那些遇到过的问题

使用 WebSecurity.ignoring() 时如何修复 CORS

Mil*_*osc 7 java spring spring-security jwt spring-boot

我正在通过 JWT 授权使用 Spring 构建一个平台。在网关服务中,我有用于解析令牌的自定义过滤器(基于 BasicAuthenticationFilter),但应该仅针对安全配置中标记的路由调用它,以便将.authenticated()任何人都可以访问的路由添加到WebSecurity.ignoring().

问题是添加路径以WebSecurity.ignoring()同时禁用 CORS 配置,并且OPTIONS请求不会返回Access-Control-*标头。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            // Auth service
            .antMatchers("/auth/login", "/auth/renew")
                .permitAll()
            .antMatchers("/auth/logout", "/auth/session/**")
                .authenticated()

            // User service
            .antMatchers(HttpMethod.POST, "/user/")
                .permitAll()
            .antMatchers( "/user/confirm/**", "/user/recover", "/user/validate/**")
                .permitAll()
            .antMatchers("/user/", "/user/change/**")
                .authenticated()

            // further part of routes...

    http
            .formLogin()
                .disable()
            .logout()
                .disable();

    http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

    http.addFilter(new JwtAuthenticationFilter(authenticationManager(), jwtKey));

    http.csrf().disable();

    http.cors();
}

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring()
            // Auth service
            .antMatchers("/auth/login", "/auth/renew")

            // User service
            .antMatchers(HttpMethod.POST, "/user/")
            .antMatchers( "/user/confirm/**", "/user/recover", "/user/validate/**")

            // further part of routes...
}

@Bean
CorsConfigurationSource corsConfigurationSource() {
    CorsConfiguration configuration = new CorsConfiguration();
    configuration.setAllowedOrigins(corsOrigins);
    configuration.setAllowedMethods(Collections.singletonList("*"));
    configuration.setAllowedHeaders(Collections.singletonList("*"));
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/**", configuration);
    return source;
}
Run Code Online (Sandbox Code Playgroud)

有没有办法只绕过某些路径的特定过滤器?

-解决了-

我通过启用WebMvc和添加 cors 配置解决了我的问题(之前的配置可能会被删除)。

@Override
public void addCorsMappings(CorsRegistry registry) {
    registry.addMapping("/**")
            .allowedOrigins("http://localhost:3000")
            .allowedMethods("*")
            .allowedHeaders("*")
            .allowCredentials(true)
            .maxAge(3600);
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

1405 次

最近记录:

6 年,10 月 前
Spring CORS没有'Access-Control-Allow-Origin'标题 68
更多相关链接
相关归档
Java HashMap的keySet()迭代顺序是否一致? 71
如何在使用基于spring注释的配置时配置MappingJacksonHttpMessageConverter? 30
我应该在Django Rest Framework中使用JWT或Basic Token身份验证吗? 19
Passport&JWT和谷歌/ Facebook战略 - 我如何结合JWT和谷歌/ Facebook战略? 10
在没有Spring Boot应用程序的情况下使用Spring Boot Actuator 8
Graphql与变异弹簧启动 8
spring boot OAuth2基于角色的授权 7
Spring Boot Oauth2 资源服务器 UserDetailsS​​ervice 7
XStreamMarshaller的漏洞警告 5
在 HTML 页面中显示用户角色(不带括号) 2
难疑归档
为什么减去这两次(在1927年)给出一个奇怪的结果? 6628
如何测试空的JavaScript对象? 2730
在jQuery中添加表行 2331
原子和非原子属性之间有什么区别? 1828
Python中的switch语句的替换? 1719
将(移动)子目录分离到单独的Git存储库中 1712
Python join:为什么是string.join(list)而不是list.join(string)? 1669
如何调试Node.js应用程序? 1531
varchar和nvarchar有什么区别? 1300
如何在悬停而不是单击时使Twitter Bootstrap菜单下拉列表 1146