it-swarm.dev

Spring Boot Security CORS

Mam problem z filtrem CORS w wiosennych zabezpieczeniach URL . Nie ustawia on Access-Control-Allow-Origin i innych odsłoniętych nagłówków na URL należący do spring sec (logowanie/wylogowanie) lub filtrowany przez Spring Security.

Oto konfiguracje.

CORS:

@Configuration
@EnableWebMvc
public class MyWebMvcConfig extends WebMvcConfigurerAdapter {
********some irrelevant configs************
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/*").allowedOrigins("*").allowedMethods("GET", "POST", "OPTIONS", "PUT")
                .allowedHeaders("Content-Type", "X-Requested-With", "accept", "Origin", "Access-Control-Request-Method",
                        "Access-Control-Request-Headers")
                .exposedHeaders("Access-Control-Allow-Origin", "Access-Control-Allow-Credentials")
                .allowCredentials(true).maxAge(3600);
    }
}

Bezpieczeństwo:

@Configuration
@EnableWebSecurity
public class OAuth2SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .exceptionHandling().authenticationEntryPoint(authenticationEntryPoint).and()
                .formLogin()
                    .successHandler(ajaxSuccessHandler)
                    .failureHandler(ajaxFailureHandler)
                    .loginProcessingUrl("/authentication")
                    .passwordParameter("password")
                    .usernameParameter("username")
                .and()
                .logout()
                    .deleteCookies("JSESSIONID")
                    .invalidateHttpSession(true)
                    .logoutUrl("/logout")
                    .logoutSuccessUrl("/")
                .and()
                .csrf().disable()
                .anonymous().disable()
                .authorizeRequests()
                .antMatchers("/authentication").permitAll()
                .antMatchers("/oauth/token").permitAll()
                .antMatchers("/admin/*").access("hasRole('ROLE_ADMIN')")
                .antMatchers("/user/*").access("hasRole('ROLE_USER')");
    }
}

Jeśli więc złożę żądanie do adresu URL, który nie jest nasłuchiwany przez zabezpieczenia - ustawiane są nagłówki CORS. Wiosenne URL-e bezpieczeństwa - nie ustawione.

Sprężynowy boot 1.4.1

11
user1935987

Zamiast korzystać z CorsRegistry, możesz napisać swój własny CorsFilter i dodać go do swojej konfiguracji bezpieczeństwa.

Niestandardowa klasa CorsFilter:

public class CorsFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        HttpServletRequest request= (HttpServletRequest) servletRequest;

        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "GET,POST,DELETE,PUT,OPTIONS");
        response.setHeader("Access-Control-Allow-Headers", "*");
        response.setHeader("Access-Control-Allow-Credentials", true);
        response.setHeader("Access-Control-Max-Age", 180);
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {

    }
}

Klasa konfiguracji zabezpieczeń:

@Configuration
@EnableWebSecurity
public class OAuth2SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Bean
    CorsFilter corsFilter() {
        CorsFilter filter = new CorsFilter();
        return filter;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .addFilterBefore(corsFilter(), SessionManagementFilter.class) //adds your custom CorsFilter
                .exceptionHandling().authenticationEntryPoint(authenticationEntryPoint).and()
                .formLogin()
                    .successHandler(ajaxSuccessHandler)
                    .failureHandler(ajaxFailureHandler)
                    .loginProcessingUrl("/authentication")
                    .passwordParameter("password")
                    .usernameParameter("username")
                .and()
                .logout()
                    .deleteCookies("JSESSIONID")
                    .invalidateHttpSession(true)
                    .logoutUrl("/logout")
                    .logoutSuccessUrl("/")
                .and()
                .csrf().disable()
                .anonymous().disable()
                .authorizeRequests()
                .antMatchers("/authentication").permitAll()
                .antMatchers("/oauth/token").permitAll()
                .antMatchers("/admin/*").access("hasRole('ROLE_ADMIN')")
                .antMatchers("/user/*").access("hasRole('ROLE_USER')");
    }
}
19
mika

Opcja 1 (Użyj WebMvcConfigurer bean):

Konfiguracja CORS, od której zacząłeś, nie jest właściwym sposobem na zrobienie tego za pomocą Spring Boot. Musisz zarejestrować bean WebMvcConfigurer. Odniesienie tutaj .

Przykład konfiguracji Spring Boot CORS:

@Configuration
@Profile("dev")
public class DevConfig {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**").allowedOrigins("http://localhost:4200");
            }
        };
    }

}

Zapewni to konfigurację CORS dla podstawowej (bez startera bezpieczeństwa) aplikacji Spring Boot. Zauważ, że obsługa CORS istnieje niezależnie od Spring Security.

Po wprowadzeniu Spring Security musisz zarejestrować CORS w konfiguracji zabezpieczeń. Spring Security jest wystarczająco inteligentny, aby odebrać istniejącą konfigurację CORS.

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .cors().and()              
         ....

Opcja 2 (użyj komponentu bean CorsConfigurationSource):

Pierwsza opcja, którą opisałem, jest naprawdę z perspektywy dodania Spring Security do istniejącej aplikacji. Jeśli dodajesz Spring Security od samego początku, sposób opisany w Spring Security Docs obejmuje dodanie komponentu bean CorsConfigurationSource.

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // by default uses a Bean by the name of corsConfigurationSource
            .cors().and()
            ...
    }

    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
        configuration.setAllowedMethods(Arrays.asList("GET","POST"));
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }
}

Mam klienta WWW opartego na React, a mój backend REST API działa Spring Boot Ver 1.5.2

Chciałem szybko włączyć CORS na wszystkich żądaniach trasy kontrolera od mojego klienta działającego na localhost:8080. W mojej konfiguracji bezpieczeństwa po prostu dodałem @Bean typu FilterRegistrationBean i sprawiłem, że działa łatwo.

Oto kod:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class AuthConfiguration extends WebSecurityConfigurerAdapter {

....
....

  @Bean
  public FilterRegistrationBean corsFilter() {
    final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true);
    config.addAllowedOrigin(corsAllowedOrigin); // @Value: http://localhost:8080
    config.addAllowedHeader("*");
    config.addAllowedMethod("*");
    source.registerCorsConfiguration("/**", config);
    FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
    bean.setOrder(0);
    return bean;
  }

  @Override
  protected void configure(HttpSecurity httpSecurity) throws Exception {    
      httpSecurity
        .authorizeRequests()
        .antMatchers(HttpMethod.OPTIONS, "/**").permitAll() // **permit OPTIONS call to all**
        ....
  }

....
....

}

Możesz polecić Spring Boot dokumenty tutaj

2
sisanared

Jeśli potrzebujesz go do szybkiego rozwoju lokalnego, dodaj tę adnotację do kontrolera. (w razie potrzeby zmień pochodzenie)

@CrossOrigin(origins = "http://localhost:4200", maxAge = 3600)
1
Neeraj

Właśnie miałem podobny problem, próbowałem wykonać żądanie z mojego interfejsu w React wykonując --- http: // localhost: 30 , do mojego backendu w SpringBoot wykonującego w - http: // localhost: 808 . Miałem dwa błędy:

Kontrola dostępu Zezwalaj na pochodzenie

Rozwiązałem to bardzo łatwo, dodając to do mojego RestController:

@CrossOrigin(origins = ["http://localhost:3000"])

Po naprawieniu tego, zacząłem otrzymywać ten błąd: Wartość nagłówka „Access-Control-Allow-Credentials” w odpowiedzi to „”, która musi być „true”

Kontrola dostępu-Zezwalaj-Poświadczenia

Ten można obejść na dwa sposoby:

  1. Dodanie allowCredentials = "true" do konfiguracji CrossOrigin:

    @CrossOrigin(origins = ["http://localhost:3000"], allowCredentials = "true")

  2. Zmiana opcji poświadczeń pobierania w żądaniu interfejsu użytkownika. Zasadniczo musisz wykonać wywołanie pobierania w następujący sposób:

    fetch('http://localhost:8080/your/api', { credentials: 'same-Origin' })

Mam nadzieję, że to pomaga =)

Można to również osiągnąć za pomocą przechwytywacza.

Użyj wyjątku, aby upewnić się, że kończysz cykl życia żądania:

@ResponseStatus (
    value = HttpStatus.NO_CONTENT
)
public class CorsException extends RuntimeException
{
}

Następnie w twoim przechwytywaczu ustaw nagłówki dla wszystkich żądań OPCJI i wyrzuć wyjątek:

public class CorsMiddleware extends HandlerInterceptorAdapter
{
    @Override
    public boolean preHandle (
        HttpServletRequest request,
        HttpServletResponse response,
        Object handler
    ) throws Exception
    {
        if (request.getMethod().equals("OPTIONS")) {
            response.addHeader("Access-Control-Allow-Origin", "*");
            response.addHeader("Access-Control-Allow-Credentials", "true");
            response.addHeader("Access-Control-Allow-Methods","GET, POST, PUT, OPTIONS, DELETE");
            response.addHeader("Access-Control-Allow-Headers", "DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,Authorization,If-Modified-Since,Cache-Control,Content-Type");
            response.addHeader("Access-Control-Max-Age", "3600");
            response.addHeader("charset", "utf-8");
            throw new CorsException();
        }

        return super.preHandle(request, response, handler);
    }
}

Na koniec zastosuj przechwytywacz do wszystkich tras:

@Configuration
public class MiddlewareConfig extends WebMvcConfigurerAdapter
{
    @Override
    public void addInterceptors (InterceptorRegistry registry)
    {
        registry.addInterceptor(new CorsMiddleware())
                .addPathPatterns("/**");
    }
}
1

Obecnie żądania OPTIONS są domyślnie blokowane, jeśli włączone są zabezpieczenia.

Wystarczy dodać dodatkowy komponent bean, a żądania inspekcji wstępnej będą obsługiwane poprawnie:

   @Bean
   public IgnoredRequestCustomizer optionsIgnoredRequestsCustomizer() {
      return configurer -> {
         List<RequestMatcher> matchers = new ArrayList<>();
         matchers.add(new AntPathRequestMatcher("/**", "OPTIONS"));
         configurer.requestMatchers(new OrRequestMatcher(matchers));
      };
   }

Należy pamiętać, że w zależności od aplikacji może to otworzyć dla potencjalnych exploitów.

Otwarty problem dla lepszego rozwiązania: https://github.com/spring-projects/spring-security/issues/4448

0