是否可以为某种HTTP方法禁用Spring Security?
我们有一个Spring REST应用程序,其服务要求将授权令牌附加到http请求的标头中 . 我正在为它编写一个JS客户端,并使用JQuery发送GET / POST请求 . 该应用程序使用此过滤器代码启用CORS .
doFilter(....) {
HttpServletResponse httpResp = (HttpServletResponse) response;
httpResp.setHeader("Access-Control-Allow-Origin", "*");
httpResp.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
httpResp.setHeader("Access-Control-Max-Age", "3600");
Enumeration<String> headersEnum = ((HttpServletRequest) request).getHeaders("Access-Control-Request-Headers");
StringBuilder headers = new StringBuilder();
String delim = "";
while (headersEnum.hasMoreElements()) {
headers.append(delim).append(headersEnum.nextElement());
delim = ", ";
}
httpResp.setHeader("Access-Control-Allow-Headers", headers.toString());
}
但是当JQuery发送对CORS的OPTIONS请求时,服务器会使用Authorization Failed令牌进行响应 . 显然OPTIONS请求缺少授权令牌 . 那么可以让OPTIONS从Spring安全配置中逃脱安全层吗?
4 回答
你试过这个吗?
以上意味着您需要选择要拦截的网址模式以及您想要的方法
如果您使用的是基于注释的安全配置文件(@EnableWebSecurity和@Configuration),您可以在configure()方法中执行以下操作,以允许SpringSecurity允许OPTION请求,而无需对给定路径进行身份验证:
在上下文中允许所有OPTIONS:
如果有人正在寻找使用Spring Boot的简单解决方案 . 只需添加一个额外的bean:
请注意,根据您的应用程序,这可能会打开它以获取潜在的攻击 .
打开问题以获得更好的解决方案:https://github.com/spring-projects/spring-security/issues/4448