脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → Spring Security使用中Preflight请求和跨域问题

Spring Security使用中Preflight请求和跨域问题详解

 更新时间:2017年11月24日 09:38:32   作者:NULL  
这篇文章主要给大家介绍了关于Spring Security使用中Preflight请求和跨域问题的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。

Spring Security

Spring Security是能够为J2EE项目提供综合性的安全访问控制解决方案的安全框架。它依赖于Servlet过滤器。这些过滤器拦截进入请求,并且在应用程序处理该请求之前进行某些安全处理。

Spring Security对用户请求的拦截过程如下:

背景

在一个前后端分离开发的项目中,使用SpringSecurity做安全框架,用JWT来实现权限管理提升RESTful Api的安全性。首先遇到的就是跨域问题,但是在携带jwt请求过程中出现了服务端获取不到jwt情况。

跨域问题

在开发过程中遇到CORS (跨域资源共享) 的问题,简单的在服务器端设置了允许跨域访问,但是在携带jwt请求过程中出现

因为jwt是放在request header中,忽略了在跨域处理是加上允许自己定于的header字段

@Component
public class CorsFilter implements Filter {

 Logger logger= LoggerFactory.getLogger(CorsFilter.class);

 @Override
 public void init(FilterConfig filterConfig) throws ServletException {

 }

 @Override
 public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
  HttpServletRequest request= (HttpServletRequest) servletRequest;
  HttpServletResponse response= (HttpServletResponse) servletResponse;
  response.setHeader("Access-Control-Allow-Origin",request.getHeader("origin"));
  response.setHeader("Access-Control-Allow-Origin","*"); //允许跨域访问的域
  response.setHeader("Access-Control-Allow-Methods","POST,GET,OPTIONS,DELETE,PUT"); //允许使用的请求方法
  response.setHeader("Access-Control-Expose-Headers","*");
  response.setHeader("Access-Control-Allow-Headers", "x-requested-with,Cache-Control,Pragma,Content-Type,Authorization"); //允许使用的请求方法
  response.setHeader("Access-Control-Allow-Credentials","true");//是否允许请求带有验证信息
  filterChain.doFilter(servletRequest, servletResponse);
 }

 @Override
 public void destroy() {

 }
}

在网上搜索提到要对OPTIONS请求进行处理返回200,但是测试并没有起到效果

这里的OPTIONS请求实际上就是preflight请求

Preflight请求

但是问题依然没有解决,出现如下

google了之后才知道preflight 请求的相关信息

在我们调用后台接口的时候,经常会发现请求了两次,其实第一次发送的就是preflight request(预检请求)。

为什么需要preflight request

我们都知道浏览器的同源策略,就是出于安全考虑,浏览器会限制从脚本发起的跨域HTTP请求,像XMLHttpRequest和Fetch都遵循同源策略。

浏览器限制跨域请求一般有两种方式:

浏览器限制发起跨域请求 跨域请求可以正常发起,但是返回的结果被浏览器拦截了

一般浏览器都是第二种方式限制跨域请求,那就是说请求已到达服务器,并有可能对数据库里的数据进行了操作,但是返回的结果被浏览器拦截了,那么我们就获取不到返回结果,这是一次失败的请求,但是可能对数据库里的数据产生了影响。

为了防止这种情况的发生,规范要求,对这种可能对服务器数据产生副作用的HTTP请求方法,浏览器必须先使用OPTIONS方法发起一个预检请求,从而获知服务器是否允许该跨域请求:如果允许,就发送带数据的真实请求;如果不允许,则阻止发送带数据的真实请求。

浏览器将CORS请求分成两类:简单请求和非简单请求。

简单请求

1.请求方法是以下三种方法之一

  • HEAD
  • GET
  • POST

2.HTTP的头信息不超出以下几种字段

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同时满足上面两个条件,就属于非简单请求。

而浏览器对这两种请求的处理是不一样的。

非简单请求

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。

非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)

与cors相关更详细的看参考底部链接

解决方法

在我们后台用了Spring Security作为安全框架,并且没有对Preflight这个请求做出相应的处理,那么这个请求会导致权限管控失败。

处理起来也很简单,只需要在spring security配置类configure方法中增加放行preflight请求

 @Override
 protected void configure(HttpSecurity http) throws Exception {
  http
    // 由于使用的是JWT,我们这里不需要csrf
    .csrf().disable()
    // 基于token,所以不需要session
    .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
    .authorizeRequests()
    // 所有 / 的所有请求 都放行
    .requestMatchers(CorsUtils::isPreFlightRequest).permitAll() //对preflight放行
    .antMatchers("/*").permitAll()
    .antMatchers("/u").denyAll()
    .antMatchers("/article/**").permitAll()
    .antMatchers("/video/**").permitAll()
    .antMatchers("/api/**").permitAll()
    .antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**","/swagger-ui.html", "/webjars/**")
    .permitAll()
    .antMatchers("/manage/**").hasRole("ADMIN") // 需要相应的角色才能访问
    // 除上面外的所有请求全部需要鉴权认证
    .anyRequest().authenticated();

  // 禁用缓存
  http.headers().cacheControl();
  // 添加JWT filter
  http.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
  //添加未授权处理
  http.exceptionHandling().authenticationEntryPoint(getAuthenticationEntryPoint());
  //权限不足处理
  http.exceptionHandling().accessDeniedHandler(getAccessDeniedHandler());

 }

最终问题得到解决!

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。   

参考:

前端 | 浅谈preflight request
跨域资源共享 CORS 详解

您可能感兴趣的文章:

相关文章

  • SpringBoot超详细讲解Thymeleaf模板引擎

    SpringBoot超详细讲解Thymeleaf模板引擎

    这篇文章主要分享了Spring Boot整合使用Thymeleaf,Thymeleaf是新一代的Java模板引擎,类似于Velocity、FreeMarker等传统引擎,关于其更多相关内容,需要的小伙伴可以参考一下
    2022-07-07
  • Java多态的全面系统解析

    Java多态的全面系统解析

    多态就是指程序中定义的引用变量所指向的具体类型和通过该引用变量发出的方法调用在编程时并不确定,而是在程序运行期间才确定,即一个引用变量到底会指向哪个类的实例对象,该引用变量发出的方法调用到底是哪个类中实现的方法,必须在由程序运行期间才能决定
    2022-03-03
  • SpringBoot读取yaml文件操作详解

    SpringBoot读取yaml文件操作详解

    YAML 是 “YAML Ain’t Markup Language”(YAML 不是一种标记语言)的递归缩写。在开发的这种语言时,YAML 的意思其实是:“Yet Another Markup Language”(仍是一种标记语言),本文给大家介绍的非常详细,需要的朋友可以参考下
    2022-09-09
  • java 使用poi动态导出的操作

    java 使用poi动态导出的操作

    这篇文章主要介绍了java 使用poi动态导出的操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2020-12-12
  • Spring Boot容器加载时执行特定操作(推荐)

    Spring Boot容器加载时执行特定操作(推荐)

    这篇文章主要介绍了Spring Boot容器加载时执行特定操作及spring内置的事件,需要的朋友可以参考下
    2018-01-01
  • 从内存地址解析Java的static关键字的作用

    从内存地址解析Java的static关键字的作用

    这篇文章主要介绍了从内存地址解析Java的static关键字的作用,包括静态成员变量和静态方法等重要内容,需要的朋友可以参考下
    2015-10-10
  • IDEA tomcat启动项目方式

    IDEA tomcat启动项目方式

    这篇文章主要介绍了IDEA tomcat启动项目方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2025-03-03
  • Guava事件总线应用场景最佳实践

    Guava事件总线应用场景最佳实践

    这篇文章主要为大家介绍了Guava事件总线应用场景最佳实践,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2023-12-12
  • IDEA Ultimate2020.2版本配置Tomcat详细教程

    IDEA Ultimate2020.2版本配置Tomcat详细教程

    这篇文章主要介绍了IDEA Ultimate2020.2版本配置Tomcat教程,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2020-09-09
  • SpringCloud Bus消息总线的实现

    SpringCloud Bus消息总线的实现

    消息总线是一种通信工具,可以在机器之间互相传输消息、文件等,这篇文章主要介绍了SpringCloud Bus消息总线的实现,Spring cloud bus 通过轻量消息代理连接各个分布的节点,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2018-05-05

最新评论