Java 如何在使用WebSecurity.ignoring()时修复CORS
我正在通过JWT授权使用Spring构建一个平台。 在网关服务中,我有用于解析令牌的自定义筛选器(基于BasicAuthenticationFilter),但它应该仅对安全配置中标记为Java 如何在使用WebSecurity.ignoring()时修复CORS,java,spring,spring-boot,spring-security,jwt,Java,Spring,Spring Boot,Spring Security,Jwt,我正在通过JWT授权使用Spring构建一个平台。 在网关服务中,我有用于解析令牌的自定义筛选器(基于BasicAuthenticationFilter),但它应该仅对安全配置中标记为.authenticated()的路由调用,因此任何人都可以访问的路由被添加到WebSecurity.ignoring() 问题在于,将路径添加到WebSecurity.ignering()也会对其禁用CORS配置,OPTIONS请求不会返回Access Control-*头 @覆盖 受保护的无效配置(HttpSe
.authenticated()WebSecurity.ignoring()WebSecurity.ignering()OPTIONSAccess Control-*@覆盖
受保护的无效配置(HttpSecurity http)引发异常{
http.authorizeRequests()
//身份验证服务
.antMatchers(“/auth/login”,“/auth/renew”)
.permitAll()
.antMatchers(“/auth/logout”、“/auth/session/**”)
.authenticated()
//用户服务
.antMatchers(HttpMethod.POST,“/user/”)
.permitAll()
.antMatchers(“/user/confirm/**”、“/user/recover”、“/user/validate/**”)
.permitAll()
.antMatchers(“/user/”,“/user/change/**”)
.authenticated()
//路线的另一部分。。。
http
.formLogin()
.disable()
.logout()
.disable();
http.sessionManagement().sessionCreationPolicy(sessionCreationPolicy.STATELESS);
addFilter(新的JwtAuthenticationFilter(authenticationManager(),jwtKey));
http.csrf().disable();
http.cors();
}
@凌驾
public void configure(WebSecurity web)引发异常{
忽略
//身份验证服务
.antMatchers(“/auth/login”,“/auth/renew”)
//用户服务
.antMatchers(HttpMethod.POST,“/user/”)
.antMatchers(“/user/confirm/**”、“/user/recover”、“/user/validate/**”)
//路线的另一部分。。。
}
@豆子
CorsConfiguration源CorsConfiguration源(){
CorsConfiguration配置=新的CorsConfiguration();
配置。设置允许的来源(corsOrigins);
configuration.setAllowedMethods(Collections.singletonList(“*”));
configuration.setAllowedHeaders(Collections.singletonList(“*”));
UrlBasedCorsConfigurationSource=新的UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration(“/**”,配置);
返回源;
}
WebMvc@覆盖
公共作废添加公司标志(公司注册处){
registry.addMapping(“/**”)
.允许的来源(”http://localhost:3000")
.允许的方法(“*”)
.允许的标题(“*”)
.allowCredentials(真)
.maxAge(3600);
}