SpringBoot+Spring Security无法实现跨域怎么解决

SpringBoot+Spring Security无法实现跨域怎么解决

这篇文章主要介绍了SpringBoot+Spring Security无法实现跨域怎么解决的相关知识，内容详细易懂，操作简单快捷，具有一定借鉴价值，相信大家阅读完这篇SpringBoot+Spring Security无法实现跨域怎么解决文章都会有所收获，下面我们一起来看看吧。

SpringBoot+Spring Security无法实现跨域

未使用Security时跨域：

importorg.slf4j.Logger;importorg.slf4j.LoggerFactory;importorg.springframework.beans.factory.annotation.Value;importorg.springframework.boot.autoconfigure.AutoConfigureBefore;importorg.springframework.context.annotation.Configuration;importorg.springframework.format.FormatterRegistry;importorg.springframework.web.servlet.config.annotation.*;@Configuration@AutoConfigureBefore(SecurityConfig.class)publicclassMyMvcConfigurerimplementsWebMvcConfigurer{publicvoidaddCorsMappings(CorsRegistryregistry){LOGGER.info("跨域已设置");registry.addMapping("/**").allowedOrigins("*").allowedMethods("*").allowedHeaders("*").allowCredentials(true).maxAge(3600);}}

整合Security时发现只用上述方法前后端分离时仍存在跨域问题，

解决方法如下：

@Configuration@AutoConfigureBefore(Swagger2Configuration.class)@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled=true)@Order(-1)publicclassSecurityConfigextendsWebSecurityConfigurerAdapter{@Overrideprotectedvoidconfigure(HttpSecurityhttp)throwsException{http.formLogin().loginProcessingUrl("/user/login").loginPage("/singIn.html").successHandler(moyuAuthenticationSuccessHandler).failureHandler(moyuAuthenticationFailureHandler).and().apply(moyuSocialSecurityConfig).and().rememberMe().tokenRepository(persistentTokenRepository()).tokenValiditySeconds(3600*24*7).userDetailsService(userDetailsService).and().authorizeRequests().antMatchers("/user/login","/login","/singIn.html","**","/**").permitAll().anyRequest().authenticated().and().cors().and().csrf().disable();}}

重点加入代码：

.and().cors()//新加入.and().csrf().disable();

引用Spring Security 项目的跨域处理

最近项目采用了前后端分离的框架，前端和后台接口没有部署到一个站点，出现了跨域问题，什么是跨域，这里就不再赘述，直接说解决办法。

Spring 解决跨域的方式有很多，个人采用了Crosfilter的方式

具体代码如下：

@BeanpublicCorsFiltercorsFilter(){finalUrlBasedCorsConfigurationSourceurlBasedCorsConfigurationSource=newUrlBasedCorsConfigurationSource();finalCorsConfigurationcorsConfiguration=newCorsConfiguration();corsConfiguration.setAllowCredentials(true);corsConfiguration.addAllowedOrigin("*");corsConfiguration.addAllowedHeader("*");corsConfiguration.addAllowedMethod("*");urlBasedCorsConfigurationSource.registerCorsConfiguration("/**",corsConfiguration);returnnewCorsFilter(urlBasedCorsConfigurationSource);}

配置完成后，测试调用，报错401,依然不行。网上查资料得知，跨域请求会进行两次。具体流程见下图：

每次跨域请求，真正请求到达后端之前，浏览器都会先发起一个preflight request，请求方式为OPTIONS 询问服务端是否接受该跨域请求，具体参数如下图：

但是该请求不能携带cookie和自己定义的header。

由于项目中引入了Spring security ,而我使用的token传递方式是在header中使用authorization 字段,这样依赖Spring Security拦截到 preflight request 发现它没有携带token，就会报错401，没有授权。

解决这个问题很简单，可以使用以下配置

让Spring security 不校验preflight request 。

@Overridepublicvoidconfigure(HttpSecurityhttp)throwsException{ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistryregistry=http.authorizeRequests();registry.requestMatchers(CorsUtils::isPreFlightRequest).permitAll();//让Springsecurity放行所有preflightrequest}

再试就搞定了，但是后端直接配置支持跨域会导致两次请求。还使用另一种方式，使用Nginx 转发一下请求也可以。

关于“SpringBoot+Spring Security无法实现跨域怎么解决”这篇文章的内容就介绍到这里，感谢各位的阅读！相信大家对“SpringBoot+Spring Security无法实现跨域怎么解决”知识都有一定的了解，大家如果还想学习更多知识，欢迎关注恰卡编程网行业资讯频道。