如何在 Spring MVC 中为错误响应启用 CORS?

【问题标题】:How to enable CORS for Error Response in Spring MVC?如何在 Spring MVC 中为错误响应启用 CORS?
【发布时间】:2018-06-17 22:11:12
【问题描述】:

我正在开发应用程序,我将 Spring MVC 用于后端,将 Angular5 用于前端。我一直坚持实施 Auth2 安全层,包括跨域资源共享。我的 CORS 过滤器实现如下所示:

@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
@WebFilter("/*")
public class WebSecurityCorsFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse res = (HttpServletResponse) response;
        res.setHeader("Access-Control-Allow-Origin", "*");
        res.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT");
        res.setHeader("Access-Control-Max-Age", "3600");
        res.setHeader("Access-Control-Allow-Headers", "Authorization, Content-Type, Accept, x-requested-with, Cache-Control");


        if ("OPTIONS".equalsIgnoreCase(((HttpServletRequest) request).getMethod())) {
            res.setStatus(HttpServletResponse.SC_OK);
        } else {
            chain.doFilter(request, res);
        }

    }
    @Override
    public void destroy() {
    }
}

我的工作几乎正常,我能够获取 access_token 并使用它从 ResourcesServer 获取受保护的数据:

{"access_token":"4fcef1f8-4306-4047-9d4d-1c3cf74ecc44","token_type":"bearer","re​​fresh_token":"397016eb-dfb0-4944-a2e0-50c3bd07c250","expires_in":29, “范围”:“读取 写信任”}

Browser console screenshot

当我尝试使用过期令牌处理请求时,问题就开始了。在这种情况下,我无法通过 Angular 捕获正确的 ErrorResponeCode。而不是 401,我 Angular HttpClient 得到了状态为 0 的“未知错误”。

看起来问题出在 CORS 策略上,其中 ErrorResponse 不包含诸如 Access-Control-Allow-Origin (...) 之类的必要标头

无法加载http://localhost:8030/api/xxxx:否 'Access-Control-Allow-Origin' 标头出现在请求的 资源。因此不允许使用原点“http://localhost:8070” 使用权。响应的 HTTP 状态代码为 401。

ErrorResponse Headers - Screenshot

我已经搜索了如何在 Spring MVC 中为 ErorrResponse(InvalidTokenException 等)启用 CORS。我尝试了各种方法:accessDeniedHandler 和 setExceptionTranslator 但没有成功。我真的很努力自己找到解决方案,但我是 Spring 的初学者。我不确定这是否可能。

角度(更新)

@hrdkisback,这不是角度问题,无论如何这是我的代码:

@Injectable()

export class HttpInterceptorService implements HttpInterceptor {


    addToken(req: HttpRequest<any>, oauthService: AuthenticationService): HttpRequest<any> {

        if(oauthService.isTokenExist()){

            return req.clone({ setHeaders: { Authorization: 'Bearer ' + oauthService.getAccessToken() }})
        }

        return req;
    }


    intercept(req: HttpRequest<any>, next: HttpHandler): Observable<HttpSentEvent | HttpHeaderResponse | HttpProgressEvent | HttpResponse<any> | HttpUserEvent<any>> {

        let oauthService = this.inj.get(AuthenticationService);

        return next.handle(this.addToken(req,oauthService))

        .do((event: HttpEvent<any>) => {

            if (event instanceof HttpResponse) {

                // process successful responses here

            }
        }, (error: any) => { 

            if (error instanceof HttpErrorResponse) {

                // Error 

                console.log(error);
            }
        });

    }
}

【问题讨论】:

    标签: spring angular spring-mvc oauth-2.0 cors


    【解决方案1】:

    我遇到了同样的问题..我正在尝试使用 Angular 5 进行基本身份验证。 问题是您没有在错误响应中添加 CORS 标头。 这就是我所做的

    @Component
public class AuthEntryPoint extends BasicAuthenticationEntryPoint {

@Override
public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authEx)
  throws IOException, ServletException {
    response.addHeader("WWW-Authenticate", "Basic realm=" +getRealmName());
    response.addHeader("Access-Control-Allow-Origin", "http://localhost:4200");
    response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
    PrintWriter writer = response.getWriter();
    writer.println("HTTP Status 401 - " + authEx.getMessage());
    }
}

    这样就行了!

    【讨论】:

      【解决方案2】:

      在 ResourcesServer 配置级别添加我的 CORS 过滤器后问题解决了,如下所示:

      适合我的正确配置!

      @Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {


    @Override
        public void configure(HttpSecurity http) throws Exception {

            http
            .addFilterAfter(new WebSecurityCorsFilter(), CsrfFilter.class)
            ...
        }
   ....
}

      在我之前的配置中,我以相同的方式添加了过滤器,但在 MVC 安全配置的顶层,这是我问题的根源:

      导致我的问题的先前配置

      @Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {



    @Override
            public void configure(HttpSecurity http) throws Exception {

                http
                .addFilterAfter(new WebSecurityCorsFilter(), CsrfFilter.class)
                ...
            }
       ....
    }

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 2012-02-21
        • 2014-09-11
        • 2020-02-17
        • 2014-09-01
        • 2020-05-29
        • 1970-01-01
        • 2017-08-01
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode