Spring Security使用中Preflight請求和跨域問題詳解

更新時間：2017年11月24日 09:38:32 作者：NULL

這篇文章主要給大家介紹了關于Spring Security使用中Preflight請求和跨域問題的相關資料，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧。

Spring Security

Spring Security是能夠為J2EE項目提供綜合性的安全訪問控制解決方案的安全框架。它依賴于Servlet過濾器。這些過濾器攔截進入請求，并且在應用程序處理該請求之前進行某些安全處理。

Spring Security對用戶請求的攔截過程如下:

背景

在一個前后端分離開發(fā)的項目中，使用SpringSecurity做安全框架，用JWT來實現(xiàn)權限管理提升RESTful Api的安全性。首先遇到的就是跨域問題，但是在攜帶jwt請求過程中出現(xiàn)了服務端獲取不到jwt情況。

跨域問題

在開發(fā)過程中遇到CORS （跨域資源共享）的問題，簡單的在服務器端設置了允許跨域訪問，但是在攜帶jwt請求過程中出現(xiàn)

因為jwt是放在request header中，忽略了在跨域處理是加上允許自己定于的header字段

@Component
public class CorsFilter implements Filter {

 Logger logger= LoggerFactory.getLogger(CorsFilter.class);

 @Override
 public void init(FilterConfig filterConfig) throws ServletException {

 }

 @Override
 public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
  HttpServletRequest request= (HttpServletRequest) servletRequest;
  HttpServletResponse response= (HttpServletResponse) servletResponse;
  response.setHeader("Access-Control-Allow-Origin",request.getHeader("origin"));
  response.setHeader("Access-Control-Allow-Origin","*"); //允許跨域訪問的域
  response.setHeader("Access-Control-Allow-Methods","POST,GET,OPTIONS,DELETE,PUT"); //允許使用的請求方法
  response.setHeader("Access-Control-Expose-Headers","*");
  response.setHeader("Access-Control-Allow-Headers", "x-requested-with,Cache-Control,Pragma,Content-Type,Authorization"); //允許使用的請求方法
  response.setHeader("Access-Control-Allow-Credentials","true");//是否允許請求帶有驗證信息
  filterChain.doFilter(servletRequest, servletResponse);
 }

 @Override
 public void destroy() {

 }
}

在網(wǎng)上搜索提到要對OPTIONS請求進行處理返回200，但是測試并沒有起到效果

這里的OPTIONS請求實際上就是preflight請求

Preflight請求

但是問題依然沒有解決，出現(xiàn)如下

google了之后才知道preflight 請求的相關信息

在我們調用后臺接口的時候，經(jīng)常會發(fā)現(xiàn)請求了兩次，其實第一次發(fā)送的就是preflight request(預檢請求)。

為什么需要preflight request

我們都知道瀏覽器的同源策略，就是出于安全考慮，瀏覽器會限制從腳本發(fā)起的跨域HTTP請求，像XMLHttpRequest和Fetch都遵循同源策略。

瀏覽器限制跨域請求一般有兩種方式：

瀏覽器限制發(fā)起跨域請求跨域請求可以正常發(fā)起，但是返回的結果被瀏覽器攔截了

一般瀏覽器都是第二種方式限制跨域請求，那就是說請求已到達服務器，并有可能對數(shù)據(jù)庫里的數(shù)據(jù)進行了操作，但是返回的結果被瀏覽器攔截了，那么我們就獲取不到返回結果，這是一次失敗的請求，但是可能對數(shù)據(jù)庫里的數(shù)據(jù)產(chǎn)生了影響。

為了防止這種情況的發(fā)生，規(guī)范要求，對這種可能對服務器數(shù)據(jù)產(chǎn)生副作用的HTTP請求方法，瀏覽器必須先使用OPTIONS方法發(fā)起一個預檢請求，從而獲知服務器是否允許該跨域請求：如果允許，就發(fā)送帶數(shù)據(jù)的真實請求；如果不允許，則阻止發(fā)送帶數(shù)據(jù)的真實請求。

瀏覽器將CORS請求分成兩類：簡單請求和非簡單請求。

簡單請求

1.請求方法是以下三種方法之一

HEAD
GET
POST

2.HTTP的頭信息不超出以下幾種字段

Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type：只限于三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同時滿足上面兩個條件，就屬于非簡單請求。

而瀏覽器對這兩種請求的處理是不一樣的。

非簡單請求

非簡單請求是那種對服務器有特殊要求的請求，比如請求方法是PUT或DELETE，或者Content-Type字段的類型是application/json。

非簡單請求的CORS請求，會在正式通信之前，增加一次HTTP查詢請求，稱為"預檢"請求（preflight）

與cors相關更詳細的看參考底部鏈接

解決方法

在我們后臺用了Spring Security作為安全框架，并且沒有對Preflight這個請求做出相應的處理，那么這個請求會導致權限管控失敗。

處理起來也很簡單，只需要在spring security配置類configure方法中增加放行preflight請求

 @Override
 protected void configure(HttpSecurity http) throws Exception {
  http
    // 由于使用的是JWT，我們這里不需要csrf
    .csrf().disable()
    // 基于token，所以不需要session
    .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
    .authorizeRequests()
    // 所有 / 的所有請求 都放行
    .requestMatchers(CorsUtils::isPreFlightRequest).permitAll() //對preflight放行
    .antMatchers("/*").permitAll()
    .antMatchers("/u").denyAll()
    .antMatchers("/article/**").permitAll()
    .antMatchers("/video/**").permitAll()
    .antMatchers("/api/**").permitAll()
    .antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**","/swagger-ui.html", "/webjars/**")
    .permitAll()
    .antMatchers("/manage/**").hasRole("ADMIN") // 需要相應的角色才能訪問
    // 除上面外的所有請求全部需要鑒權認證
    .anyRequest().authenticated();

  // 禁用緩存
  http.headers().cacheControl();
  // 添加JWT filter
  http.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
  //添加未授權處理
  http.exceptionHandling().authenticationEntryPoint(getAuthenticationEntryPoint());
  //權限不足處理
  http.exceptionHandling().accessDeniedHandler(getAccessDeniedHandler());

 }

最終問題得到解決！

總結

以上就是這篇文章的全部內容了，希望本文的內容對大家的學習或者工作具有一定的參考學習價值，如果有疑問大家可以留言交流，謝謝大家對腳本之家的支持。

參考：

前端 | 淺談preflight request
跨域資源共享 CORS 詳解

您可能感興趣的文章:

SpringBoot超詳細講解Thymeleaf模板引擎
這篇文章主要分享了Spring Boot整合使用Thymeleaf，Thymeleaf是新一代的Java模板引擎，類似于Velocity、FreeMarker等傳統(tǒng)引擎，關于其更多相關內容，需要的小伙伴可以參考一下
2022-07-07
Java多態(tài)的全面系統(tǒng)解析
多態(tài)就是指程序中定義的引用變量所指向的具體類型和通過該引用變量發(fā)出的方法調用在編程時并不確定，而是在程序運行期間才確定，即一個引用變量到底會指向哪個類的實例對象，該引用變量發(fā)出的方法調用到底是哪個類中實現(xiàn)的方法，必須在由程序運行期間才能決定
2022-03-03
SpringBoot讀取yaml文件操作詳解
YAML 是 “YAML Ain’t Markup Language”（YAML 不是一種標記語言）的遞歸縮寫。在開發(fā)的這種語言時，YAML 的意思其實是：“Yet Another Markup Language”（仍是一種標記語言），本文給大家介紹的非常詳細，需要的朋友可以參考下
2022-09-09
java 使用poi動態(tài)導出的操作
這篇文章主要介紹了java 使用poi動態(tài)導出的操作，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧
2020-12-12
Spring Boot容器加載時執(zhí)行特定操作(推薦)
這篇文章主要介紹了Spring Boot容器加載時執(zhí)行特定操作及spring內置的事件,需要的朋友可以參考下
2018-01-01
從內存地址解析Java的static關鍵字的作用
這篇文章主要介紹了從內存地址解析Java的static關鍵字的作用,包括靜態(tài)成員變量和靜態(tài)方法等重要內容,需要的朋友可以參考下
2015-10-10
IDEA?tomcat啟動項目方式
這篇文章主要介紹了IDEA?tomcat啟動項目方式,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
2025-03-03
Guava事件總線應用場景最佳實踐
這篇文章主要為大家介紹了Guava事件總線應用場景最佳實踐,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步,早日升職加薪
2023-12-12
IDEA Ultimate2020.2版本配置Tomcat詳細教程
這篇文章主要介紹了IDEA Ultimate2020.2版本配置Tomcat教程,本文通過圖文并茂的形式給大家介紹的非常詳細，對大家的學習或工作具有一定的參考借鑒價值，需要的朋友可以參考下
2020-09-09
SpringCloud Bus消息總線的實現(xiàn)
消息總線是一種通信工具，可以在機器之間互相傳輸消息、文件等，這篇文章主要介紹了SpringCloud Bus消息總線的實現(xiàn)，Spring cloud bus 通過輕量消息代理連接各個分布的節(jié)點，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2018-05-05