CORS
Spring Framework 提供了 一流的 CORS 支持。CORS 必须在 Spring Security 之前进行处理,因为预检请求不会包含任何 Cookie(例如 JSESSIONID)。如果请求不包含任何 Cookie 并且 Spring Security 首先处理,则请求将判定用户未经身份验证(因为请求中没有 Cookie)并拒绝它。
确保 CORS 首先处理的最简单方法是使用 CorsWebFilter。用户可以通过提供 CorsConfigurationSource 将 CorsWebFilter 与 Spring Security 集成。例如,以下示例演示了如何在 Spring Security 中集成 CORS 支持。
-
Java
-
Kotlin
@Bean
UrlBasedCorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
configuration.setAllowedMethods(Arrays.asList("GET","POST"));
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}@Bean
fun corsConfigurationSource(): UrlBasedCorsConfigurationSource {
val configuration = CorsConfiguration()
configuration.allowedOrigins = listOf("https://example.com")
configuration.allowedMethods = listOf("GET", "POST")
val source = UrlBasedCorsConfigurationSource()
source.registerCorsConfiguration("/**", configuration)
return source
}以下示例演示了如何在 Spring Security 中禁用 CORS 集成。
-
Java
-
Kotlin
@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http
// ...
.cors(cors -> cors.disable());
return http.build();
}@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
// ...
cors {
disable()
}
}
}
