CrossOrigin注釋不適用於Spring Security
[英]CrossOrigin annotation doesn't work with spring security
問題描述
當我啟用spring-boot-starter-security依賴性時。 CORS支持無效。
這是我的SecurityConfiguration類:
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected AuthenticationManager authenticationManager() throws Exception {
return authentication -> {
// ...
};
}
@Override
protected void configure(final HttpSecurity http) throws Exception {
http.csrf()
// Disabling CSRF
.disable()
// Disabling Session Management
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.NEVER)
.and()
// Adding custom REST Authentication filter
.addFilterBefore(new RestAuthenticationFilter(authenticationManager()), LogoutFilter.class)
// Authorizing requests
.authorizeRequests()
.antMatchers("/", "/frontend/login")
.permitAll()
.antMatchers("/api/**", "/frontend/**")
.authenticated()
.antMatchers("/**")
.permitAll();
}
}
我的控制器類具有CrossOrigin注釋:
@CrossOrigin
@RequestMapping("/frontend")
@RestController
public class FrontEndController extends BaseController {
我可以使用自定義CORS過濾器處理CORS,但我只想使用一種注釋。
1 個解決方案
解決方案1
0 已采納 2016-02-02 06:33:46
我發現了兩種將CORS支持添加到啟用spring-security的spring-boot項目中的方法。 我們可以將spring-web CorsFilter添加到安全過濾器鏈中。 以下示例屬於基於令牌的身份驗證項目。 因此,我們使用了自定義的RestAuthenticationFilter。
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(final HttpSecurity http) throws Exception {
final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
final CorsConfiguration config = new CorsConfiguration();
config.addAllowedOrigin("*");
config.addAllowedHeader("*");
config.addAllowedMethod("GET");
config.addAllowedMethod("PUT");
config.addAllowedMethod("POST");
source.registerCorsConfiguration("/**", config);
http.csrf()
// Disabling CSRF
.disable()
// Disabling Session Management
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.NEVER)
.and()
// Adding spring-web CORS filter
.addFilterBefore(new CorsFilter(source), LogoutFilter.class)
// Adding custom REST Authentication filter
.addFilterBefore(new RestAuthenticationFilter(authenticationManager()), LogoutFilter.class)
// Authorizing requests
.authorizeRequests()
.antMatchers("/", "/frontend/login")
.permitAll()
.antMatchers("/api/**", "/frontend/**")
.authenticated()
.antMatchers("/**")
.permitAll();
}
}
但是在上面的示例中,控制器中的CrossOrigin注釋是多余的。 因此,我們應該能夠控制對spring-web層的CORS請求。 因此,我們可以允許CORS飛行前(OPTIONS HTTP方法)。
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(final HttpSecurity http) throws Exception {
http.csrf()
// Disabling CSRF
.disable()
// Disabling Session Management
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.NEVER)
.and()
// Adding custom REST Authentication filter
.addFilterBefore(new RestAuthenticationFilter(authenticationManager()), LogoutFilter.class)
// Authorizing requests
.authorizeRequests()
.antMatchers(HttpMethod.OPTIONS, "/**")
.permitAll()
.antMatchers("/", "/frontend/login")
.permitAll()
.antMatchers("/api/**", "/frontend/**")
.authenticated()
.antMatchers("/**")
.permitAll();
}
}
借助上述配置,我們可以同時使用@CrossOrigin批注和spring-security配置。
Spring Boot CORS 設置:CrossOrigin 注釋有效 addCorsMappings 無效
[英]Spring Boot CORS settings: CrossOrigin annotation works addCorsMappings doesn't
Springboot java @CrossOrigin無法正常運行,為什么應該運行額外的配置?
[英]Springboot java @CrossOrigin doesn't work as it should work, why must I do extra configurations when this annotation Is present?
Spring 安全性:拒絕訪問處理程序不起作用(xml 配置 + 控制器方法上的預授權注釋)
[英]Spring security : Access denied handler doesn't work (xml config + preauthorize annotation on controller method)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
@CrossOrigin 注釋無法編譯
Spring Boot CORS 設置:CrossOrigin 注釋有效 addCorsMappings 無效
春季安全。 安全注釋不起作用
注釋@CrossOrigin(“*”) 不起作用
Springboot java @CrossOrigin無法正常運行,為什么應該運行額外的配置?
Spring 安全性:拒絕訪問處理程序不起作用(xml 配置 + 控制器方法上的預授權注釋)
Spring Profile無法與Aspect注釋一起使用
Spring @ComponentScan注釋不起作用
如何在Spring 3中進行@CrossOrigin注釋?
Spring控制器上的Aop注釋不起作用
相關標簽