无法使用 Angular 和 Spring Security 设置身份验证标头

2024-04-13

我在让 Angular、CORS、SpringSecurity 和基本身份验证正常运行时遇到困难。我有以下 Angular Ajax 调用，我试图将标头设置为在请求中包含基本授权标头。

var headerObj = {headers: {'Authorization': 'Basic am9lOnNlY3JldA=='}};
return $http.get('http://localhost:8080/mysite/login', headerObj).then(function (response) {
    return response.data;
});

我在 localhost:8888 上运行我的角度应用程序，在 localhost:8080 上运行我的后端服务器。所以我必须在我的服务器端（Spring MVC）添加一个 CORS 过滤器。所以我创建了一个过滤器并将其添加到我的 web.xml 中。

web.xml

<filter>
    <filter-name>corsFilter</filter-name>
    <filter-class>com.abcinsights.controller.SimpleCorsFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>corsFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

过滤器

public class SimpleCorsFilter extends OncePerRequestFilter {

@Override
public void doFilterInternal(HttpServletRequest req, HttpServletResponse res, FilterChain chain) throws IOException, ServletException {
    Enumeration<String> headerNames = req.getHeaderNames();
    while(headerNames.hasMoreElements()){
        String headerName = headerNames.nextElement();
        System.out.println("headerName " + headerName);
        System.out.println("headerVal " + req.getHeader(headerName));
    }               
    HttpServletResponse response = (HttpServletResponse) res;
    response.setHeader("Access-Control-Allow-Origin", "*"); 
    response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
    response.setHeader("Access-Control-Max-Age", "3600");
    response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Range, Content-Disposition, Content-Type, Authorization");
    chain.doFilter(req, res);
}   
}

这一切都工作正常，当我查看标头名称/值时，我看到我的授权标头包含基本值和硬编码的 Base64 字符串。

然后我尝试添加 SpringSecurity ，它将使用 Authorization 标头进行基本身份验证。这是我的 web.xml 和 spring security 配置，添加了 Spring Security。

更新了 web.xml

<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>/WEB-INF/config/security-config.xml</param-value>
</context-param>

<filter>
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
  <filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

安全配置.xml

<http auto-config="true" use-expressions="false">
    <intercept-url pattern="/**" access="ROLE_USER" />
    <http-basic/>
    <custom-filter ref="corsHandler" before="SECURITY_CONTEXT_FILTER"/>
</http>

<beans:bean id="corsHandler" class="com.abcinsights.controller.SimpleCorsFilter"/>

<authentication-manager>
    <authentication-provider>
        <jdbc-user-service data-source-ref="dataSource"/>
    </authentication-provider>
</authentication-manager>

正如您所看到的，我必须将 CORS 过滤器添加到 spring security 过滤器链的前面（我还从 web.xml 中将其删除）。这似乎是有效的，因为当我发出请求时，CORS 过滤器仍然会被调用。但是来自我的 AJAX 调用的请求不再添加 Authorization 标头。当我删除 SpringSecurity 过滤器链并将 CORS 过滤器放回到 web.xml 中时，Authorization 标头就会回来。我很茫然，但想知道当我的 CORS 过滤器在 web.xml 中独立时，它是否与预检通信以一种方式工作有关，而当它在 Spring Security 过滤器链中时，是否与另一种方式有关？任何帮助，将不胜感激。

Thanks

问题是 Angular 正在发送没有 HTTP 授权标头的 HTTP OPTIONS 请求。然后 Spring Security 处理该请求并发回 401 Unauthorized 响应。因此，我的 Angular 应用程序在 OPTIONS 请求上从 Spring 收到了 401 响应，而不是 200 响应，告诉 Angular 继续发送包含 Authorization 标头的 POST 请求。所以解决方法是

a) 将我的 CORSFilter 和 SpringSecurity 过滤器放入 web.xml 中（而不是从 Spring 中调用我的 CORS 过滤器）。不能 100% 确定这会产生影响，但这就是我最终的 web.xml 的样子。

b) 将以下链接中的代码添加到我的 CORS 过滤器中，以便它不会委托给 SpringSecurity 处理 OPTIONS 请求类型。

这篇文章让我整理了一下：独立 Spring OAuth2 JWT 授权服务器 + CORS https://stackoverflow.com/questions/30632200/standalone-spring-oauth2-jwt-authorization-server-cors/30638914#30638914

这是我的代码：

web.xml

<display-name>ABC Insights</display-name>
<servlet>
    <servlet-name>abcInsightsServlet</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/config/servlet-config.xml</param-value>
    </init-param> 
</servlet>
<servlet-mapping>
    <servlet-name>abcInsightsServlet</servlet-name>
    <url-pattern>/</url-pattern>
</servlet-mapping>

<!--  Stand Alone Cross Origin Resource Sharing Authorization Configuration -->
<filter>
    <filter-name>corsFilter</filter-name>
    <filter-class>com.abcinsights.controller.SimpleCorsFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>corsFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>       
<!--  Spring Security Configuration -->
<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>/WEB-INF/config/security-config.xml</param-value>
</context-param>    
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

这是我的 CORS 过滤器：

public class SimpleCorsFilter extends GenericFilterBean {
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;       
        response.setHeader("Access-Control-Allow-Origin", "*"); 
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Range, Content-Disposition, Content-Type, Authorization, X-CSRF-TOKEN");  

        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            chain.doFilter(req, res);
        }           
    }
}

这是我的角度代码：

var login = function (credentials) {
    console.log("credentials.email: " + credentials.email);
    console.log("credentials.password: " + credentials.password);

    var base64Credentials = Base64.encode(credentials.email + ':' + credentials.password);

    var req = {
        method: 'GET',
        url: 'http://localhost:8080/abcinsights/loginPage',
        headers: {
            'Authorization': 'Basic ' + base64Credentials
        }
    }

    return $http(req).then(function (response) {
        return response.data;
    });        
};

希望有帮助。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

无法使用 Angular 和 Spring Security 设置身份验证标头的相关文章

Uber API 不允许来自本地主机的请求

当我使用 Uber API 和 localhost 时我收到以下错误请求的资源上不存在 Access Control Allow Origin 标头起源 http 本地主机 8080 http localhost 8080 因此不允许
如何在非Spring的构造型类中使用@Autowired

我想在此类中使用该存储库但是当我放置像 Component 这样的构造型时我从 IDE 收到错误无法自动装配未找到身份验证类型的 bean public class CustomMethodSecurityExpressionR
Spring中从ResourceBundleMessageSource按模式获取属性键

我有近百个这样的房产 NotEmpty order languageFrom Field Language can t be empty NotEmpty order languageTo Field Language can t be e
Spring Batch - ItemStreamException：未创建输出文件

我在多线程步骤中定义了以下 FlatFileItemWriter public FlatFileItemWriter
根据路由隐藏 ng-view DOM 之外的元素

问题如何将登录视图路线添加到我的角度应用程序中隐藏位于ng view DOM 情况在我的 Angular 页面中左侧有一个导航树视图中间有一个主视图 div div class col sm 3 div div div di
标头和 cookie 中的 CSRF 令牌在请求中不匹配

我正在实现一个无状态 API 我的组织表示我需要防止 CSRF 攻击我在网上找到了这个人的解决方案并决定尝试实施仅客户端的方法 http blog jdriven com 2014 10 stateless spring securit
当 AngularJS 表单无效时禁用提交按钮

我的表格是这样的
Spring Security 自定义身份验证 - AuthenticationProvider 与 UserDetailsService

据我所知当您想要在 Spring Security 中进行自定义身份验证时您可以实现自定义AuthenticationProvider或定制UserDetailsService Autowired public void configu
如何使用 ui-router 中的 ui-sref 将参数传递给控制器

我需要传递和接收两个参数到我想要转换到的状态ui srefui router 的例如使用下面的链接将状态转换为home with foo and bar参数 a Go to home state with foo and bar para
@Transactional 注解属于哪里？

如果您将 Transactional in the DAO类和或其方法或者注释使用 DAO 对象调用的服务类是否更好或者注释两个层是否有意义我认为事务属于服务层它是了解工作单元和用例的人如果您将多个 DAO 注入到需要在单个
Hibernate 序列乘以 50 生成“@Id”？

private static final String SEQUENCE my seq Id GeneratedValue strategy GenerationType SEQUENCE generator SEQUENCE Sequen
Spring Boot 模板未解决

我正在尝试使用 Spring Boot 和 Thymeleaf 构建一个独立的 Web 应用程序该应用程序在 IntelliJ IDEA 中运行良好但我无法单独运行该 jar 显然模板不包括在内我的项目结构如下 src main ja
同一服务器上的许多应用程序具有相同的 JMX Mbean 类

我有超过 5 个 Spring Web 应用程序它们都在使用另一个通用库这个公共库有它自己的 MBean 由于强制的唯一 objectName 约束我的应用程序无法部署在同一服务器上我使用 MBean 的方式是这样的 Managed
使用 Hibernate 和 MySQL、全局和本地进行 Spring 事务管理

我正在使用 MySQL Server 5 1 Spring 3 0 5 和 Hibernate 3 6 开发 Web 应用程序我使用 Springs 事务管理我是新手所以如果我问一个容易回答的问题请耐心等待 1 我读到了有关全局 x
重复的“Access-Control-Allow-Origin: *”标头会破坏 CORS 吗？

所以我们有一个提供 JSON 服务的 http 资源它添加了一个 Access Control Allow Origin 旗帜所以这可以用 CORS 加载 except 所以我被告知有一些 IE9 怪癖这意味着这在 IE9 中仍然不
如何向我的 Spring MVC REST 服务添加错误？

如果用户没有输入我正在编码的两个名称我如何更改更新来自 Spring MVC 的以下 REST 调用以返回错误未找到 RequestMapping value name method RequestMethod GET Respons
AngularJS：选择非 2 路绑定到模型

我正在使用选择来显示客户名称用户应该能够选择现有客户端然后更新范围属性控制器初始化首选 if scope clients length gt 0 scope existingClient scope clients 0 View
使用@Transactional注解批量插入

在我的 Spring 应用程序中我想一次性在数据库中插入近 1500 条记录我在后端使用 Spring 4 X 和普通休眠在我的服务层中我使用 Transactional 注释现在在某个时间点之后插入记录时我遇到内存不足错误
Spring Boot 中的 JSTL 支持

虽然我知道有JSP 支持中的一些限制 http docs spring io spring boot docs current reference html boot features developing web applications
为什么 Angular 2 项目如此大 [关闭]

Closed 这个问题需要多问focused help closed questions 目前不接受答案我们正在用 ng2 重写 ng1 项目我们的 ng1 项目构建后大约有 8mb 我们对 ng2 的重写已经完成了大约四分之一并且我

随机推荐

将日期转换为Mysql日期格式php

我的数据库中有这个日期格式 19th April 2013 我想将其转换为 2013 04 19 我已经使用了 if else 条件但是它变得太长太复杂有没有内置函数 Use PHP s date功能 date Y m d strtot
基于“file:///C:/”的访问不允许 navigator.geolocation.getCurrentPosition [重复]

这个问题在这里已经有答案了可能的重复 Chrome 中的 HTML5 地理位置提示 https stackoverflow com questions 5423938 html 5 geo location prompt in chrom
我可以实例化 std::reference_wrapper （其中 T 是不完整类型）吗？

Does std reference wrapper
为什么 [用户名].github.io 上的 GitHub 页面不会显示？

我创建了 repo username github io 在 gh pages 分支中推送了第一次提交等待了 30 分钟 GitHub 说不应该超过 10 分钟并在尝试加载我的页面时遇到 404 页面用不同的浏览器查看结果都是一样
在 Mac App Store 的 Electron 应用程序中实现应用内购买

我环顾四周似乎有几个人遇到这个问题但似乎没有人解决它将 Apple 应用内购买添加到 Electron HTML JS 应用程序 https stackoverflow com questions 39841666 adding ap
OpenAPI V3 Maven Plugin使用multipart/form-data生成多文件上传的不完整接口代码

我使用 Openapi V3 和 Maven 插件 openapi generator maven plugin 5 3 0 来使用 multipart form data 上传多个文件但是生成的接口代码不完整在默认方法之一中缺少 L
如何用通俗语言解释CSS Float？

如何用通用语言而不是编程解释CSS Float 有没有现实生活中的例子可以举个例子来解释CSS Float 有没有以非常简单的方式解释浮动的幻灯片就像听起来一样解释它之所以称为浮动是因为元素像船一样漂浮考虑内容的其余部分是水
LINQ to SQL：存储过程结果

如何更改 LINQ to SQL 设计器生成的存储过程结果的类名除了弄乱 Designer cs 之外另外如何对存储过程的结果集执行 linq 查询您可以在 dbml 中编辑它吗就我个人而言我倾向于将自动生成的类型来自函数和存
使用 Pandas 为来自多个 URL 的多个 CSV 文件创建一个数据框

我想使用来自 URL 的多个 CSV 文件的 Pandas 创建 1 个数据框结构并保留初始标题行使用单个 URL 一切都会按预期工作 df pd read csv http www URL1 csv 我已尝试使用多个 URL 进行以
JMeter 中的周期性后台任务

我的测试计划中的请求使用授权令牌我知道该令牌将在 1 小时内过期我需要以某种方式每 59 分钟重新请求一次令牌直到测试完成有人可以建议最好的方法吗看起来使用 While 控制器测试将永远不会完成并停留在永恒的 while 循环中
在控制台中显示完整的 Git 提交消息

我正在尝试在控制台中输出完整的提交消息并且我能够获取该消息但是为了查看完整的消息我必须不断调整控制台窗口的大小以显示更多信息我在 Windows 上使用 Cygwin 我正在使用的命令是git log pretty full 寻呼机
PHP 缺少 mb_strpos 函数？

我收到此错误 PHP Fatal error Call to undefined function mb strpos in my file php 这很奇怪因为mb strpos http us php net manual en fu
使用 javascript 或 jquery 的几何（卷积）函数

我尝试这样做 3 个月我需要按路线方向创建一个多边形如下所示所以我写这个 directionService route request function result status if status google maps Dire
CSS 选项卡边框问题

我无法确定如何操作某些选项卡的边框如果您已登录您可以在 ASP NET 上看到该功能http forums asp net user editprofile aspx http forums asp net user editprofi
如何使用 OpenShift 为裸域添加别名？

如何使我的裸域指向我的 Openshift 应用程序可以在 Openshift 在线仪表板中完成还是只能通过rhc公用事业但是我不确定要执行哪些步骤这是一个两步过程首先确保您有一个提供裸机支持的 DNS 提供商CNAMES 然后添
Microk8s、MetalLB、ingress-nginx - 如何路由外部流量？

Kubernetes Ubuntu 新手来了我正在使用单个 Raspberry Pi 设置 k8s 集群希望将来有更多我用的是microk8sv1 18 8和 Ubuntu 服务器20 04 1 LTS GNU Linux 5 4 0
OSError：SavedModel 文件不存在于：C:\Users\Munib\New 文件夹/{saved_model.pbtxt|saved_model.pb}

我想在 android studio 中使用我的 keras 训练模型我在互联网上获得了这段代码将我的代码从 keras 转换为tensorflow lite 但是当我尝试代码时我收到了这个错误 OSError SavedModel f
C++ 默认赋值运算符

int a 10 int b 10 a b struct test int a 10 test a b a b 第一个代码无法编译因为我们无法分配数组但第二个代码可以类的默认赋值运算符不是简单地为每个数据成员调用赋值吗为什么第二个代
MySQL：用户“userName”@“localhost”的访问被拒绝

我在使用 phpMyAdmin 创建用户并授予用户权限时遇到问题我有一个 Java swing 应用程序它需要连接到该数据库下面是我如何创建用户并授予权限的逐步说明打开 phpMyAdmin 转到用户选项卡点击Add New
无法使用 Angular 和 Spring Security 设置身份验证标头

我在让 Angular CORS SpringSecurity 和基本身份验证正常运行时遇到困难我有以下 Angular Ajax 调用我试图将标头设置为在请求中包含基本授权标头 var headerObj headers Author

无法使用 Angular 和 Spring Security 设置身份验证标头

无法使用 Angular 和 Spring Security 设置身份验证标头 的相关文章

随机推荐

热门标签

无法使用 Angular 和 Spring Security 设置身份验证标头的相关文章