提醒
参与内容的编辑和改进，让解决方法与时俱进

推荐问题

Spring Boot 安全 CORS

选项 1（使用 WebMvcConfigurer bean）：

选项 2（使用 CorsConfigurationSource bean）：

你尚未登录，登录后可以

Spring中的两个疑惑?

Spring Security jwt 验证问题？

java里怎么解析mybatis返回的单条map类型集合？

Spring 2 到 Spring 3 迁移后 Redis 报错 NOAUTH 错误的原因及解决？

WSL里的Ubuntu系统开发Spring Boot报错Project build error: Non-readable POM ？

一个类实现接口并且继承父类使用Spring aop 失效?

如何在HTML中使用AJAX跨域访问服务器文件？

Stack Overflow 翻译

Spring Boot 安全 CORS

选项 1（使用 WebMvcConfigurer bean）：

选项 2（使用 CorsConfigurationSource bean）：

你尚未登录，登录后可以

Spring中的两个疑惑?

Spring Security jwt 验证问题？

java里怎么解析mybatis返回的单条map类型集合？

Spring 2 到 Spring 3 迁移后 Redis 报错 NOAUTH 错误的原因及解决？

WSL里的Ubuntu系统开发Spring Boot报错Project build error: Non-readable POM ？

一个类实现接口并且继承父类 使用Spring aop 失效?

如何在HTML中使用AJAX跨域访问服务器文件？

Stack Overflow 翻译

一个类实现接口并且继承父类使用Spring aop 失效?