CORS

Spring 框架提供 对 CORS 的一流支持。CORS 必须在 Spring Security 之前处理,因为预检请求不会包含任何 cookie(例如 JSESSIONID)。如果请求不包含任何 cookie 并且 Spring Security 处于首位,则该请求将确定用户未经身份验证(因为请求中没有 cookie)并拒绝它。

确保 CORS 首先处理的最简单方法是使用 CorsWebFilter。用户可以通过提供 CorsConfigurationSourceCorsWebFilter 与 Spring Security 集成。例如,以下将集成 Spring Security 中的 CORS 支持

  • Java

  • Kotlin

@Bean
CorsConfigurationSource corsConfigurationSource() {
	CorsConfiguration configuration = new CorsConfiguration();
	configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
	configuration.setAllowedMethods(Arrays.asList("GET","POST"));
	UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
	source.registerCorsConfiguration("/**", configuration);
	return source;
}
@Bean
fun corsConfigurationSource(): CorsConfigurationSource {
    val configuration = CorsConfiguration()
    configuration.allowedOrigins = listOf("https://example.com")
    configuration.allowedMethods = listOf("GET", "POST")
    val source = UrlBasedCorsConfigurationSource()
    source.registerCorsConfiguration("/**", configuration)
    return source
}

以下将禁用 Spring Security 中的 CORS 集成

  • Java

  • Kotlin

@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
	http
		// ...
		.cors(cors -> cors.disable());
	return http.build();
}
@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    return http {
        // ...
        cors {
            disable()
        }
    }
}