为 OPTIONS Http 方法禁用 Spring Security
是否可以为一种 HTTP 方法禁用 Spring Security?
我们有一个 Spring REST 应用程序,其服务需要将授权令牌附加到 http 请求的标头中。我正在为它编写一个 JS 客户端并使用 JQuery 发送 GET/POST 请求。该应用程序使用此过滤器代码启用了 CORS。
doFilter(....) {
HttpServletResponse httpResp = (HttpServletResponse) response;
httpResp.setHeader("Access-Control-Allow-Origin", "*");
httpResp.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
httpResp.setHeader("Access-Control-Max-Age", "3600");
Enumeration<String> headersEnum = ((HttpServletRequest) request).getHeaders("Access-Control-Request-Headers");
StringBuilder headers = new StringBuilder();
String delim = "";
while (headersEnum.hasMoreElements()) {
headers.append(delim).append(headersEnum.nextElement());
delim = ", ";
}
httpResp.setHeader("Access-Control-Allow-Headers", headers.toString());
}
但是当 JQuery 发送 CORS 的 OPTIONS 请求时,服务器会以 Authorization Failed 令牌进行响应。显然 OPTIONS 请求缺少授权令牌。那么是否可以让 OPTIONS 从 Spring 安全配置中逃脱安全层?
如果您使用基于注释的安全配置文件 (@EnableWebSecurity & @Configuration),您可以在 configure() 方法中执行类似以下操作,以允许 Spring Security 允许 OPTION 请求而无需身份验证对于给定的路径:
@Override
protected void configure(HttpSecurity http) throws Exception
{
http
.csrf().disable()
.authorizeRequests()
.antMatchers(HttpMethod.OPTIONS,"/path/to/allow").permitAll()//allow CORS option calls
.antMatchers("/resources/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.httpBasic();
}
允许上下文中的所有选项:
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**");
}
你试过这个
您可以使用多个元素为不同的 URL 集定义不同的访问要求,但它们将按列出的顺序进行评估,并且将使用第一个匹配项。因此,您必须将最具体的匹配项放在顶部。您还可以添加方法属性以将匹配限制为特定的 HTTP 方法(GET、POST、PUT 等)。
<http auto-config="true">
<intercept-url pattern="/client/edit" access="isAuthenticated" method="GET" />
<intercept-url pattern="/client/edit" access="hasRole('EDITOR')" method="POST" />
</http>
上面的意思是你需要选择要拦截的url模式和你想要的方法
<intercept-url pattern="/client/edit" access="hasRole('EDITOR')" method="POST, OPTIONS" /> 这样的东西。正确的 ?
如果有人正在寻找使用 Spring Boot 的简单解决方案。只需添加一个额外的bean:
@Bean
public IgnoredRequestCustomizer optionsIgnoredRequestsCustomizer() {
return configurer -> {
List<RequestMatcher> matchers = new ArrayList<>();
matchers.add(new AntPathRequestMatcher("/**", "OPTIONS"));
configurer.requestMatchers(new OrRequestMatcher(matchers));
};
}
请注意,根据您的应用程序,这可能会为潜在的漏洞打开它。
已打开的问题以获得更好的解决方案:https://github.com/spring-projects/spring-security/issues/4448
IgnoredRequestCustomizer 自 Spring Boot 2 起已弃用。
不推荐接受的答案,你不应该这样做。下面是 Spring Security 和 jQuery 的 ajax 的 CORS 设置的正确方法。
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.authenticationProvider(userAuthenticationProvider);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.cors() // <-- This let it use "corsConfigurationSource" bean.
.and()
.authorizeRequests()
.anyRequest().authenticated()
.and()
...
}
@Bean
protected CorsConfigurationSource corsConfigurationSource() {
final CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(Collections.singletonList("http://localhost:3000"));
configuration.setAllowedMethods(Arrays.asList("HEAD", "GET", "POST", "PUT", "DELETE", "PATCH"));
// NOTE: setAllowCredentials(true) is important,
// otherwise, the value of the 'Access-Control-Allow-Origin' header in the response
// must not be the wildcard '*' when the request's credentials mode is 'include'.
configuration.setAllowCredentials(true);
// NOTE: setAllowedHeaders is important!
// Without it, OPTIONS preflight request will fail with 403 Invalid CORS request
configuration.setAllowedHeaders(Arrays.asList(
"Authorization",
"Accept",
"Cache-Control",
"Content-Type",
"Origin",
"ajax", // <-- This is needed for jQuery's ajax request.
"x-csrf-token",
"x-requested-with"
));
final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
}
从 jQuery 方面。
$.ajaxSetup({
// NOTE: Necessary for CORS
crossDomain: true,
xhrFields: {
withCredentials: true
}
});
如果您使用的是基于注释的安全配置,那么您应该通过在配置中调用 .cors() 将 spring 的 CorsFilter 添加到应用程序上下文中,如下所示:
@Override
protected void configure(HttpSecurity http) throws Exception
{
http
.csrf().disable()
.authorizeRequests()
.antMatchers("/resources/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.httpBasic()
.and()
.cors();
}
在某些情况下,使用 WebSecurityConfigurerAdapter 解决 cors 问题时需要将 configuration.setAllowedHeaders(Arrays.asList("Content-Type")); 添加到 corsConfigurationSource()。
关注公众号
不定期副业成功案例分享
想领先一步获取最新的外包任务吗?
立即订阅相似问题
- 如何使跨域资源共享 (CORS) 发布请求正常工作
- AngularJS 对跨域资源执行 OPTIONS HTTP 请求
- Spring Security 中 Role 和 GrantedAuthority 的区别
- CORS:当凭据标志为真时,无法在 Access-Control-Allow-Origin 中使用通配符
- 为什么我的 JavaScript 代码会收到“请求的资源上不存在 'Access-Control-Allow-Origin' 标头”错误,而 Postman 却没有?
- 允许 OPTIONS HTTP 方法用于 oauth/token 请求
- Access-Control-Allow-Headers 不允许请求标头字段 Access-Control-Allow-Headers
- 请求标头字段 Access-Control-Allow-Headers 本身在预检响应中是不允许的
- 如何在 Spring Boot + Spring Security 应用程序中配置 CORS?
- Spring Security 过滤器链是如何工作的
