Spring Security中自定义cors配置及原理解析

更新时间：2024年10月08日 10:46:16 作者：兴趣广泛的程序猿

在Spring框架中,通过自定义CORS配置可根据实际情况调整URL的协议、主机、端口等,以适应"同源安全策略",配置原理涉及CorsConfigurer和CorsFilter,自定义配置需要注意@Configuration注解、方法名以及可能的@Autowired注解

一、为什么要自定义cors配置

在使用Spring框架时，Spring Security组件提供了简便的cors配置方案，使程序开发者可以快速的实现“同源安全策略”。关于cors，可以参数之前的一篇文章--关于Spring Security的CORS_springsecurity cors

由于cors涉及到URL 的协议（Protocol）、主机（Host）、端口（Port，这些东西在每个程序上的情况不同，所以一般情况下都是需要根据实际情况来定制适合的cors配置。

二、配置原理

我们可以先看下Spring Security组件的一个源码。

org.springframework.security.config.annotation.web.configurers.CorsConfigurer.class

    @Override
	public void configure(H http) {
		ApplicationContext context = http.getSharedObject(ApplicationContext.class);
		CorsFilter corsFilter = getCorsFilter(context);
		Assert.state(corsFilter != null, () -> "Please configure either a " + CORS_FILTER_BEAN_NAME + " bean or a "
				+ CORS_CONFIGURATION_SOURCE_BEAN_NAME + "bean.");
		http.addFilter(corsFilter);
	}
	private CorsFilter getCorsFilter(ApplicationContext context) {
		if (this.configurationSource != null) {
			return new CorsFilter(this.configurationSource);
		}
		boolean containsCorsFilter = context.containsBeanDefinition(CORS_FILTER_BEAN_NAME);
		if (containsCorsFilter) {
			return context.getBean(CORS_FILTER_BEAN_NAME, CorsFilter.class);
		}
		boolean containsCorsSource = context.containsBean(CORS_CONFIGURATION_SOURCE_BEAN_NAME);
		if (containsCorsSource) {
			CorsConfigurationSource configurationSource = context.getBean(CORS_CONFIGURATION_SOURCE_BEAN_NAME,
					CorsConfigurationSource.class);
			return new CorsFilter(configurationSource);
		}
		if (mvcPresent) {
			return MvcCorsFilter.getMvcCorsFilter(context);
		}
		return null;
	}

这段源码简单、清晰，两个方法，一个公有，一个私有。configure(H http)被外部调用，实现了两件事，获取一个corsFilter（过滤器）并把这个filter添加到传入的这个名为“http”的对象中。这里也刚好能看出Configurer和Filter的一些关系--configurer会在拿到filter后，通过addFilter(filter)方法将一个filter添加到HttpSecurity对象中。

再看下getCorsFilter(ApplicationContext context)方法，4个if分支，最终的任务就是new一个CorsFilter并返回。所以自定义cors配置时，可以选择的方法有很多，这里选择创建一个CorsConfigurationSource类型的Bean。这里的getBean方法参数是name和type。所以我们在创建这个Bean的时候，需要确保Bean的名称为“corsConfigurationSource”（CORS_CONFIGURATION_SOURCE_BEAN_NAME对应的字符串），不然这里的getBean会找不到我们自定义创建的CorsConfigurationSource。

三、自定义配置

@Configuration
public class SecurityConfig {
    /**
     * 跨域资源共享过滤器
     */
    @Autowired
    @Bean
    public CorsFilter corsFilter(UrlBasedCorsConfigurationSource configurationSource){
        return new CorsFilter(configurationSource);
    }
    /**
     * 跨域资源共享过滤器配置
     */
    @Bean
    public UrlBasedCorsConfigurationSource corsConfigurationSource(){
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.addAllowedOriginPattern("http://localhost*");
        source.registerCorsConfiguration("/**",corsConfiguration);
        return source;
    }
}

几个要注意的地方：

1、类名上方的@Configuration注解，这个是为了指定该类为配置类，Spring容器启动时，会调用带有@Bean注解的方法来生成对应实例，并将实例注册为与方法名相同的Bean，并管理起来。

2、方法名，第1点说了，注册的Bean名称是和方法名一致的，所以这里的方法名需要是“corsConfigurationSource”，不能自定义方法名。

3、上面代码中的corsFilter()方法，可以不写。因为从前面的Spring Security源码中可以看出，如果没有这个corsFilter的Bean，它也会自己new一个。如果要自定义corsFilter，同样要注意方法名。至于参数，如果有带，需要注意参数类型（参数名可以任意），并在方法名上方多带一个@Autowired注解，这个注解会自动找到类型为UrlBasedCorsConfigurationSource的Bean，并使用它。如果不带参数，那也可以用普通方法，先获取corsConfigurationSource()方法返回的对象，再以些为参数，new一个corsFilter对象。

到此这篇关于Spring Security中自定义cors配置的文章就介绍到这了,更多相关Spring Security cors配置内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

idea中使用git合并分支实践
这篇文章主要介绍了idea中使用git合并分支实践，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2023-03-03
介绍Java的大数类(BigDecimal)和八种舍入模式
在实际应用中，需要对更大或者更小的数进行运算和处理。Java在java.math包中提供的API类BigDecimal，用来对超过16位有效位的数进行精确的运算。本文将介绍Java中的大数类BigDecimal及其八种舍入模式，有需要的可以参考借鉴。
2016-08-08
Spring Boot项目集成UidGenerato的方法步骤
这篇文章主要介绍了Spring Boot项目集成UidGenerato的方法步骤，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2020-12-12
Java 反射机制实例详解
这篇文章主要介绍了Java 反射机制实例详解的相关资料,这里对java中反射机制进行了详细的分析，需要的朋友可以参考下
2017-09-09
SpringBoot 如何读取pom.xml中的值
这篇文章主要介绍了SpringBoot 如何读取pom.xml中的值，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2022-01-01
Java中获取Class对象的三种方式详解
本文介绍了Java中获取Class对象的三种常见方式：使用.class语法、使用Class.forName()方法以及使用.getClass()方法,需要的朋友可以参考下
2023-12-12
Java设计模式之桥接模式详解(Bridge Pattern)
桥接模式是一种结构型设计模式,旨在将抽象部分与其实现部分分离,从而使两者可以独立地变化,桥接模式通过组合关系代替继承关系,将抽象和实现解耦,使代码更具扩展性和维护性
2025-02-02
利用Java实现更改Word中的页面大小和页面方向
这篇文章主要为大家详细介绍了一种高效便捷的方法——通过Java应用程序，以编程方式更改Word中的页面大小和页面方向，感兴趣的可以了解一下
2023-03-03
SpringBoot处理接口幂等性的两种方法详解
接口幂等性处理算是一个非常常见的需求了，我们在很多项目中其实都会遇到。本文为大家总结了两个处理接口幂等性的两种常见方案，需要的可以参考一下
2022-06-06
聊聊DecimalFormat的用法及各符号的意义
这篇文章主要介绍了DecimalFormat的用法及各符号的意义，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-10-10