Spring Security使用中Preflight请求和跨域问题详解

时间:2022-09-23 20:10:52

spring security

spring security是能够为j2ee项目提供综合性的安全访问控制解决方案的安全框架。它依赖于servlet过滤器。这些过滤器拦截进入请求,并且在应用程序处理该请求之前进行某些安全处理。

spring security对用户请求的拦截过程如下:

Spring Security使用中Preflight请求和跨域问题详解

背景

在一个前后端分离开发的项目中,使用springsecurity做安全框架,用jwt来实现权限管理提升restful api的安全性。首先遇到的就是跨域问题,但是在携带jwt请求过程中出现了服务端获取不到jwt情况。

跨域问题

在开发过程中遇到cors (跨域资源共享) 的问题,简单的在服务器端设置了允许跨域访问,但是在携带jwt请求过程中出现

Spring Security使用中Preflight请求和跨域问题详解

因为jwt是放在request header中,忽略了在跨域处理是加上允许自己定于的header字段

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
@component
public class corsfilter implements filter {
 
 logger logger= loggerfactory.getlogger(corsfilter.class);
 
 @override
 public void init(filterconfig filterconfig) throws servletexception {
 
 }
 
 @override
 public void dofilter(servletrequest servletrequest, servletresponse servletresponse, filterchain filterchain) throws ioexception, servletexception {
  httpservletrequest request= (httpservletrequest) servletrequest;
  httpservletresponse response= (httpservletresponse) servletresponse;
  response.setheader("access-control-allow-origin",request.getheader("origin"));
  response.setheader("access-control-allow-origin","*"); //允许跨域访问的域
  response.setheader("access-control-allow-methods","post,get,options,delete,put"); //允许使用的请求方法
  response.setheader("access-control-expose-headers","*");
  response.setheader("access-control-allow-headers", "x-requested-with,cache-control,pragma,content-type,authorization"); //允许使用的请求方法
  response.setheader("access-control-allow-credentials","true");//是否允许请求带有验证信息
  filterchain.dofilter(servletrequest, servletresponse);
 }
 
 @override
 public void destroy() {
 
 }
}

在网上搜索提到要对options请求进行处理返回200,但是测试并没有起到效果

这里的options请求实际上就是preflight请求

preflight请求

但是问题依然没有解决,出现如下

Spring Security使用中Preflight请求和跨域问题详解

google了之后才知道preflight 请求的相关信息

在我们调用后台接口的时候,经常会发现请求了两次,其实第一次发送的就是preflight request(预检请求)。

为什么需要preflight request

我们都知道浏览器的同源策略,就是出于安全考虑,浏览器会限制从脚本发起的跨域http请求,像xmlhttprequest和fetch都遵循同源策略。

浏览器限制跨域请求一般有两种方式:

浏览器限制发起跨域请求 跨域请求可以正常发起,但是返回的结果被浏览器拦截了

一般浏览器都是第二种方式限制跨域请求,那就是说请求已到达服务器,并有可能对数据库里的数据进行了操作,但是返回的结果被浏览器拦截了,那么我们就获取不到返回结果,这是一次失败的请求,但是可能对数据库里的数据产生了影响。

为了防止这种情况的发生,规范要求,对这种可能对服务器数据产生副作用的http请求方法,浏览器必须先使用options方法发起一个预检请求,从而获知服务器是否允许该跨域请求:如果允许,就发送带数据的真实请求;如果不允许,则阻止发送带数据的真实请求。

浏览器将cors请求分成两类:简单请求和非简单请求。

简单请求

1.请求方法是以下三种方法之一

  • head
  • get
  • post

2.http的头信息不超出以下几种字段

  • accept
  • accept-language
  • content-language
  • last-event-id
  • content-type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同时满足上面两个条件,就属于非简单请求。

而浏览器对这两种请求的处理是不一样的。

非简单请求

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是put或delete,或者content-type字段的类型是application/json。

非简单请求的cors请求,会在正式通信之前,增加一次http查询请求,称为"预检"请求(preflight)

与cors相关更详细的看参考底部链接

解决方法

在我们后台用了spring security作为安全框架,并且没有对preflight这个请求做出相应的处理,那么这个请求会导致权限管控失败。

处理起来也很简单,只需要在spring security配置类configure方法中增加放行preflight请求

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
@override
protected void configure(httpsecurity http) throws exception {
 http
   // 由于使用的是jwt,我们这里不需要csrf
   .csrf().disable()
   // 基于token,所以不需要session
   .sessionmanagement().sessioncreationpolicy(sessioncreationpolicy.stateless).and()
   .authorizerequests()
   // 所有 / 的所有请求 都放行
   .requestmatchers(corsutils::ispreflightrequest).permitall() //对preflight放行
   .antmatchers("/*").permitall()
   .antmatchers("/u").denyall()
   .antmatchers("/article/**").permitall()
   .antmatchers("/video/**").permitall()
   .antmatchers("/api/**").permitall()
   .antmatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**","/swagger-ui.html", "/webjars/**")
   .permitall()
   .antmatchers("/manage/**").hasrole("admin") // 需要相应的角色才能访问
   // 除上面外的所有请求全部需要鉴权认证
   .anyrequest().authenticated();
 
 // 禁用缓存
 http.headers().cachecontrol();
 // 添加jwt filter
 http.addfilterbefore(authenticationtokenfilterbean(), usernamepasswordauthenticationfilter.class);
 //添加未授权处理
 http.exceptionhandling().authenticationentrypoint(getauthenticationentrypoint());
 //权限不足处理
 http.exceptionhandling().accessdeniedhandler(getaccessdeniedhandler());
 
}

最终问题得到解决!

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对服务器之家的支持。   

参考:

前端 | 浅谈preflight request
跨域资源共享 CORS 详解

原文链接:https://segmentfault.com/a/1190000012117774