gateway 的跨域配置

对于单纯的 Spring cloud gateway ,解决办法是暴露一个CorsWebFilter的Bean:

	@Bean
	public CorsWebFilter corsWebFilter() {
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource (new PathPatternParser ());
		CorsConfiguration corsConfig = new CorsConfiguration ();

		// 允许所有请求方法
		corsConfig.addAllowedMethod ("*");
		// 允许所有域,当请求头
		corsConfig.addAllowedOrigin ("*");
		// 允许全部请求头
		corsConfig.addAllowedHeader ("*");
		// 允许携带 Cookie 等用户凭证
		corsConfig.setAllowCredentials (true);
		// 允许全部请求路径
		source.registerCorsConfiguration ("/**", corsConfig);
		
		return new CorsWebFilter (source);
	}

这个CorsWebFilter过滤器会被自动加入到 gateway 的过滤链中,实现对跨域options预检请求的正确响应。

另外插一嘴,spring官方给的跨域配置是在配置文件里面配置的,但是实测无效,上面介绍的配置有效。

但是对于 Spring security 以上配置就不在适用了,需要对Sping security进行单独的跨域配置,具体原因可看文末的分析。

解决办法

解决办法分两种

  1. 启用 Security 的跨域配置,手动指定 CorsConfigurationSource
  2. 配置一个 CorsConfigurationSource 的Bean,Security 自动完成注入

方法一

启用 Security 的跨域配置,手动指定 CorsConfigurationSource

	@Bean
	public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
		// 异常处理配置
		http.
			// 其他配置
			...
			// 重点在这儿!
			.and ()
			// 1. 开始跨域配置
			.cors ()
			// 2. 指定一个 CorsConfigurationSource`
			.configurationSource (corsConfigurationSource())
			// 其他配置
			.and ().csrf ().disable ();

		return http.build ();
	}

	// 跨域配置
	public CorsConfigurationSource corsConfigurationSource() {
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource (new PathPatternParser ());
		CorsConfiguration corsConfig = new CorsConfiguration ();

		// 允许所有请求方法
		corsConfig.addAllowedMethod ("*");
		// 允许所有域,当请求头
		corsConfig.addAllowedOrigin ("*");
		// 允许全部请求头
		corsConfig.addAllowedHeader ("*");
		// 允许携带 Authorization 头
		corsConfig.setAllowCredentials (true);
		// 允许全部请求路径
		source.registerCorsConfiguration ("/**", corsConfig);

		return source;
	}

方法二

上面是手动指定 CorsConfigurationSource,其实只要暴露一个 CorsConfigurationSource 的Bean,Spring Security 会自动完成跨域配置:

	@Bean
	public CorsConfigurationSource corsConfigurationSource() {
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource (new PathPatternParser ());
		CorsConfiguration corsConfig = new CorsConfiguration ();

		// 允许所有请求方法
		corsConfig.addAllowedMethod ("*");
		// 允许所有域,当请求头
		corsConfig.addAllowedOrigin ("*");
		// 允许全部请求头
		corsConfig.addAllowedHeader ("*");
		// 允许携带 Authorization 头
		corsConfig.setAllowCredentials (true);
		// 允许全部请求路径
		source.registerCorsConfiguration ("/**", corsConfig);

		return source;
	}

more

1. 为什么需要对Sping security进行单独的跨域配置?

首先必须明确几点:

  1. Spring cloud gateway的跨域都是通过CorsWebFilter这个过滤器来完成的。上面配置CorsConfigurationSource,也无非是让Spring Security利用CorsConfigurationSource自动构建出一个CorsWebFilter添加到它的过滤链中。
  2. 对于跨域的请求,浏览器会先发送一个options方法的跨域预检请求,询问服务器是否允许浏览器的跨域请求,如果浏览器响应了正确的响应头,浏览器才能继续发送跨域请求,否则就会报跨域错误。

我们知道Spring Security也是基于过滤器的,既然是过滤器那就会涉及到一个先后的问题,事实证明 gateway 的CorsWebFilter是在Spring Security的过滤链之后的。

一个options方法的跨域预检请求来到Spring Security的过滤链,Spring Security一看这个options请求没有携带用户凭证的Authorization头、Cookie或者token参数等信息,直接把这个请求给拦了下来,浏览器收不到正确的响应就会报跨域错误。所以如果使用了Sping security,就需要为Sping security配置跨域,让Sping security添加CorsWebFilter到自己的过滤链中,防止跨域预检请求被直接拒了。

已经配置了 Spring Security 跨域处理,就不需要 gateway 的跨域配置了?

Spring Security 的安全过滤链中的CorsWebFilter已经对跨域预见请求进行处理。

为啥方法二只要暴露一个 CorsConfigurationSource 的Bean就OK了?

看源码、看源码、看源码。

# spring cloud # gateway # spring # spring boot # java
Logo
向您推荐>>Eolink开发者社区

权威|前沿|技术|干货|国内首个API全生命周期开发者社区

更多推荐

ELK实现containerd的容器日志采集展示【基于logging的全栈监测】

企业级ELK Stack构建介绍

avatar 云原生

深入理解 Mocha 测试框架:从零实现一个 Mocha

前言什么是自动化测试自动化测试在很多团队中都是Devops环节中很难执行起来的一个环节,主要原因在于测试代码的编写工作很难抽象,99%的场景都需要和业务强绑定,而且写测试代码的编写工作量往往比编写实际业务代码的工作量更多。在一些很多业务场景中投入产出比很低,适合写自动化测试的应该是那些中长期业务以及一些诸如组件一样的基础库。自动化测试是个比较大的概念,其中分类也比较多,比如单元测试,端对端测试,集

avatar 云原生

(20200916 Solved)docker-compose up创建容器自动退出

问题描述如题,创建容器后自动退出了。并且docker start container无效解决方案原因是缺失了控制终端的配置,需要在docker-compose.yml中增加tty:true ,有时候这样也不行,需要再增加一个command:/bin/bash,命令不一定是这个,需要是一个不会退出的命令,然后用-d后台启动容器。Referencesdocker-compose启动容器后自动退出...

avatar 云原生