403 禁止 Spring Boot Web 套接字调用

Posted

技术标签:

【中文标题】403 禁止 Spring Boot Web 套接字调用【英文标题】:403 Forbidden Spring Boot Web Socket Call 【发布时间】:2016-03-06 19:21:53 【问题描述】:

我正在使用 Spring Boot 1.3.0.RELEASE。我的代码基于 Spring Boot 中使用 Stomp 和 SocketJS 的 websocket 入门指南。

当我从 localhost:8080 (Spring Server) 运行客户端时...当然可以。直到我尝试从不同的端口调用它,我才得到 403 Forbidden。我的 CorsFilter 设置如下。

Getting Started Web Sockets With Spring Boot

我的客户是 ....http://localhost:3000

我的 Spring Boot 服务器是 ...http://localhost:8080

我设置了我的 CorsFilter 以访问我的客户端...

CorsFilter

package hello;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class CorsFilter implements Filter 

    private final Logger log = LoggerFactory.getLogger(CorsFilter.class);

    public CorsFilter() 
        log.info("SimpleCORSFilter init");
    

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException 

        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        String clientOrigin = request.getHeader("origin");
        response.addHeader("Access-Control-Allow-Origin", clientOrigin);
        response.setHeader("Access-Control-Allow-Methods", "POST, GET,  DELETE, PUT");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers",
                "Origin, Accept, X-Requested-With, Content-Type, " +
                        "Access-Control-Request-Method, Access-Control-Request-Headers");

        if (request.getMethod().equals("OPTIONS")) 
            response.setStatus(HttpServletResponse.SC_OK);
         else 
            chain.doFilter(request, response);
        
    

    @Override
    public void init(FilterConfig filterConfig) 
    

    @Override
    public void destroy() 
    


请求标头

Accept:*/*
Accept-Encoding:gzip, deflate, sdch
Accept-Language:en-US,en;q=0.8
Connection:keep-alive
Host:localhost:8080
Origin:http://localhost:3000
Referer:http://localhost:3000/
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_2) AppleWebKit/537.36 (Khtml, like Gecko) Chrome/47.0.2526.73 Safari/537.36

响应标头

Access-Control-Allow-Credentials:true
Access-Control-Allow-Methods:POST, GET,  DELETE, PUT
Access-Control-Allow-Origin:http://localhost:3000
Access-Control-Max-Age:3600
Cache-Control:no-store, no-cache, must-revalidate, max-age=0
Content-Length:0
Date:Wed, 02 Dec 2015 13:59:25 GMT
Server:Apache-Coyote/1.1

【问题讨论】:

也许你错过了response.setHeader("Access-Control-Allow-Headers", "Origin, Accept, X-Requested-With, Content-Type, Access-Control-Request-Method, Access-Control-Request-Headers"); 我会试试的 不,我更新了我添加的内容。 尝试在您的 WebSocket 配置类 (AbstractWebSocketMessageBrokerConfigurer) 中的方法 registerStompEndpoints 添加 setAllowedOrigins("*")。例如registry.addEndpoint("/chat").setAllowedOrigins("*").withSockJS(); 【参考方案1】:

添加答案以防其他人遇到此问题。正如 cmets 中所建议的,您需要使用 docs 中描述的 setAllowedOrigins 方法。因此,假设 this 是您正在学习的教程,您最终会得到一个如下所示的配置类:

@Configuration
@EnableWebSocketMessageBroker
public class WebSocketConfig extends AbstractWebSocketMessageBrokerConfigurer 

  @Override
  public void configureMessageBroker(MessageBrokerRegistry config) 
    config.enableSimpleBroker("/your/topic");
    config.setApplicationDestinationPrefixes("/yourapp");
  

  @Override
  public void registerStompEndpoints(StompEndpointRegistry registry) 
    registry.addEndpoint("/your/endpoint").setAllowedOrigins("http://localhost:3000").withSockJS();
  


这将允许在 localhost:3000 上运行的 stomp 客户端订阅 /your/endpoint

【讨论】:

Spice 我可以在 Spring Boot 中为 websocket 和 http 使用单独的端口 @naila 在这里讨论配置你的 Spring Boot 应用程序以监听多个端口 - ***.com/questions/36357135/… 这仅适用于本地主机,当我调用托管在服务器上的 websocket(例如https://example.com/my-rest-app/websocket)时,我总是会收到 CORS 错误

以上是关于403 禁止 Spring Boot Web 套接字调用的主要内容,如果未能解决你的问题,请参考以下文章

Maven 构建:403 禁止

Spring Boot 安全性中的 HTTP 403 禁止错误

Spring boot api给出403禁止错误

使用 Spring Boot(VueJS 和 Axios 前端)禁止发布 403 帖子

即使禁用 csrf,Spring security 403 禁止错误也会不断发生

删除操作返回错误:出现意外错误(类型=禁止,状态=403)。禁止的