SpringBoot中使用Spring Security,需要在WebSecurityConfigurerAdapter和WebMvcConfigurer中同时开启跨域_mr_orange_klj的博客-CSDN博客

首先在WebMvcConfigurer中开启跨域

@Configurationpublic class WebConfig implements WebMvcConfigurer {     /**     * 允许跨域请求     * @param registry     */    @Override    public void addCorsMappings(CorsRegistry registry) {        registry.addMapping("/**")                .allowedOrigins("*")                .allowCredentials(true)                .allowedMethods("*");    } }

同时也需要在WebSecurityConfigurerAdapter中开启跨域

@Configuration@EnableWebSecuritypublic class SpringSecurityConfig extends WebSecurityConfigurerAdapter {     @Override    protected void configure(HttpSecurity http) throws Exception {        http.cors().and().csrf().disable();        ...    } }

原因:

虽然我们在WebMvcConfigurer中设置跨域,但是如果WebSecurityConfigurerAdapter中不设置http.cors(),会导致一个的问题:如果一个需要被spring security过滤器验证的请求,比如对url“/getInfo”的请求,如果这个请求没有通过验证,比如没有携带token或token不正确,导致没有给该请求发放authentication,那么这个请求会在后续的Authentication过滤器中被认定鉴权失败,直接返回response给客户端。这种情况下请求将不会交给WebMvcConfigurer的跨域过滤器,而WebMvcConfigurer的跨域过滤器会给response header中添加“Access-Control-Allow-Origin”字段,该字段表示服务器接收此Origin的跨域请求。由于该请求不会经过WebMvcConfigurer的过滤器,因此响应头中不会携带“Access-Control-Allow-Origin”字段,导致虽然请求正确在服务器处理了,也把响应发回给浏览器了,但是浏览器认为服务器不接受该地址的跨域请求,不会将response传递给页面脚本,并且提示该服务器禁止此Origin的跨域请求。

原网址: 访问
创建于: 2021-05-21 15:16:25
目录: default
标签: 无

请先后发表评论
  • 最新评论
  • 总共0条评论