在Spring Boot Security中,我无法使HTTPs与CORS一起正常工作。我已经在网络和StackOverFlow上搜索并尝试了不同的解决方案,但是到了我不知道该怎么做的地步。
我一直从Angular FrontEnd应用(Firefox)收到此错误: 来自另一个被阻止源的请求:相同的源策略阻止读取http://172.20.3.9:8080/api/auth/signin处的远程资源(原因:缺少CORS标头“ Access-Control-Allow-Origin”)。 [了解更多] 跨源阻止请求:相同的源策略不允许读取http://172.20.3.9:8080/api/auth/signin上的远程资源。 (原因:CORS请求失败)。
我有一个Bean定义,可以像这样在Tomcat中实现HTTP重定向:
@Bean
public TomcatServletWebServerFactory servletContainer(){
TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() {
@Override
protected void postProcessContext(Context context) {
SecurityConstraint securityConstraint = new SecurityConstraint();
securityConstraint.setUserConstraint("CONFIDENTIAL");
SecurityCollection collection = new SecurityCollection();
collection.addPattern("/*");
securityConstraint.addCollection(collection);
context.addConstraint(securityConstraint);
}
};
tomcat.addAdditionalTomcatConnectors(redirectConnector());
return tomcat;
}
private Connector redirectConnector(){
Connector connector = new Connector(TomcatServletWebServerFactory.DEFAULT_PROTOCOL);
connector.setScheme("http");
connector.setPort(8080);
connector.setSecure(false);
connector.setRedirectPort(8444);
return connector;
}
我还有一个WebSecurity类,它使用我的CORS过滤器扩展了WebSecurityConfigurerAdapter并覆盖了配置
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
CorsConfiguration config = new CorsConfiguration();
config.setAllowCredentials(true);
config.addAllowedOrigin("*");
config.addAllowedHeader("*");
config.addAllowedMethod("OPTIONS");
config.addAllowedMethod("GET");
config.addAllowedMethod("POST");
config.addAllowedMethod("PUT");
config.addAllowedMethod("DELETE");
source.registerCorsConfiguration("/**", config);
return new CorsFilter(source);
此方法现在已简化。我已经测试了许多配置:带有/不带有.cors(),channelSecure等。
protected void configure(HttpSecurity http) throws Exception {
http.cors().and().authorizeRequests().antMatchers("/api/auth/**")
.permitAll()
http.addFilterBefore(corsFilter(), ChannelProcessingFilter.class);
http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
我还尝试在控制器/方法中定义@CrossOrigin。我当前没有HTTPs重定向的configure方法工作正常,没有CORS问题:
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.exceptionHandling()
.authenticationEntryPoint(unauthorizedHandler)
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.antMatchers("/api/auth/**")
.permitAll()
.anyRequest().anonymous();
http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
}
所以我想问题是Spring Security和Tomcat中的HTTPS重定向的结合。有人可以帮我解决这个问题吗? 预先感谢,
答案 0 :(得分:0)
您需要做的就是创建以下类
@Configuration
public class WebConfiguration extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("*")
.allowedMethods("*");
}
}