Printemps de sécurité de la SCRO Filtre

Nous avons ajouté Spring Security à notre projet.

À partir de ce moment, nous obtenons un 401 No 'Access-Control-Allow-Origin' header is present on the requested resource erreur de notre serveur.

C'est parce que pas Access-Control-Allow-Origin en-tête est jointe à la réponse. Pour corriger cela, nous avons ajouté notre propre filtre qui est dans le Filter de la chaîne avant la déconnexion du filtre, mais le filtre ne s'applique pas à nos demandes.

Notre Erreur:

XMLHttpRequest ne peut pas charger http://localhost:8080/getKunden. Pas de "Access-Control-Allow-Origin' en-tête est présent sur la ressource demandée. Origine http://localhost:3000 est donc pas autorisé à accéder. La réponse avait le code d'état HTTP 401.

Notre configuration de la Sécurité:

@EnableWebSecurity
@Configuration
@ComponentScan("com.company.praktikant")
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

@Autowired
private MyFilter filter;

@Override
public void configure(HttpSecurity http) throws Exception {
    final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    final CorsConfiguration config = new CorsConfiguration();

    config.addAllowedOrigin("*");
    config.addAllowedHeader("*");
    config.addAllowedMethod("GET");
    config.addAllowedMethod("PUT");
    config.addAllowedMethod("POST");
    source.registerCorsConfiguration("/**", config);
    http.addFilterBefore(new MyFilter(), LogoutFilter.class).authorizeRequests()
            .antMatchers(HttpMethod.OPTIONS, "/*").permitAll();
}

@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
}
}

Notre filtre

@Component
public class MyFilter extends OncePerRequestFilter {

@Override
public void destroy() {

}

private String getAllowedDomainsRegex() {
    return "individual /customized Regex";
}

@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
        throws ServletException, IOException {

    final String origin = "http://localhost:3000";

    response.addHeader("Access-Control-Allow-Origin", origin);
    response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS");
    response.setHeader("Access-Control-Allow-Credentials", "true");
    response.setHeader("Access-Control-Allow-Headers",
            "content-type, x-gwt-module-base, x-gwt-permutation, clientid, longpush");

    filterChain.doFilter(request, response);

}
}

Notre Application

@SpringBootApplication
public class Application {
public static void main(String[] args) {
    final ApplicationContext ctx = SpringApplication.run(Application.class, args);
    final AnnotationConfigApplicationContext annotationConfigApplicationContext = new AnnotationConfigApplicationContext();
    annotationConfigApplicationContext.register(CORSConfig.class);
    annotationConfigApplicationContext.refresh();
}
}

Notre filtre est enregistré à partir du printemps-boot:

2016-11-04 09:19:51.494 INFO 9704 --- [ost-startStop-1] o.s.b.w.servlet.FilterRegistrationBean : Cartographie de filtre: 'myFilter': [ /* ]

Notre généré filterchain:

2016-11-04 09:19:52.729 INFO 9704 --- [ost-startStop-1] o.s.s.web.DefaultSecurityFilterChain : Création d'un filtre de la chaîne: org.springframework.security.web.util.matcher.AnyRequestMatcher@1, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@5d8c5a8a, org.springframework.security.web.context.SecurityContextPersistenceFilter@7d6938f, org.springframework.security.web.header.HeaderWriterFilter@72aa89c, org.springframework.security.web.csrf.CsrfFilter@4af4df11, com.company.praktikant.MyFilter@5ba65db2, org.springframework.security.web.authentication.logout.LogoutFilter@2330834f, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@396532d1, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@4fc0f1a2, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@2357120f, org.springframework.security.web.session.SessionManagementFilter@10867bfb, org.springframework.security.web.access.ExceptionTranslationFilter@4b8bf1fb, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@42063cf1]

La Réponse:
En-têtes de réponse

Nous avons essayé la solution de printemps, mais il ne fonctionne pas! L'annotation @CrossOrigin dans notre contrôleur n'a pas aider non plus.

Edit 1:

Essayé la solution de @Piotr Sołtysiak.
Le cors du filtre n'est pas répertorié dans le générés chaîne de filtrage et nous obtenons toujours la même erreur.

2016-11-04 10:22:49.881 INFO 8820 --- [ost-startStop-1] o.s.s.web.DefaultSecurityFilterChain : Création d'un filtre de la chaîne: org.springframework.security.web.util.matcher.AnyRequestMatcher@1, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@4c191377, org.springframework.security.web.context.SecurityContextPersistenceFilter@28bad32a, org.springframework.security.web.header.HeaderWriterFilter@3c3ec668, org.springframework.security.web.csrf.CsrfFilter@288460dd, org.springframework.security.web.authentication.logout.LogoutFilter@1c9cd096, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@3990c331, org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@1e8d4ac1, org.springframework.security.web.authentication.www.BasicAuthenticationFilter@2d61d2a4, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@380d9a9b, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@abf2de3, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@2a5c161b, org.springframework.security.web.session.SessionManagementFilter@3c1fd3e5, org.springframework.security.web.access.ExceptionTranslationFilter@3d7055ef, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@5d27725a]

Btw nous sommes à l'aide de spring-security version 4.1.3.!

Il y a un problème avec google Chrome ne prend pas en charge localhost passer par le Access-Control-Allow-Origin. Essayez avec un autre navigateur
Nous avons essayé avec le Bord et il travaille... mais firefox ne fonctionne pas ainsi.
J'ai eu le même problème je le résoudre en ajoutant 127.0.0.1 localhost local.net à /etc/hosts puis appeler local.net:8080/getKunden
voir stackoverflow.com/questions/28547288/... il pourrait aider

OriginalL'auteur M. Thiele | 2016-11-04

  1. 45

    Depuis le Printemps de Sécurité 4.1, c'est la bonne façon de faire de Ressort d'appui à la Sécurité de la SCRO (également nécessaires dans le Printemps de Démarrage 1.4/1.5):

    @Configuration
public class WebConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedMethods("HEAD", "GET", "PUT", "POST", "DELETE", "PATCH");
    }
}

    et:

    @Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
//       http.csrf().disable();
        http.cors();
    }

    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        final CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(ImmutableList.of("*"));
        configuration.setAllowedMethods(ImmutableList.of("HEAD",
                "GET", "POST", "PUT", "DELETE", "PATCH"));
        //setAllowCredentials(true) is important, otherwise:
        //The value of the 'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' when the request's credentials mode is 'include'.
        configuration.setAllowCredentials(true);
        //setAllowedHeaders is important! Without it, OPTIONS preflight request
        //will fail with 403 Invalid CORS request
        configuration.setAllowedHeaders(ImmutableList.of("Authorization", "Cache-Control", "Content-Type"));
        final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }
}

    Ne pas faire tout de ci-dessous, qui sont la mauvaise façon de tenter de résoudre le problème:

    • http.authorizeRequests().antMatchers(HttpMethod.OPTIONS, "/**").permitAll();
    • web.ignoring().antMatchers(HttpMethod.OPTIONS);

    Référence: http://docs.spring.io/spring-security/site/docs/4.2.x/reference/html/cors.html

    Qui fonctionne pour moi mais je me devais de garder the http.csrf().disable(), car une fois qu'il est supprimé, j'ai obtenu l'erreur: Could not verify the provided CSRF token because your session was not found
    Réponse parfaite... même Si pour moi j'ai eu de décommenter http.csrf().disable();
    Si vous n'utilisez pas de Goyave, vous pouvez toujours le faire: Collections.unmodifiableList(Arrays.asList("HEAD",...))
    Cela ne fonctionne pas avec Firefox clients si votre application fonctionne dans un 2-way de l'environnement SSL à l'aide de certificats x509. Printemps de Sécurité prévoit toujours que les informations d'identification sur les OPTIONS de demande, ce qui est en violation de la SCRO spec: fetch.spec.whatwg.org/#cors-preflight-fetch, et, malheureusement, Firefox strictement conforme à cette spécification et arrache les informations d'identification dans le contrôle en amont des demandes.
    Veuillez noter que WebMvcConfigurerAdapter est obsolète maintenant.

    OriginalL'auteur Hendy Irawan

  2. 11

    Ok, après 2 jours de recherche nous avons enfin résolu le problème. Nous avons supprimé tous nos filtre et des configurations plutôt utilisé ce 5 lignes de code dans la classe d'application.

    @SpringBootApplication
public class Application {
public static void main(String[] args) {
    final ApplicationContext ctx = SpringApplication.run(Application.class, args);
}

@Bean
public WebMvcConfigurer corsConfigurer() {
    return new WebMvcConfigurerAdapter() {
        @Override
        public void addCorsMappings(CorsRegistry registry) {
            registry.addMapping("/**").allowedOrigins("http://localhost:3000");
        }
    };
}
}
    Ce type d'authentification que vous utilisez? De Base, La Forme?

    OriginalL'auteur M. Thiele

  3. 7

    Depuis j'ai eu des problèmes avec les autres solutions (en particulier pour qu'il fonctionne dans tous les navigateurs, par exemple edge ne reconnaît pas "*" comme une valeur valide pour "Access-Control-Allow-Méthodes"), j'ai dû utiliser un Filtre personnalisé Composant, qui à la fin a travaillé pour moi et fait exactement ce que je voulais obtenir.

    @Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CorsFilter implements Filter {
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        HttpServletRequest request = (HttpServletRequest) req;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods",
                "ACL, CANCELUPLOAD, CHECKIN, CHECKOUT, COPY, DELETE, GET, HEAD, LOCK, MKCALENDAR, MKCOL, MOVE, OPTIONS, POST, PROPFIND, PROPPATCH, PUT, REPORT, SEARCH, UNCHECKOUT, UNLOCK, UPDATE, VERSION-CONTROL");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers",
                "Origin, X-Requested-With, Content-Type, Accept, Key, Authorization");

        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            chain.doFilter(req, res);
        }
    }

    public void init(FilterConfig filterConfig) {
        //not needed
    }

    public void destroy() {
        //not needed
    }

}

    OriginalL'auteur David Eibensteiner

  4. 7

    1. Vous n'avez pas besoin:

      @Configuration
@ComponentScan("com.company.praktikant")

      @EnableWebSecurity a déjà @Configuration en elle, et je ne peux pas imaginer pourquoi vous mettez @ComponentScan.

    2. Sur la SCRO filtre, je viens de mettre cela:

      @Bean
public FilterRegistrationBean corsFilter() {
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true);
    config.addAllowedOrigin("*");
    config.addAllowedHeader("*");
    config.addAllowedMethod("*");
    source.registerCorsConfiguration("/**", config);
    FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
    bean.setOrder(0); 
    return bean;
}

      En SecurityConfiguration de classe et de supprimer les configurer et de les configurer les méthodes globales. Vous n'avez pas besoin de allowde orgins, les en-têtes et les méthodes à deux reprises. Surtout si vous mettez des propriétés différentes dans le filtre et de la sécurité printemps config 🙂

    3. D'après ci-dessus, votre "MyFilter" la classe est redondant.

    4. Vous pouvez également supprimer ces:

      final AnnotationConfigApplicationContext annotationConfigApplicationContext = new AnnotationConfigApplicationContext();
annotationConfigApplicationContext.register(CORSConfig.class);
annotationConfigApplicationContext.refresh();

      De la classe d'Application.

    5. À la fin des petits conseils - pas connecté à la question. Vous ne voulez pas mettre les verbes à URI. Au lieu de http://localhost:8080/getKunden vous devez utiliser la méthode HTTP GET sur http://localhost:8080/kunden de ressources. Vous pouvez en apprendre davantage sur les meilleures pratiques pour la conception d'api RESTful ici: http://www.vinaysahni.com/best-practices-for-a-pragmatic-restful-api

    OriginalL'auteur Piotr Sołtysiak

  5. 2

    Dans mon cas, j'ai juste ajouté cette classe et de l'utiliser @EnableAutConfiguration

    package com.package.filter;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.GenericFilterBean;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;


 @Component
 public class SimpleCORSFilter extends GenericFilterBean {

/**
 * The Logger for this class.
 */
private final Logger logger = LoggerFactory.getLogger(this.getClass());

@Override
public void doFilter(ServletRequest req, ServletResponse resp,
                     FilterChain chain) throws IOException, ServletException {
    logger.info("> doFilter");

    HttpServletResponse response = (HttpServletResponse) resp;
    response.setHeader("Access-Control-Allow-Origin", "*");
    response.setHeader("Access-Control-Allow-Methods", "POST, PUT, GET, OPTIONS, DELETE");
    response.setHeader("Access-Control-Max-Age", "3600");
    response.setHeader("Access-Control-Allow-Headers", "Authorization, Content-Type");
    //response.setHeader("Access-Control-Allow-Credentials", "true");
    chain.doFilter(req, resp);

    logger.info("< doFilter");
}

    }

    OriginalL'auteur Alex Fernandez

  6. 2

    Selon la CORS du filtre de la documentation:

    "Spring MVC fournit fine de support pour la configuration de la SCRO
    grâce à des annotations sur les contrôleurs. Cependant lorsqu'il est utilisé avec le Printemps
    La sécurité, il est conseillé de s'appuyer sur le haut-CorsFilter     qui doit
    être commandés à l'avance de Printemps de la Sécurité de la chaîne de filtres"

    Quelque chose comme ceci permettra GET l'accès à la /ajaxUri:

    import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import org.springframework.http.HttpMethod;
import org.springframework.stereotype.Component;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.CorsConfigurationSource;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

import java.util.Arrays;

@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class AjaxCorsFilter extends CorsFilter {
    public AjaxCorsFilter() {
        super(configurationSource());
    }

    private static UrlBasedCorsConfigurationSource configurationSource() {
        CorsConfiguration config = new CorsConfiguration();

        //origins
        config.addAllowedOrigin("*");

        //when using ajax: withCredentials: true, we require exact origin match
        config.setAllowCredentials(true);

        //headers
        config.addAllowedHeader("x-requested-with");

        //methods
        config.addAllowedMethod(HttpMethod.OPTIONS);
        config.addAllowedMethod(HttpMethod.GET);

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/startAsyncAuthorize", config);
        source.registerCorsConfiguration("/ajaxUri", config);
        return source;
    }
}

    Bien sûr, votre SpringSecurity configuration doit permettre l'accès à l'URI avec l'une des méthodes. Voir @Hendy Irawan réponse.

    OriginalL'auteur lmiguelmh

  7. 2

    Dans de nombreux endroits, je vois la réponse qui a besoin d'ajouter ce code: 

    @Bean
public FilterRegistrationBean corsFilter() {
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true);
    config.addAllowedOrigin("*");
    config.addAllowedHeader("*");
    config.addAllowedMethod("*");
    source.registerCorsConfiguration("/**", config);
    FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
    bean.setOrder(0); 
    return bean;
}

    mais dans mon cas, il déclenche une classe inattendue de type exception. corsFilter() fève nécessite CorsFilter type, donc j'ai fait des changements et de mettre cette définition du bean dans ma config et tout est OK maintenant.

    @Bean
public CorsFilter corsFilter() {
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true);
    config.addAllowedOrigin("*");
    config.addAllowedHeader("*");
    config.addAllowedMethod("*");
    source.registerCorsConfiguration("/**", config);
    return new CorsFilter(source);
}

    OriginalL'auteur Garik Kalashyan

  8. 0

    Pour les programmes déjà en place et ne peuvent pas se permettre les changements de code (E. g ajouter/mise à jour de printemps de sécurité), l'ajout d'un simple proxy est une solution: https://stackoverflow.com/a/49827300/1758194

    OriginalL'auteur Orvyl