2. 程式人生 > >Spring Boot Security跨域訪問 cors

Spring Boot Security跨域訪問 cors

阿新 發佈:2019-01-11

使用Spring Security 在Boot 專案中,實現前後端分離的跨域訪問,只需要簡單的配置即可。

未使用Security 的Boot 專案

在未使用Spring Security 的Boot 專案中,只需要在 Application.java 中新增如下程式碼即可

@Bean
public WebMvcConfigurer corsConfigurer() {
    return new WebMvcConfigurerAdapter() {
        @Override
        public void addCorsMappings(CorsRegistry registry)
 
 {
            registry.addMapping("/**")
                    .allowedOrigins("*")
                    .allowedMethods("PUT", "DELETE", "GET", "POST", "OPTIONS")
                    .allowedHeaders("*")
                    .exposedHeaders("access-control-allow-headers",
                            "access-control-allow-methods"
 
,
                            "access-control-allow-origin",
                            "access-control-max-age",
                            "X-Frame-Options")
                    .allowCredentials(true).maxAge(3600);
        }
    };

}

或者單獨以Config 的形式

@Configuration
public class WebConfig extends
 
 WebMvcConfigurerAdapter {

	@Override
  public void addCorsMappings(CorsRegistry registry) {
      registry.addMapping("/**")
              .allowedOrigins("*")
              .allowedMethods("PUT", "DELETE", "GET", "POST", "OPTIONS")
              .allowedHeaders("*")
              .exposedHeaders("access-control-allow-headers",
                      "access-control-allow-methods",
                      "access-control-allow-origin",
                      "access-control-max-age",
                      "X-Frame-Options")
              .allowCredentials(true).maxAge(3600);
  }
}

使用Security 的情況

使用Security 時,為了讓所有介面都支援跨域,以及支援自定義的 請求方式 (GET POST PUT 等)。只需要增加如下配置:

/**
 * Security 配置
 *
 * @author xuefeihu
 */
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {


    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) {
        auth.authenticationProvider(loginAuthenticationProvider);
        auth.authenticationProvider(tokenAuthenticationProvider);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            // 開啟跨域
            .cors().and()

            .exceptionHandling()
            .authenticationEntryPoint(this.authenticationEntryPoint)
            .and()
            .sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
            .authorizeRequests()
            .antMatchers('/api/login').permitAll()
            .and()
            .addFilterBefore(buildTokenAuthenticationProcessingFilter(), UsernamePasswordAuthenticationFilter.class);
    }

}

使用Security開啟允許iframe巢狀

使用上面的配置,當前端頁面發生巢狀時,會響應如下響應頭,從而不可以巢狀頁面。

在這裡插入圖片描述

此時只需要禁用 X-Frame-Options 頭即可,如下所示:

/**
 * Security 配置
 *
 * @author xuefeihu
 */
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 開啟允許iframe 巢狀
        http.headers().frameOptions().disable();

        http.csrf().disable()
            // 開啟跨域
            .cors().and()

            .exceptionHandling()
            .authenticationEntryPoint(this.authenticationEntryPoint)
            .and()
            .sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
            .authorizeRequests()
            .antMatchers('/api/login').permitAll()
            .and()
            .addFilterBefore(buildTokenAuthenticationProcessingFilter(), UsernamePasswordAuthenticationFilter.class);
    }

}

相關推薦

Spring Boot Security訪問 cors

使用Spring Security 在Boot 專案中,實現前後端分離的跨域訪問,只需要簡單的配置即可。 未使用Security 的Boot 專案 在未使用Spring Security 的Boot 專案中,只需要在 Application.java 中新增如

spring boot允許訪問

package com.test.springboot.config; import org.springframework.context.annotation.Bean; import org.s

Spring Boot配置訪問策略

1. 引言 我們在開發過程中通常因為不同應用之間的介面呼叫或者應用之間介面整合時經常會遇到跨域問題, 導致無法正常獲取介面資料,那麼什麼是跨域? 跨域的解決辦法是什麼? 下面結合Spring Boot相關的專案應用實戰, 詳解說明跨域的解決方案。 1.1

spring-boot 全域性配置

什麼是跨域問題?       跨域,指的是瀏覽器不能執行其他網站的指令碼。它是由瀏覽器的同源策略造成的,是瀏覽器對 JavaScript 施加的安全限制。 什麼是同源? 所謂同源是指,域名,協議,埠均相同 http://www.wzhu.tk

Spring Boot 解決問題

一、@CrossOrigin註解方式 Controller method CORS configuration 這裡我們在users對映的方法getUserList上面加上@CrossOrigin @CrossOrigin @RequestMapping(valu

spring boot 設定規則

@Configuration public class CrossOriginConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) {

Spring Boot實現

跨域攔截器:CrossOriginFilter.java package com.dirk.doorlock.controller.filter; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import ja

Spring Boot 允許請求、自定義請求頭

1:禁止跨域請求 Response to preflight request doesn’t pass access control check: No ‘Access-Control-Allow-O

spring boot controller處理

spring boot controller跨域處理 類和方法上添加註解@CrossOrigin import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfig

spring boot 配置

spring boot 跨域 import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.HttpServletResponse; import java.io.IOE

解決angular+spring boot問題

  產生跨域訪問的情況主要是因為請求的發起者與請求的接受者1、域名不同;2、埠號不同   下面給出詳細步驟: 如果要用到Cookie,那麼需要在前端設定.withCredentials=true 在後端寫一個配置類CorsConfig,這個類繼承WebMvcConfigu

Spring boot Ajax 問題

This @CrossOrigin annotation enables cross-origin requests only for this specific method. By default, its allows all origins, all headers, the HTTP method

webapi訪問cors

success bsp uget mvc bag cti host register value 新建mvc和webapi應用程序,對應的域名和端口號分別是:http://localhost:24101/ 和 http://localhost:24159/ 在webapi項

訪問CORS

上次研究了一下利用Heroku app寫了一個webservice,供Salesforce Lightning fetch通過apex呼叫,後來由於只是讀取資料,所以提出要改成直接在js裡呼叫webserivce, 不通過Apex, 這裡就涉及到一個跨域訪問的問題。   對大佬而言這麼簡單的問題我研

Spring-Boot v2.0.5 設定訪問

在@Configuration註解下的類中新增如下配置 @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfig

go、spring boot、vert.x 用CORS解決

go gin 使用github.com/gin-contrib/cors package main import "github.com/gin-gonic/gin" import "github.com/gin-contrib/cors" func main() {

spring boot 伺服器端設定允許訪問

import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.H

ASP.NET MVC & WebApi 中實現Cors來讓Ajax可以訪問 (轉載)

詳細 簡介 part bsp bob 打印 不能 res user 什麽是Cors? CORS是一個W3C標準,全稱是"跨域資源共享"(Cross-origin resource sharing)。它允許瀏覽器向跨源服務器,發出XMLHttpRequest請求,從而克服了

訪問CORS

基本 支持 oar 技術分享 過程 ets attribute 響應 api CORS:定義 2014年1月16日,W3C的Web應用工作組(Web Applications Working Group)和Web應用安全工作組(Web AppSec)聯合發布了跨源資

基於CORS的GeoServer訪問策略

由於 pro sse servlet 頭信息 targe 腳本 org web.xml GeoServer的跨域訪問問題,有多種解決方法,本文介紹一種基於CORS的GeoServer跨域訪問方法。 CORS簡介 CORS是一個W3C標準,全稱是"跨域資源共享"(Cros