Spring boot + Spring security 跨域鑒權失敗卻報跨域問題

問題場景:

在spring securit配置類中配置了authenticationEntryPoint()當用戶嘗試訪問安全的REST資源而不提供任何憑據(jù)時陷嘴,將調(diào)用此方法發(fā)送401 響應濒析,然后使用postmam或者swagger都能正臣诟澹看見正確的響應信息,在網(wǎng)頁中卻出現(xiàn)了跨域問題

/**
     * permitAll匾南,會給沒有登錄的用戶適配一個AnonymousAuthenticationToken宋光,設置到SecurityContextHolder,方便后面的filter可以統(tǒng)一處理authentication
     * Spring Security相關的配置
     * 生命周期:在spring容器啟動時加載
     *
     * @param httpSecurity
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {

        // 搜尋匿名標記 url: @AnonymousAccess 篩選出HandlerMapping中url映射方法帶自定義注解 @AnonymousAccess 的url示括,進行過濾
        Map<RequestMappingInfo, HandlerMethod> handlerMethodMap = SpringContextHolder.getBean(RequestMappingHandlerMapping.class).getHandlerMethods();
        for (Map.Entry<RequestMappingInfo, HandlerMethod> infoEntry : handlerMethodMap.entrySet()) {
            HandlerMethod handlerMethod = infoEntry.getValue();
            if (null != handlerMethod.getMethodAnnotation(AnonymousAccess.class)) {
                httpSecurity.
                        authorizeRequests()
                        // 自定義匿名訪問所有url放行 : 允許匿名和帶權限以及登錄用戶訪問
                        .antMatchers(
                                HttpMethod.resolve(infoEntry.getKey().getMethodsCondition().getMethods().iterator().next().name()),
                                infoEntry.getKey().getPatternsCondition().getPatterns().toArray(new String[0])[0])
                        .permitAll();
            }
        }

        httpSecurity
                // 禁用 CSRF
                .csrf().disable()
                // 授權異常
                .exceptionHandling()
                .authenticationEntryPoint((httpServletRequest, httpServletResponse, e) -> {
                    // 當用戶嘗試訪問安全的REST資源而不提供任何憑據(jù)時,將調(diào)用此方法發(fā)送401 響應
                    httpServletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED, e == null ? "Unauthorized" : e.getMessage());
                })
                .accessDeniedHandler((httpServletRequest, httpServletResponse, e) -> {
                    //當用戶在沒有授權的情況下訪問受保護的REST資源時痢畜,將調(diào)用此方法發(fā)送403 Forbidden響應
                    httpServletResponse.sendError(HttpServletResponse.SC_FORBIDDEN, e.getMessage());
                })
                // 防止iframe 造成跨域
                .and()
                .headers()
                .frameOptions()
                .disable()
                // 不創(chuàng)建會話
                .and()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                //放行請求和添加過濾器
                .and()
                .authorizeRequests()
                // 所有請求都需要認證
                .anyRequest().authenticated()
                .and().apply(new SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity>() {
                                 @Override
                                 public void configure(HttpSecurity http) {
                                     http.addFilterBefore(new JwtTokenFilter(), UsernamePasswordAuthenticationFilter.class);
                                 }
                             }
        );

盡管我已經(jīng)配置了統(tǒng)一的跨域配置

   /**
     * CROS跨域請求處理方式
     *
     * @return
     */
    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        // 允許cookies跨域
        config.setAllowCredentials(true);
        // #允許向該服務器提交請求的URI垛膝,*表示全部允許,在SpringMVC中丁稀,如果設成*吼拥,會自動轉成當前請求頭中的Origin
        config.addAllowedOriginPattern("*");
        // #允許訪問的頭信息,*表示全部
        config.addAllowedHeader("*");
        // 預檢請求的緩存時間(秒),即在這個時間段里线衫,對于相同的跨域請求不會再預檢了
        config.setMaxAge(18000L);
        // 允許提交請求的方法類型凿可,*表示全部允許
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        source.registerCorsConfiguration("/**", config);

        return new CorsFilter(source);
    }

前端處理響應時卻出現(xiàn)跨域問題

Access to XMLHttpRequest at 'http://localhost:8081/user/detailInfo' from origin 'http://localhost:4200' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

思考:

首先回想跨域問題,其實我已經(jīng)設置跨域的配置授账,并且對于一般的請求枯跑,我已經(jīng)在Spring security 中進行處理不去對它進行處理(這塊也需要注意,是否進行了配置)白热,此時我的CORS 配置還沒有生效敛助,所以和 spring security 中使用的跨域需要設置新的變化,Spring Security 其實也是filter 鏈屋确,那就牽扯到 順序的問題

解決

/**
     * CROS跨域請求處理方式
     *
     * @return
     */
    @Bean
    public FilterRegistrationBean corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        // 允許cookies跨域
        config.setAllowCredentials(true);
        // #允許向該服務器提交請求的URI纳击,*表示全部允許,在SpringMVC中攻臀,如果設成*焕数,會自動轉成當前請求頭中的Origin
        config.addAllowedOriginPattern("*");
        // #允許訪問的頭信息,*表示全部
        config.addAllowedHeader("*");
        // 預檢請求的緩存時間(秒),即在這個時間段里茵烈,對于相同的跨域請求不會再預檢了
        config.setMaxAge(18000L);
        // 允許提交請求的方法類型抛杨,*表示全部允許
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean(new CorsFilter(source));
        // 代表這個過濾器在眾多過濾器中級別最高国撵,也就是過濾的時候最先執(zhí)行
        filterRegistrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE);
        return filterRegistrationBean;
    }

在跨域配置中把跨域配置設置為最高級別瞄沙,也就是最早執(zhí)行的忘嫉,就可以避免部分請求被框架攔截而沒有經(jīng)過跨域配置過濾器显蝌,關鍵代碼filterRegistrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE);

?著作權歸作者所有,轉載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末驱证,一起剝皮案震驚了整個濱河市码俩,隨后出現(xiàn)的幾起案子伪阶,更是在濱河造成了極大的恐慌纵东,老刑警劉巖粘招,帶你破解...
    沈念sama閱讀 221,430評論 6 515
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異偎球,居然都是意外死亡洒扎,警方通過查閱死者的電腦和手機辑甜,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 94,406評論 3 398
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來袍冷,“玉大人磷醋,你說我怎么就攤上這事『” “怎么了邓线?”我有些...
    開封第一講書人閱讀 167,834評論 0 360
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長煌恢。 經(jīng)常有香客問我骇陈,道長,這世上最難降的妖魔是什么瑰抵? 我笑而不...
    開封第一講書人閱讀 59,543評論 1 296
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任你雌,我火速辦了婚禮,結果婚禮上谍憔,老公的妹妹穿的比我還像新娘匪蝙。我一直安慰自己,他們只是感情好习贫,可當我...
    茶點故事閱讀 68,547評論 6 397
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布逛球。 她就那樣靜靜地躺著,像睡著了一般苫昌。 火紅的嫁衣襯著肌膚如雪颤绕。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 52,196評論 1 308
  • 城市分裂傳說
    那天祟身,我揣著相機與錄音奥务,去河邊找鬼。 笑死袜硫,一個胖子當著我的面吹牛氯葬,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播婉陷,決...
    沈念sama閱讀 40,776評論 3 421
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼帚称,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了秽澳?” 一聲冷哼從身側響起闯睹,我...
    開封第一講書人閱讀 39,671評論 0 276
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎担神,沒想到半個月后楼吃,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 46,221評論 1 320
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 38,303評論 3 340
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年孩锡,在試婚紗的時候發(fā)現(xiàn)自己被綠了酷宵。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 40,444評論 1 352
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡躬窜,死狀恐怖忧吟,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情斩披,我是刑警寧澤溜族,帶...
    沈念sama閱讀 36,134評論 5 350
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站垦沉,受9級特大地震影響煌抒,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜厕倍,卻給世界環(huán)境...
    茶點故事閱讀 41,810評論 3 333
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一寡壮、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧讹弯,春花似錦况既、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,285評論 0 24
  • 一樁弒父案棒仍,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至臭胜,卻和暖如春莫其,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背耸三。 一陣腳步聲響...
    開封第一講書人閱讀 33,399評論 1 272
  • 情欲美人皮
    我被黑心中介騙來泰國打工乱陡, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人仪壮。 一個月前我還...
    沈念sama閱讀 48,837評論 3 376
  • 代替公主和親
    正文 我出身青樓憨颠,卻偏偏與公主長得像,于是被迫代替她去往敵國和親积锅。 傳聞我的和親對象是個殘疾皇子爽彤,可洞房花燭夜當晚...
    茶點故事閱讀 45,455評論 2 359

推薦閱讀更多精彩內(nèi)容