Spring Security3.2でAccess-Control-Allow-Originフィルターを問題なく設定する方法

Question

Spring Security 3.2を使用してSpringサーバーをセットアップし、ajaxログイン要求を実行できるようにしようとしています。

Spring Security 3.2 ビデオといくつかの投稿をフォローしましたが、問題は私が取得していることです

 No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://127.0.0.1:9000' is therefore not allowed access.

ログイン要求の場合（以下を参照）。

CORSFilterセットアップを作成しました。適切なヘッダーを応答に追加して、システム内の保護されていないリソースにアクセスできます。

私の推測では、セキュリティフィルターチェーンにCORSFilterを追加していないか、チェーンの中で遅すぎる可能性があります。どんなアイデアでも大歓迎です。

WebAppInitializer

public class WebAppInitializer implements WebApplicationInitializer { @Override public void onStartup(ServletContext servletContext) { WebApplicationContext rootContext = createRootContext(servletContext); configureSpringMvc(servletContext, rootContext); FilterRegistration.Dynamic corsFilter = servletContext.addFilter("corsFilter", CORSFilter.class); corsFilter.addMappingForUrlPatterns(null, false, "/*"); } private WebApplicationContext createRootContext(ServletContext servletContext) { AnnotationConfigWebApplicationContext rootContext = new AnnotationConfigWebApplicationContext(); rootContext.register(SecurityConfig.class, PersistenceConfig.class, CoreConfig.class); servletContext.addListener(new ContextLoaderListener(rootContext)); servletContext.setInitParameter("defaultHtmlEscape", "true"); return rootContext; } private void configureSpringMvc(ServletContext servletContext, WebApplicationContext rootContext) { AnnotationConfigWebApplicationContext mvcContext = new AnnotationConfigWebApplicationContext(); mvcContext.register(MVCConfig.class); mvcContext.setParent(rootContext); ServletRegistration.Dynamic appServlet = servletContext.addServlet( "webservice", new DispatcherServlet(mvcContext)); appServlet.setLoadOnStartup(1); Set<String> mappingConflicts = appServlet.addMapping("/api/*"); if (!mappingConflicts.isEmpty()) { for (String s : mappingConflicts) { LOG.error("Mapping conflict: " + s); } throw new IllegalStateException( "'webservice' cannot be mapped to '/'"); } }

SecurityWebAppInitializer：

public class SecurityWebAppInitializer extends AbstractSecurityWebApplicationInitializer { }

SecurityConfig：

/ api/usersへのリクエストは正常に機能し、Access-Control-Allowヘッダーが追加されます。これが当てはまらないことを確認するために、csrfとヘッダーを無効にしました

@EnableWebMvcSecurity @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired protected void registerAuthentication(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("user").password("password").roles("USER"); } @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() .headers().disable() .authorizeRequests() .antMatchers("/api/users/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); }

CORFilter：

@Component public class CORSFilter implements Filter{ static Logger logger = LoggerFactory.getLogger(CORSFilter.class); @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest request, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "x-requested-with"); chain.doFilter(request, response); } public void destroy() {} }

ログインリクエスト：

Request URL:http://localhost:8080/devstage-1.0/login Request Headers CAUTION: Provisional headers are shown. Accept:application/json, text/plain, */* Cache-Control:no-cache Content-Type:application/x-www-form-urlencoded Origin:http://127.0.0.1:9000 Pragma:no-cache Referer:http://127.0.0.1:9000/ User-Agent:Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.154 Safari/537.36 Form Dataview sourceview URL encoded username:user password:password

special0ne · Accepted Answer

私が見逃していたのは、セキュリティ構成を構成するときに AddFilterBefore だけでした。

したがって、最終バージョンは次のとおりです。

@EnableWebMvcSecurity @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired protected void registerAuthentication(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("user").password("password").roles("USER"); } @Override protected void configure(HttpSecurity http) throws Exception { http .addFilterBefore(new CORSFilter(), ChannelProcessingFilter.class) .formLogin() .loginPage("/login") .and() .authorizeRequests() .anyRequest().authenticated();

そして、CORSFilterをWebAppInitializerから削除します

Aaron Stone · Answer

あなたの質問に答えるには少し遅すぎると思いますが、共有する価値があるかもしれません。初期構成では、SpringSecurity初期化子構成メタデータをルートコンテキストに登録しました。

rootContext.register(SecurityConfig.class, PersistenceConfig.class, CoreConfig.class);

これを実行できる場合は、セキュリティフィルターチェーンを不要なWebアプリケーションコンテキストと結合するため、実行する必要はありません。代わりに、DelegatingFilterProxyをフィルターとして登録することにより、従来の方法でフィルターチェーンを追加することができます。もちろん、スプリングセキュリティフィルターチェーンを追加する前に、Corsフィルターを追加して順序を維持する必要があります。

このようにして、org.Apache.catalina.filtersパッケージに付属しているストックのCorsFilterを（init paramsを追加するだけで）使用できるようになります。とにかく、あなたもあなた自身の構成に固執することができます！ :)