CORS的概念
CORS问题的关键在于,一个跨源请求会被拆分为两次,多一次OPTIONS,也就是说发送一个Get,将会有一个OPTIONS先发送到服务端,具体流程可参考标准定义。接下来描述的问题也只在于需要了解到这一步。
Spring Security
Spring Security的关键在于Filter,所有符合条件的请求,都会被DelegatingFilterProxyRegistrationBean所拦截,而真实被调用的Filter却是名称为springSecurityFilterChain(FilterChainProxy)的FilterChain所拦截。
服务端配置CORS
-
通过WebMvcConfigurerAdapter#addCorsMappings去配置
public class WebConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedHeaders("*") .allowedMethods("*") .allowedOrigins("*"); } } -
通过自定义Filter
@Bean public FilterRegistrationBean corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.addAllowedOrigin("*"); config.setAllowCredentials(true); config.addAllowedHeader("*"); config.addAllowedMethod("*"); source.registerCorsConfiguration("/**", config); FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source)); bean.setOrder(0); return bean; }
这两种方式实现的机制完全不一样,也就是产生作用的生命周期不一样。
- 方式一,WebMvcConfigurerAdapter的配置最终将会转换为RequestMappingHandlerMapping,而这个Handler最终是被DispatcherServlet调用,也就是说,方式一的配置将会在Servlet中被调用。
- 方式二,很容易理解,配置的Filter将会被springboot自动配置到Tomcat或其他web容器中。ServletContextInitializerBeans#addAdaptableBeans方法中,将自动查找spring容器中存在的Filter实现,并且根据@Order或Order来判断Filter的排序。
冲突
keycloak场景
前端已经通过javascript的接口,从keycloak验证并获得了token,keycloak作为单点登录系统,理论上是可以通过token登录并验证任何一个后端服务,但是,当按照文档上面的描述,正确配置springboot及security,后端依然无法通过token的验证。但当将前后端使用同一个IP和端口时,请求正常。
解决过程
- CORS同源配置。如上配置CORS,但请求依然。
- 打开浏览器debug,发现OPTIONS请求直接返回401,授权失败。此时如果先前已经了解CORS就不会产生疑问,CORS会将任何请求先切分为一个OPTIONS和一个原来的。
- 上一步表面OPTIONS请求被授权服务拦截,那么解决问题的方式就出来了。
解决方案
-
方案一,配置Spring security策略,不拦截OPTIONS请求
HttpSecurity#authorizeRequests().antMatchers(HttpMethod.OPTIONS).permitAll() 方案二,自定义CorsFilter,设置order为最高优先级或者其他,只需要优先级比Spring security的order高便好。
