一、為什么要自定義cors配置

        在使用Spring框架時(shí)，Spring Security組件提供了簡(jiǎn)便的cors配置方案，使程序開(kāi)發(fā)者可以快速的實(shí)現(xiàn)“同源安全策略”。關(guān)于cors，可以參數(shù)之前的一篇文章--關(guān)于Spring Security的CORS_springsecurity cors

        由于cors涉及到URL 的協(xié)議（Protocol）、主機(jī)（Host）、端口（Port，這些東西在每個(gè)程序上的情況不同，所以一般情況下都是需要根據(jù)實(shí)際情況來(lái)定制適合的cors配置。

二、配置原理

        我們可以先看下Spring Security組件的一個(gè)源碼。

        org.springframework.security.config.annotation.web.configurers.CorsConfigurer.class

    @Override
	public void configure(H http) {
		ApplicationContext context = http.getSharedObject(ApplicationContext.class);
		CorsFilter corsFilter = getCorsFilter(context);
		Assert.state(corsFilter != null, () -> "Please configure either a " + CORS_FILTER_BEAN_NAME + " bean or a "
				+ CORS_CONFIGURATION_SOURCE_BEAN_NAME + "bean.");
		http.addFilter(corsFilter);
	}
	private CorsFilter getCorsFilter(ApplicationContext context) {
		if (this.configurationSource != null) {
			return new CorsFilter(this.configurationSource);
		}
		boolean containsCorsFilter = context.containsBeanDefinition(CORS_FILTER_BEAN_NAME);
		if (containsCorsFilter) {
			return context.getBean(CORS_FILTER_BEAN_NAME, CorsFilter.class);
		}
		boolean containsCorsSource = context.containsBean(CORS_CONFIGURATION_SOURCE_BEAN_NAME);
		if (containsCorsSource) {
			CorsConfigurationSource configurationSource = context.getBean(CORS_CONFIGURATION_SOURCE_BEAN_NAME,
					CorsConfigurationSource.class);
			return new CorsFilter(configurationSource);
		}
		if (mvcPresent) {
			return MvcCorsFilter.getMvcCorsFilter(context);
		}
		return null;
	}

        這段源碼簡(jiǎn)單、清晰，兩個(gè)方法，一個(gè)公有，一個(gè)私有。configure(H http)被外部調(diào)用，實(shí)現(xiàn)了兩件事，獲取一個(gè)corsFilter（過(guò)濾器）并把這個(gè)filter添加到傳入的這個(gè)名為“http”的對(duì)象中。這里也剛好能看出Configurer和Filter的一些關(guān)系--configurer會(huì)在拿到filter后，通過(guò)addFilter(filter)方法將一個(gè)filter添加到HttpSecurity對(duì)象中。

        再看下getCorsFilter(ApplicationContext context)方法，4個(gè)if分支，最終的任務(wù)就是new一個(gè)CorsFilter并返回。所以自定義cors配置時(shí)，可以選擇的方法有很多，這里選擇創(chuàng)建一個(gè)CorsConfigurationSource類(lèi)型的Bean。這里的getBean方法參數(shù)是name和type。所以我們?cè)趧?chuàng)建這個(gè)Bean的時(shí)候，需要確保Bean的名稱(chēng)為“corsConfigurationSource”（CORS_CONFIGURATION_SOURCE_BEAN_NAME對(duì)應(yīng)的字符串），不然這里的getBean會(huì)找不到我們自定義創(chuàng)建的CorsConfigurationSource。

三、自定義配置

@Configuration
public class SecurityConfig {
    /**
     * 跨域資源共享過(guò)濾器
     */
    @Autowired
    @Bean
    public CorsFilter corsFilter(UrlBasedCorsConfigurationSource configurationSource){
        return new CorsFilter(configurationSource);
    }
    /**
     * 跨域資源共享過(guò)濾器配置
     */
    @Bean
    public UrlBasedCorsConfigurationSource corsConfigurationSource(){
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.addAllowedOriginPattern("http://localhost*");
        source.registerCorsConfiguration("/**",corsConfiguration);
        return source;
    }
}

        幾個(gè)要注意的地方：

1、類(lèi)名上方的@Configuration注解，這個(gè)是為了指定該類(lèi)為配置類(lèi)，Spring容器啟動(dòng)時(shí)，會(huì)調(diào)用帶有@Bean注解的方法來(lái)生成對(duì)應(yīng)實(shí)例，并將實(shí)例注冊(cè)為與方法名相同的Bean，并管理起來(lái)。

2、方法名，第1點(diǎn)說(shuō)了，注冊(cè)的Bean名稱(chēng)是和方法名一致的，所以這里的方法名需要是“corsConfigurationSource”，不能自定義方法名。

3、上面代碼中的corsFilter()方法，可以不寫(xiě)。因?yàn)閺那懊娴腟pring Security源碼中可以看出，如果沒(méi)有這個(gè)corsFilter的Bean，它也會(huì)自己new一個(gè)。如果要自定義corsFilter，同樣要注意方法名。至于參數(shù)，如果有帶，需要注意參數(shù)類(lèi)型（參數(shù)名可以任意），并在方法名上方多帶一個(gè)@Autowired注解，這個(gè)注解會(huì)自動(dòng)找到類(lèi)型為UrlBasedCorsConfigurationSource的Bean，并使用它。如果不帶參數(shù)，那也可以用普通方法，先獲取corsConfigurationSource()方法返回的對(duì)象，再以些為參數(shù)，new一個(gè)corsFilter對(duì)象。

到此這篇關(guān)于Spring Security中自定義cors配置的文章就介紹到這了,更多相關(guān)Spring Security cors配置內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論