Spring security CORS 配置在部署到 App Engine 后不起作用
问题描述 投票:0回答:1
在我的 Spring Boot 应用程序中配置 CORS 设置以仅允许来自我的网站的请求后,我在 App Engine 上部署应用程序时遇到了意外行为。尽管本地测试成功,配置按预期工作,但部署后,API 仍然可以从任何来源访问。
下面是我的 Spring Security 配置类:
@Configuration
@EnableWebSecurity
public class SecurityConfiguration {
@Bean
public SecurityFilterChain apiFilterChain(HttpSecurity http) throws Exception {
http.csrf(AbstractHttpConfigurer::disable)
.authorizeHttpRequests(authorize -> authorize.anyRequest().permitAll()) // Allow all requests
.httpBasic(Customizer.withDefaults())
.cors(httpSecurityCorsConfigurer -> httpSecurityCorsConfigurer.configurationSource(corsConfigurationSource()))
.sessionManagement(sessionManagement -> sessionManagement.sessionCreationPolicy(SessionCreationPolicy.STATELESS));
return http.build();
}
@Bean
CorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(List.of("http://mywebsite.com","https://mywebsite.com"));
configuration.setAllowedHeaders(Arrays.asList("Access-Control-Allow-Origin", "Origin"));
configuration.setAllowedMethods(Arrays.asList("GET","POST","DELETE","PUT"));
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
}
这是我的控制器:
@RestController
@RequestMapping("/cars")
public class CarController {
private final CarService carService;
public CarController(CarService carService) {
this.carService = carService;
}
@PostMapping(consumes = MediaType.APPLICATION_JSON_VALUE, produces = MediaType.APPLICATION_JSON_VALUE)
public Mono<Car> saveCar(@RequestBody Car car) {
return carService.saveCar(car);
}
@DeleteMapping("/{carId}")
public Mono<Void> deleteCar(@PathVariable String carId) {
return carService.deleteCar(carId);
}
@GetMapping
public Flux<Car> findAllCars() {
return carService.findALlCars();
}
@GetMapping("/city/{city}")
public Flux<Car> findCarsByCity(@PathVariable String city) {
return carService.findCarsByCity(city);
}
}
App Engine 用于部署 API 的 app.yml 文件:
runtime: java17
instance_class: F1
我发现我可以在 app.yml 文件中配置 CORS,但我更愿意保留这种关注,让 Spring Security 来处理它。
其他日志:
请求标头:
响应标头:
1个回答
0
投票
投票
configuration.setAllowedHeaders(Arrays.asList("Access-Control-Allow-Origin", "Origin"));
您可能需要调整
configuration.setAllowedHeaders(...)"Access-Control-Allow-Origin""Content-Type""Authorization""Cache-Control"@Bean
CorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(List.of("http://mywebsite.com","https://mywebsite.com"));
configuration.setAllowedHeaders(List.of("Content-Type", "Authorization", "Cache-Control"));
configuration.setAllowedMethods(List.of("GET","POST","DELETE","PUT"));
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
确保 Spring Boot 正在选取您的
SecurityConfigurationSecurityConfiguration@SpringBootApplication向
SecurityConfiguration@Bean@Slf4j // If you are using Lombok, or define a Logger manually
@Configuration
@EnableWebSecurity
public class SecurityConfiguration {
public SecurityConfiguration() {
log.info("SecurityConfiguration is being instantiated");
}
// rest of your configuration
}
如果您的项目中有 Spring Boot Actuator 依赖项,您可以使用
/beansdependencies {
implementation 'org.springframework.boot:spring-boot-starter-actuator'
// other dependencies
}
此外,应用程序引擎可能会覆盖您的 CORS 设置或提供自己的默认值。应用程序中的其他中间件可能会在将标头发送回客户端之前覆盖标头。检查 Google Cloud Console 中 App Engine 应用程序的日志,看看是否有任何消息指示响应标头的操作或与 CORS 相关的错误。
作为测试,您可以暂时禁用 Spring Security 配置并部署一个简单的控制器,在响应中手动设置 CORS 标头,以查看 App Engine 是否覆盖它们。
@GetMapping("/test-cors")
public ResponseEntity<String> testCors() {
HttpHeaders headers = new HttpHeaders();
headers.add("Access-Control-Allow-Origin", "http://mywebsite.com");
return new ResponseEntity<>("CORS test", headers, HttpStatus.OK);
}
最新问题
- Azure Functions 项目函数未使用 [FromBody] 填充参数
- 在Mac上使用Pyinstaller创建了一个应用程序,该应用程序无法运行,但shell文件可以运行。为什么?
- 日志洞察查询中的多个统计命令
- Python 应用程序从管道部署到 Azure Web 应用程序,不包括需求包
- sycl CUDA 后端的 Cmake 文件
- 为什么在GODOT和大多数游戏引擎中,Y轴是倒置的?
- 如何标准化对象数组以提高性能
- JavaScript - 在画布上绘图时鼠标位置错误
- 为什么docker安装的Apache IoTDB报连接警告,有时需要重启?
- 为什么这个程序在Linux上比在Windows上慢很多?
- 对 GitHub 组织中的所有存储库使用单个 Jenkins 管道
- 为什么 JPA Query 不自动转换枚举?
- 使用 ElasticsearchClientSettings.DefaultMappingFor<>
- 我们这样做会打破 3NF 吗?
- 我是否需要从 switch case 返回任何重要的内容,或者只是这样就足以区分不同的 PHP?
- Python - Polars 库中的滚动索引?
- Terraform 是否会使用默认值覆盖未指定的字段?
- NestJS E2E 测试在关闭后不会清理主数据库连接
- 有没有一种方法可以按数据进行分区/分组,其中每组的列值总和低于限制?
- 我收到错误无法设置属性,因为边缘上的属性在 Memgraph 中被禁用
© www.soinside.com 2019 - 2024. All rights reserved.