前后端分离下spring security 跨域问题等

Posted liangmingming

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了前后端分离下spring security 跨域问题等相关的知识,希望对你有一定的参考价值。

最近在做一个项目,前后端分离,不可避免的遇到了跨域问题。起初是配置跨域:

@Configuration
public class CorsConfig extends WebMvcConfigurerAdapter {
private CorsConfiguration buildConfig() {
CorsConfiguration corsConfiguration = new CorsConfiguration();
corsConfiguration.addAllowedOrigin("*");
corsConfiguration.addAllowedHeader("*");
corsConfiguration.addAllowedMethod("*");
corsConfiguration.addExposedHeader("Authorization");
return corsConfiguration;
}

@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", buildConfig());
return new CorsFilter(source);
}

@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("*")
.allowCredentials(true)
.allowedMethods("GET", "POST", "DELETE", "PUT")
.maxAge(3600);
}
}
在测试时发现在spring security下这些跨域配置并没有生效

需要在springsecurity配置中加上cors()来开启跨域以及requestMatchers(CorsUtils::isPreFlightRequest).permitAll()来处理跨域请求中的preflight请求。

//开启跨域 cors()
http.cors().and().csrf().disable().authorizeRequests()
//处理跨域请求中的Preflight请求
.requestMatchers(CorsUtils::isPreFlightRequest).permitAll()
.antMatchers(HttpMethod.GET,"/hello/hello").permitAll()
.antMatchers("/oauth/login").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
//自定义登录页面
.loginPage("/oauth/login")
.and()
.logout()
.and()
.addFilter(new JWTLoginFilter(authenticationManager()))
.addFilter(new JWTAuthenticationFilter(authenticationManager()));

当jwt token无效过期等时请求将跳到你自定义的登录页面(默认是/login),基于前后端分离,我这里自定义了一个登陆请求,以restful风格返回给前端,前端可依据返回的code全局路由到真正的登录页面。

跨域解决了,然后坑又来了,一堆的/oauth/login请求是什么鬼???陷入死循环了。。。当你的token无效时,他将继续带着token请求/oauth/login,在这个请求时,又要开始判断他的token,反反复复。。。

所以,在token的校验中,当我们的请求是/oauth/login时,将请求放行

String header = request.getHeader(JwtTokenUtils.TOKEN_HEADER);

String requestURI = request.getRequestURI();
// 如果请求头中没有Authorization信息则直接放行了
if(header == null || !header.startsWith(JwtTokenUtils.TOKEN_PREFIX) || requestURI.equals("/oauth/login")){
chain.doFilter(request,response);
return;
}

以上是关于前后端分离下spring security 跨域问题等的主要内容,如果未能解决你的问题,请参考以下文章

vue + spring boot + spring security 前后端分离 携带 Cookie 登录实现 只写了个登录

手摸手,带你搭建前后端分离商城系统03 整合Spring Security token 实现方案,完成主业务登录

Sping Security前后端分离两种方案

Spring Boot前后端分离跨域问题

前后端分离架构下的跨域问题

spring security oauth2 认证端异常处理(基于前后分离统一返回json)