springboot+spring security无法实现跨域未使用security时跨域：import org.slf4j.logger;import org.slf4j.loggerfactory;import org.springframework.beans.factory.annotation.value;import org.springframework.boot.autoconfigure.autoconfigurebefore;import org.springframework.context.annotation.configuration;import org.springframework.format.formatterregistry;import org.springframework.web.servlet.config.annotation.*;@configuration@autoconfigurebefore(securityconfig.class)public class mymvcconfigurer implements webmvcconfigurer { public void addcorsmappings(corsregistry registry){ logger.info("跨域已设置"); registry.addmapping("/**") .allowedorigins("*") .allowedmethods("*") .allowedheaders("*") .allowcredentials(true) .maxage(3600); }}
整合security时发现只用上述方法前后端分离时仍存在跨域问题，
解决方法如下：@configuration@autoconfigurebefore(swagger2configuration.class)@enablewebsecurity@enableglobalmethodsecurity(prepostenabled = true)@order(-1)public class securityconfig extends websecurityconfigureradapter { @override protected void configure(httpsecurity http) throws exception { http.formlogin() .loginprocessingurl("/user/login") .loginpage("/singin.html") .successhandler(moyuauthenticationsuccesshandler) .failurehandler(moyuauthenticationfailurehandler) .and() .apply(moyusocialsecurityconfig) .and() .rememberme() .tokenrepository(persistenttokenrepository()) .tokenvalidityseconds(3600*24*7) .userdetailsservice(userdetailsservice) .and() .authorizerequests() .antmatchers("/user/login","/login","/singin.html","**","/**").permitall() .anyrequest() .authenticated() .and() .cors() .and() .csrf().disable(); }}
重点加入代码： .and() .cors()//新加入 .and() .csrf().disable();
引用spring security 项目的跨域处理最近项目采用了前后端分离的框架，前端和后台接口没有部署到一个站点，出现了跨域问题，什么是跨域，这里就不再赘述，直接说解决办法。
spring 解决跨域的方式有很多，个人采用了crosfilter的方式具体代码如下：
@bean public corsfilter corsfilter() { final urlbasedcorsconfigurationsource urlbasedcorsconfigurationsource = new urlbasedcorsconfigurationsource(); final corsconfiguration corsconfiguration = new corsconfiguration(); corsconfiguration.setallowcredentials(true); corsconfiguration.addallowedorigin("*"); corsconfiguration.addallowedheader("*"); corsconfiguration.addallowedmethod("*"); urlbasedcorsconfigurationsource.registercorsconfiguration("/**", corsconfiguration); return new corsfilter(urlbasedcorsconfigurationsource); }
配置完成后，测试调用，报错401,依然不行。网上查资料得知，跨域请求会进行两次。具体流程见下图：
每次跨域请求，真正请求到达后端之前，浏览器都会先发起一个preflight request，请求方式为options 询问服务端是否接受该跨域请求，具体参数如下图：
但是该请求不能携带cookie和自己定义的header。
由于项目中引入了spring security ,而我使用的token传递方式是在header中使用authorization 字段,这样依赖spring security拦截到 preflight request 发现它没有携带token，就会报错401，没有授权。
解决这个问题很简单，可以使用以下配置让spring security 不校验preflight request 。
@override public void configure(httpsecurity http) throws exception { expressionurlauthorizationconfigurer<httpsecurity>.expressionintercepturlregistry registry = http.authorizerequests(); registry.requestmatchers(corsutils::ispreflightrequest).permitall();//让spring security放行所有preflight request }
再试就搞定了，但是后端直接配置支持跨域会导致两次请求。还使用另一种方式，使用nginx 转发一下请求也可以。
以上就是springboot+spring security无法实现跨域怎么解决的详细内容。