19. CORS

Spring Framework 提供了对 CORS 的一流支持。必须在 Spring Security 之前处理 CORS，因为飞行前请求将不包含任何 cookie(即JSESSIONID)。如果请求不包含任何 cookie，并且首先使用 Spring Security，则该请求将确定用户未通过身份验证(因为请求中没有 cookie)，并拒绝该用户。

确保首先处理 CORS 的最简单方法是使用CorsFilter。用户可以使用以下代码提供CorsConfigurationSource来将CorsFilter与 Spring Security 集成：

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http
			// by default uses a Bean by the name of corsConfigurationSource
			.cors().and()
			...
	}

	@Bean
	CorsConfigurationSource corsConfigurationSource() {
		CorsConfiguration configuration = new CorsConfiguration();
		configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
		configuration.setAllowedMethods(Arrays.asList("GET","POST"));
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		source.registerCorsConfiguration("/**", configuration);
		return source;
	}
}

或 XML

<http>
	<cors configuration-source-ref="corsSource"/>
	...
</http>
<b:bean id="corsSource" class="org.springframework.web.cors.UrlBasedCorsConfigurationSource">
	...
</b:bean>

如果您使用的是 Spring MVC 的 CORS 支持，则可以省略指定CorsConfigurationSource，并且 Spring Security 将利用提供给 Spring MVC 的 CORS 配置。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http
			// if Spring MVC is on classpath and no CorsConfigurationSource is provided,
			// Spring Security will use CORS configuration provided to Spring MVC
			.cors().and()
			...
	}
}

或 XML

<http>
	<!-- Default to Spring MVC's CORS configuration -->
	<cors />
	...
</http>