Spring Boot Security CORS
Spring Security URLのCORSフィルターに問題があります。 spring secに属するURL(ログイン/ログアウト)にAccess-Control-Allow-Originおよびその他の公開ヘッダーを設定したり、Spring Securityによってフィルターされたりしません。
構成は次のとおりです。
CORS:
@Configuration
@EnableWebMvc
public class MyWebMvcConfig extends WebMvcConfigurerAdapter {
********some irrelevant configs************
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/*").allowedOrigins("*").allowedMethods("GET", "POST", "OPTIONS", "PUT")
.allowedHeaders("Content-Type", "X-Requested-With", "accept", "Origin", "Access-Control-Request-Method",
"Access-Control-Request-Headers")
.exposedHeaders("Access-Control-Allow-Origin", "Access-Control-Allow-Credentials")
.allowCredentials(true).maxAge(3600);
}
}
セキュリティ:
@Configuration
@EnableWebSecurity
public class OAuth2SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.exceptionHandling().authenticationEntryPoint(authenticationEntryPoint).and()
.formLogin()
.successHandler(ajaxSuccessHandler)
.failureHandler(ajaxFailureHandler)
.loginProcessingUrl("/authentication")
.passwordParameter("password")
.usernameParameter("username")
.and()
.logout()
.deleteCookies("JSESSIONID")
.invalidateHttpSession(true)
.logoutUrl("/logout")
.logoutSuccessUrl("/")
.and()
.csrf().disable()
.anonymous().disable()
.authorizeRequests()
.antMatchers("/authentication").permitAll()
.antMatchers("/oauth/token").permitAll()
.antMatchers("/admin/*").access("hasRole('ROLE_ADMIN')")
.antMatchers("/user/*").access("hasRole('ROLE_USER')");
}
}
したがって、セキュリティでリッスンされていないURLにリクエストを行うと、CORSヘッダーが設定されます。 SpringセキュリティURL-設定されていません。
スプリングブート1.4.1
CorsRegistryを使用する代わりに、独自のCorsFilterを作成して、セキュリティ構成に追加できます。
カスタムCorsFilterクラス:
public class CorsFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) servletResponse;
HttpServletRequest request= (HttpServletRequest) servletRequest;
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Methods", "GET,POST,DELETE,PUT,OPTIONS");
response.setHeader("Access-Control-Allow-Headers", "*");
response.setHeader("Access-Control-Allow-Credentials", true);
response.setHeader("Access-Control-Max-Age", 180);
filterChain.doFilter(servletRequest, servletResponse);
}
@Override
public void destroy() {
}
}
セキュリティ設定クラス:
@Configuration
@EnableWebSecurity
public class OAuth2SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Bean
CorsFilter corsFilter() {
CorsFilter filter = new CorsFilter();
return filter;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.addFilterBefore(corsFilter(), SessionManagementFilter.class) //adds your custom CorsFilter
.exceptionHandling().authenticationEntryPoint(authenticationEntryPoint).and()
.formLogin()
.successHandler(ajaxSuccessHandler)
.failureHandler(ajaxFailureHandler)
.loginProcessingUrl("/authentication")
.passwordParameter("password")
.usernameParameter("username")
.and()
.logout()
.deleteCookies("JSESSIONID")
.invalidateHttpSession(true)
.logoutUrl("/logout")
.logoutSuccessUrl("/")
.and()
.csrf().disable()
.anonymous().disable()
.authorizeRequests()
.antMatchers("/authentication").permitAll()
.antMatchers("/oauth/token").permitAll()
.antMatchers("/admin/*").access("hasRole('ROLE_ADMIN')")
.antMatchers("/user/*").access("hasRole('ROLE_USER')");
}
}
オプション1(WebMvcConfigurer Beanを使用):
最初に使用したCORS設定は、Spring Bootで適切な方法ではありません。 WebMvcConfigurer Beanを登録する必要があります。参照 ここ 。
Spring Boot CORS構成の例:
@Configuration
@Profile("dev")
public class DevConfig {
@Bean
public WebMvcConfigurer corsConfigurer() {
return new WebMvcConfigurerAdapter() {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**").allowedOrigins("http://localhost:4200");
}
};
}
}
これにより、基本的な(セキュリティスターターなし)Spring BootアプリケーションのCORS構成が提供されます。 CORSサポートは、Spring Securityとは独立して存在することに注意してください。
Spring Securityを導入したら、CORSをセキュリティ構成に登録する必要があります。 Spring Securityは、既存のCORS設定を取得するのに十分スマートです。
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.cors().and()
....
オプション2(CorsConfigurationSource Beanを使用):
最初に説明したオプションは、Spring Securityを既存のアプリケーションに追加するという観点からです。 get-goからSpring Securityを追加する場合、 Spring Security Docs で説明されている方法には、CorsConfigurationSource Beanの追加が含まれます。
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
// by default uses a Bean by the name of corsConfigurationSource
.cors().and()
...
}
@Bean
CorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
configuration.setAllowedMethods(Arrays.asList("GET","POST"));
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
}
迅速なローカル開発に必要な場合は、このアノテーションをコントローラーに追加してください。 (必要に応じてコース変更の起源)
@CrossOrigin(origins = "http://localhost:4200", maxAge = 3600)
ReactベースのWebクライアントがあり、バックエンドREST APIがSpring Boot Ver 1.5.2を実行しています
localhost:8080で実行されているクライアントからのすべてのコントローラールート要求でCORSをすばやく有効にしたかった。セキュリティ設定内に、タイプFilterRegistrationBeanの@Beanを追加するだけで、簡単に機能するようになりました。
コードは次のとおりです。
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class AuthConfiguration extends WebSecurityConfigurerAdapter {
....
....
@Bean
public FilterRegistrationBean corsFilter() {
final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
CorsConfiguration config = new CorsConfiguration();
config.setAllowCredentials(true);
config.addAllowedOrigin(corsAllowedOrigin); // @Value: http://localhost:8080
config.addAllowedHeader("*");
config.addAllowedMethod("*");
source.registerCorsConfiguration("/**", config);
FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
bean.setOrder(0);
return bean;
}
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity
.authorizeRequests()
.antMatchers(HttpMethod.OPTIONS, "/**").permitAll() // **permit OPTIONS call to all**
....
}
....
....
}
Spring Bootを参照できます ここにドキュメント
同様の問題が発生しました。フロントエンドからReact running on http:// localhost:30 、SpringBootのバックエンドにリクエストを実行しようとしました http:// localhost:808 で実行すると、2つのエラーが発生しました。
アクセス制御許可オリジン
これをRestControllerに追加することで、非常に簡単に解決できました。
_@CrossOrigin(origins = ["http://localhost:3000"])
_これを修正した後、私はこのエラーを取得し始めました:応答の「Access-Control-Allow-Credentials」ヘッダーの値は「true」である必要があります
Access-Control-Allow-Credentials
これは次の2つの方法で回避できます。
_
allowCredentials = "true"_をCrossOrigin構成に追加する:@CrossOrigin(origins = ["http://localhost:3000"], allowCredentials = "true")フロントエンドリクエストのフェッチの資格情報オプションを変更します。基本的に、次のようにフェッチ呼び出しを実行する必要があります。
fetch('http://localhost:8080/your/api', { credentials: 'same-Origin' })
これがお役に立てば幸いです=)
インターセプターでもこれを実現できます。
例外を使用して、リクエストのライフサイクルが終了していることを確認します。
@ResponseStatus (
value = HttpStatus.NO_CONTENT
)
public class CorsException extends RuntimeException
{
}
次に、インターセプターで、すべてのOPTIONS要求にヘッダーを設定し、例外をスローします。
public class CorsMiddleware extends HandlerInterceptorAdapter
{
@Override
public boolean preHandle (
HttpServletRequest request,
HttpServletResponse response,
Object handler
) throws Exception
{
if (request.getMethod().equals("OPTIONS")) {
response.addHeader("Access-Control-Allow-Origin", "*");
response.addHeader("Access-Control-Allow-Credentials", "true");
response.addHeader("Access-Control-Allow-Methods","GET, POST, PUT, OPTIONS, DELETE");
response.addHeader("Access-Control-Allow-Headers", "DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,Authorization,If-Modified-Since,Cache-Control,Content-Type");
response.addHeader("Access-Control-Max-Age", "3600");
response.addHeader("charset", "utf-8");
throw new CorsException();
}
return super.preHandle(request, response, handler);
}
}
最後に、インターセプターをすべてのルートに適用します。
@Configuration
public class MiddlewareConfig extends WebMvcConfigurerAdapter
{
@Override
public void addInterceptors (InterceptorRegistry registry)
{
registry.addInterceptor(new CorsMiddleware())
.addPathPatterns("/**");
}
}
現在、セキュリティが有効になっている場合、OPTIONS要求はデフォルトでブロックされます。
Beanを追加するだけで、プリフライトリクエストが正しく処理されます。
@Bean
public IgnoredRequestCustomizer optionsIgnoredRequestsCustomizer() {
return configurer -> {
List<RequestMatcher> matchers = new ArrayList<>();
matchers.add(new AntPathRequestMatcher("/**", "OPTIONS"));
configurer.requestMatchers(new OrRequestMatcher(matchers));
};
}
アプリケーションによっては、潜在的な悪用の可能性があることに注意してください。
より良い解決策のために公開された問題: https://github.com/spring-projects/spring-security/issues/4448