在 CORS spring security + webFlux 中启用通配符

Question

在 CORS spring security + webFlux 中启用通配符

bre*_*Dev 4 spring-security spring-boot spring-webflux

我在使用 spring webFlux 制作的项目中启用了 spring security + CORS。我的问题是我们接受例如来自：http://localhost:4200 的请求。如何让 CORS 接受来自http://*.localhost:4200 的请求，如http://a.localhost:4200、http://b.localhost:4200？

我的 CORS 配置如下所示：

@Bean
@Order(Ordered.HIGHEST_PRECEDENCE)
public CorsWebFilter corsFilter() {
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true);

    config.setAllowedOrigins(corsConfigData.getAllowedOrigins());
    config.setAllowedHeaders(corsConfigData.getAllowedHeaders());
    config.setAllowedMethods(corsConfigData.getAllowedMethods());

    source.registerCorsConfiguration("/**", config);
    return new CorsWebFilter(source);
}

Run Code Online (Sandbox Code Playgroud)

你有什么想法？？？

Answer 1

bre*_*Dev 9

我想我找到了一个有效的解决方案。这只是意味着创建一个自定义 CorsConfiguration，覆盖 checkOrigin 方法并创建一个自定义匹配器来正确解释http://*.localhost:4200。代码如下所示：

public class RegexCorsConfiguration extends CorsConfiguration {

private List<String> allowedOriginsRegexes = new ArrayList<>();

/**
 * Check the origin of the request against the configured allowed origins.
 * @param requestOrigin the origin to check
 * @return the origin to use for the response, possibly {@code null} which
 * means the request origin is not allowed
 */
public String checkOrigin(String requestOrigin) {
    if (!StringUtils.hasText(requestOrigin)) {
        return null;
    }

    if (this.allowedOriginsRegexes.isEmpty()) {
        return null;
    }

    if (this.allowedOriginsRegexes.contains(ALL)) {
        if (getAllowCredentials() != Boolean.TRUE) {
            return ALL;
        } else {
            return requestOrigin;
        }
    }

    for (String allowedOriginRegex : this.allowedOriginsRegexes) {
        if (createMatcher(requestOrigin, allowedOriginRegex).matches()) {
            return requestOrigin;
        }
    }

    return null;
}

public void setAllowedOriginRegex(List<String> allowedOriginsRegexes) {
    this.allowedOriginsRegexes = allowedOriginsRegexes;
}

private Matcher createMatcher(String origin, String allowedOrigin) {
    String regex = this.parseAllowedWildcardOriginToRegex(allowedOrigin);
    Pattern pattern = Pattern.compile(regex);
    return pattern.matcher(origin);
}

private String parseAllowedWildcardOriginToRegex(String allowedOrigin) {
    String regex = allowedOrigin.replace(".", "\\.");
    return regex.replace("*", ".*");
}}

Run Code Online (Sandbox Code Playgroud)

当然，从这样的配置类中注入 corsConfig：

    @Bean
@Order(Ordered.HIGHEST_PRECEDENCE)
public CorsWebFilter corsFilter() {
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    RegexCorsConfiguration regexCorsConfiguration = new RegexCorsConfiguration();
    regexCorsConfiguration.setAllowCredentials(true);

    regexCorsConfiguration.setAllowedOriginRegex(corsConfigData.getAllowedOrigins());
    regexCorsConfiguration.setAllowedHeaders(corsConfigData.getAllowedHeaders());
    regexCorsConfiguration.setAllowedMethods(corsConfigData.getAllowedMethods());

    source.registerCorsConfiguration("/**", regexCorsConfiguration);
    return new CorsWebFilter(source);
}

Run Code Online (Sandbox Code Playgroud)

springboot 的好解决方案。我只建议在 setAllowedOriginRegex() 内部编译一次模式并保留 Pattern 对象列表而不是字符串，因为这种编译有点性能消耗，并且每次需要处理请求时一遍又一遍地这样做并不是一个好主意。否则谢谢你的好主意:o) (2认同)

归档时间：	6 年，9 月前
查看次数：	4986 次
最近记录：	4 年，7 月前