Question

最近，我开始使用angularjs和spring mvc实现基于令牌的安全系统。这个想法如下： 1.访问/ user / authenticate以获取安全令牌并将令牌保存到本地存储 2.对于angularJS客户端发送的每个请求，使用拦截器为请求注入X-Auth-Token标头。

在我的Spring后端，我实现了AuthenticationTokenProcessingFilter和CustomAuthenticationEntryPoint。第一个用于从标头中提取令牌并检查它是否有效，第二个用于在未对请求进行身份验证时返回401未授权状态。

请查找有关我的后端代码的一些详细信息

AuthenticationController.java

@RestController
@RequestMapping(value="user")
public class AuthenticationController {

    @RequestMapping(value="authenticate", method = RequestMethod.POST)
    public ResponseEntity<?> login(@RequestParam("email") String email, 
        @RequestParam("password") String password) {
             //Check if user is valid and return token
        }
}

SecurityConfig.java

public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Autowired
UsersRepository usersRepo;

@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {...}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .addFilterBefore(
                    new AuthenticationTokenProcessingFilter(usersRepo),
                    UsernamePasswordAuthenticationFilter.class)
        .addFilterBefore(this.corsFilter(), UsernamePasswordAuthenticationFilter.class)
            .sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        .and()
            .csrf().disable().exceptionHandling()
        .and()
            .httpBasic()
            .authenticationEntryPoint(new CustomAuthenticationEntryPoint())
        .and()
            .authorizeRequests()
            .antMatchers(HttpMethod.POST, "/user/authenticate").permitAll()
            .antMatchers("/**").authenticated()
            .anyRequest().authenticated();
}

@Bean
public CORSFilter corsFilter() {
    return new CORSFilter();
}
}

CORSFilter.java

public class CORSFilter implements Filter {

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
        throws IOException, ServletException {
    HttpServletResponse response = (HttpServletResponse) res;
    response.setHeader("Access-Control-Allow-Origin", "*");
    response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT");
    response.setHeader("Access-Control-Max-Age", "3600");
    response.setHeader("Access-Control-Allow-Headers", "Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With, Origin, X-Auth-Token");
    response.addHeader("Access-Control-Expose-Headers", "X-Auth-Token");
    chain.doFilter(req, res);
}
}

现在我使用以下angularjs代码来查询不在防火墙后面的/ user / authenticate端点

return $http.post(baseUrl + 'user/authenticate', 'email='+username+'&password='+password,
      {
        headers : {
          'content-type' : 'application/x-www-form-urlencoded'
        }
      }
  );

当我使用上面的代码时，一切正常。但是，如果我从请求中删除headers参数，我的angularjs客户端发送一个OPTION请求（而不是POST请求 - 我想这与我的CORS过滤器有关），我的后端发送401 Unauthorized响应。

请您再详细说明为何会发生这种情况？

提前谢谢！

Answer 1

我认为我有一个类似的（相同的？）问题，我稍微调整了WebSecurityConfigurerAdapter::configure(HttpSecurity http)中的过滤器链来解决它。

我认为在您的情况下会发生的事情是浏览器发送OPTIONS请求以确定您的服务器是否允许CORS。 OPTIONS请求在您的过滤器链中处理，最终将匹配

.antMatchers("/**").authenticated()

现在您可能最终会进入CustomAuthenticationEntryPoint（）并返回401.

您可以添加：

.antMatchers(HttpMethod.OPTIONS, "/user/authenticate/").permitAll()

但是，我认为你之后仍然会遇到问题。当客户端现在想要访问其他资源时，必须在标头中发送令牌。很可能这会导致另一个不包含您的令牌的OPTIONS请求，因此您最终会遇到同样的问题。

所以我所做的是明确允许所有OPTIONS请求而不检查身份验证。

.antMatchers(HttpMethod.OPTIONS, "/**").permitAll()

现在你绕过你的安全过滤器，你将不会返回401.我认为这不会影响应用程序的安全性，只要你不在控制器中自己处理OPTIONS请求并允许某人访问关键数据。

Answer 2

OPTIONS请求是一个所谓的preflight请求：

保护资源免受无法跨域请求的影响在此规范存在之前，源自某些用户代理执行预检请求以确保资源知道这一点说明书

基本上，这意味着只要资源（后端服务器）在响应中（向客户端）提供OPTIONS和Origin，就会发出Access-Control-*请求。只要您的后端和客户端（webapp）位于不同的域下，您就需要CORS激活，例如后端位于domainA下，您的客户位于domainB下。即使domainA:80和domain:8080被视为不同的域名。

401发送获取用户令牌的请求时，由于CORS而未授权

2 个答案: