解决React前端与Spring Security登录时的CORS跨域问题

程序猿 • 2025年11月29日 19:16:27 • java • 阅读 0

本文详细阐述了react前端（如http://localhost:3000）在与spring security后端（如http://localhost:8080）进行登录认证时，常遇到的cors跨域请求阻塞问题。文章提供了全面的解决方案，通过在spring security中精确配置corsconfigurationsource，包括允许的源、方法、请求头和凭据，以确保登录请求（特别是涉及预检请求和凭据的请求）能够顺畅通过，实现前后端安全且高效的通信。

1. 理解CORS与Spring Security中的挑战

跨域资源共享（CORS）是一种浏览器安全机制，它限制了网页从不同域加载资源。当前端应用（例如，运行在http://localhost:3000的React应用）尝试向不同源的后端API（例如，运行在http://localhost:8080的Spring Boot应用）发送请求时，浏览器会执行CORS检查。对于简单的GET/POST请求，浏览器可能直接发送请求；但对于复杂的请求（如带有自定义头部、PUT/DELETE方法或需要凭据的请求），浏览器会先发送一个预检（Preflight）请求（HTTP OPTIONS方法），以确认服务器是否允许实际请求。

在Spring Security中处理登录请求时，由于通常涉及用户凭据（如Cookie或Authorization头部），这些请求被认为是“复杂请求”，因此会触发CORS预检。如果Spring Security没有正确配置CORS策略来响应这些预检请求，或者没有在响应中包含必要的CORS头部（如Access-Control-Allow-Origin），浏览器就会阻止实际的登录请求，导致常见的“CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the requested resource”错误。即使禁用了CSRF并尝试添加了CORS配置，如果配置不完整或不准确，问题依然会存在。

2. Spring Security CORS配置核心要素

解决React前端与Spring Security登录时的CORS问题，关键在于在Spring Security配置中提供一个全面且正确的CorsConfigurationSource。以下是配置的关键组成部分：

神采PromeAI

将涂鸦和照片转化为插画，将线稿转化为完整的上色稿。

103 查看详情

2.1 WebSecurityConfig 类结构

我们需要一个Spring配置类来定义安全链和CORS策略。

立即学习“前端免费学习笔记（深入）”；

import org.springframework.beans.factory.annotation.Autowired;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.authentication.AuthenticationManager;import org.springframework.security.authentication.AuthenticationProvider;import org.springframework.security.authentication.dao.DaoAuthenticationProvider;import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.core.userdetails.UserDetailsService;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;import org.springframework.security.crypto.password.PasswordEncoder;import org.springframework.security.web.SecurityFilterChain;import org.springframework.web.cors.CorsConfiguration;import org.springframework.web.cors.CorsConfigurationSource;import org.springframework.web.cors.UrlBasedCorsConfigurationSource;import java.util.Arrays;import java.util.List;@Configuration@EnableWebSecuritypublic class WebSecurityConfig {    @Autowired    UserDetailsService userDetailsService;    /**     * 配置认证管理器     */    @Bean    public AuthenticationManager authManager(HttpSecurity http) throws Exception {        AuthenticationManagerBuilder authenticationManagerBuilder =                http.getSharedObject(AuthenticationManagerBuilder.class);        authenticationManagerBuilder.authenticationProvider(authenticationProvider());        authenticationManagerBuilder.userDetailsService(userDetailsService);        return authenticationManagerBuilder.build();    }    /**     * 配置安全过滤链     */    @Bean    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {        return http                .csrf().disable() // 禁用CSRF，如果前端不发送CSRF令牌，通常需要禁用                .cors()                    // 明确指定CORS配置源，确保每次请求都获取最新配置                    .configurationSource(request -> cors

以上就是解决React前端与Spring Security登录时的CORS跨域问题的详细内容，更多请关注创想鸟其它相关文章！

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 chuangxiangniao@163.com 举报，一经查实，本站将立刻删除。
发布者：程序猿，转转请注明出处：https://www.chuangxiangniao.com/p/943084.html

access ai cookie java react spring securit word 前端后端浏览器跨域

打赏

微信扫一扫

支付宝扫一扫

0 0

关于作者

程序猿签约作者

316.3K 文章

0 评论

1 粉丝

这个人很懒，什么都没有留下～

Java中Integer到Double对象转换的策略与实践

上一篇 2025年11月29日 19:16:15

针对VLCJ 4.x版本音频播放提前结束问题的解决方案

下一篇 2025年11月29日 19:16:38

好文分享

前端Pyodide性能优化：如何利用IndexedDB缓存Wasm模块提升加载速度？

前端Pyodide性能优化：利用IndexedDB缓存Wasm模块，提升加载速度在前端使用Pyodide运行Python代码时，反复加载庞大的NumPy和SciPy Wasm模块会显著降低加载速度，影响用户体验。本文介绍如何利用浏览器内置的IndexedDB数据库缓存这些Wasm模块，从而大幅提升…

程序猿
2025年12月13日
0000
好文分享

Python函数返回值类型如何根据参数值动态变化并进行类型提示？

Python函数：根据参数值动态调整返回值类型及类型提示本文探讨如何在Python中创建一个函数，其返回值类型根据函数参数的值（而非类型）动态变化，并确保IDE的类型提示系统能够正确识别这种变化。这对于编写更清晰、更易维护的代码至关重要。问题源于open()函数的特性：以’r’模式打开文本文件时…

程序猿
2025年12月13日
0000
好文分享

Python函数返回值类型如何根据参数值动态变化？

Python函数返回值类型：根据参数值动态调整类型提示在Python编程中，我们常常遇到这种情况：函数的返回值类型取决于输入参数的值。例如，内置的open()函数，以’r’模式打开文件返回str，以’rb’模式打开文件返回bytes。本文将讲解如何…

程序猿
2025年12月13日
0000
好文分享

FastAPI项目中：Loguru日志记录为何在代码启动Uvicorn时无法打印HTTP请求日志？

FastAPI项目中Loguru日志记录与Uvicorn启动方式的差异分析本文分析了在FastAPI项目中，使用Loguru进行日志记录时，Uvicorn的不同启动方式（命令行 vs. 代码）如何影响HTTP请求日志输出的问题。问题表现为：使用uvicorn main:app命令启动时，HTTP…

程序猿
2025年12月13日
0000
好文分享

Selenium截图：PNG与JPG格式差异及内存处理方法是什么？

Selenium截图：PNG、JPG格式差异及内存优化 Selenium自动化测试中，截图格式选择至关重要。Selenium WebDriver 提供 get_screenshot_as_png 和 get_screenshot_as_base64 两个API，后者实际上是前者的底层实现，并进行简单…

程序猿
2025年12月13日
0000
好文分享

Google Cloud Storage身份验证：如何用Python SDK安全地上传文件到GCS？

Google Cloud Storage (GCS) 安全身份验证与Python SDK文件上传许多开发者习惯于使用类似阿里云OSS的Access Key ID和Access Key Secret进行身份验证，但Google Cloud Storage的机制有所不同。本文将阐述GCS的身份验证方法…

程序猿
2025年12月13日
0000
好文分享

Python3.10中int和float的隐式转换到底变了什么？

python 3.10 中 int 和 float 隐式转换的重大改变 Python 3.10 版本对 int 和 float 之间的隐式类型转换进行了调整。与之前的版本不同，Python 3.10 现在不再自动将浮点数隐式转换为整数。这意味着，那些以前可以接受浮点数作为参数的函数，在 3.10…

程序猿
2025年12月13日
0000
好文分享

Python数据库驱动程序在多线程环境下如何保证安全？

Python数据库驱动程序的多线程安全访问本文探讨在多线程环境下，如何安全地使用Python数据库驱动程序。多个线程同时访问同一数据库连接可能导致数据不一致或其他问题。不同驱动程序的策略以下列举几种常用数据库驱动程序在多线程环境下的安全处理方法：立即学习“Python免费学习笔记（深入）”…

程序猿
2025年12月13日
0000
好文分享

腾讯企业邮已投递，邮件地址真的存在吗？

腾讯企业邮箱投递报告：邮箱地址真实性分析您使用腾讯企业邮箱发送邮件后，系统显示邮件已成功投递至对方服务器。但这是否意味着目标邮箱地址真实存在呢？答案并非绝对肯定。邮件投递与地址真实性的关系邮件服务器在收到邮件后，会根据SMTP协议进行处理。SMTP协议包含几种验证邮箱地址的方法，例如EXPN、…

程序猿
2025年12月13日
0000
好文分享

QtQuick和Python打包成EXE后QML无法加载怎么办？

PyInstaller 打包 Qt Quick 和 Python 应用时 QML 加载失败的解决方法使用 PyInstaller 将 Qt Quick 应用（包含 Python 代码）打包成 EXE 文件后，QML 界面无法加载，显示空白？本文提供几种解决方法。问题描述：将 Qt Quick …

程序猿
2025年12月13日
0000
好文分享

IDEA/VSCode中如何比较本地代码与远程仓库？

在IDEA和VSCode中高效比较本地代码与远程仓库 Git与SVN的代码比较方式有所不同，Git需要先将远程仓库代码拉取到本地，再处理冲突。但一些IDE提供了更便捷的直接比较功能。使用JetBrains IDE（如IDEA和部分配置的VSCode）右键点击项目中的文件或文件夹。选择Git -&…

程序猿
2025年12月13日
0000
好文分享

邮件投递成功，邮箱地址真的存在吗？

邮件投递成功，邮箱地址真实性验证使用腾讯企业邮箱发送邮件到目标地址后，收到邮件已投递至对方服务器的反馈，但没有退信，这是否代表该邮箱地址真实存在？结论：如果目标邮件服务器严格遵守SMTP协议，则可以推断该地址确实存在。 SMTP协议提供三种验证邮箱地址存在性的方法：EXPN、VRFY和RCPT…

程序猿
2025年12月13日
0000
好文分享

Pyinstaller打包QtQuick应用后界面空白？如何解决？

pyinstaller打包qt quick应用界面空白的解决方案许多开发者在使用Pyinstaller打包包含Qt Quick界面的Python应用时，会遇到运行exe后界面空白的问题，这是因为打包过程中Qt Quick模块及其依赖项未能正确包含。解决方法：在Pyinstaller打包命令中添加…

程序猿
2025年12月13日
0000
好文分享

JetBrains IDE中如何使用Git比较本地代码和远程仓库？

JetBrains IDE 中的 Git 代码比较：本地与远程仓库的差异分析您是否需要快速便捷地对比本地代码与远程仓库代码？ JetBrains IDE 提供了高效的 Git 集成，让这一操作变得简单易行。无需繁琐的拉取操作，即可直观查看差异。具体步骤如下：在 JetBrains IDE（例如…

程序猿
2025年12月13日
0000
好文分享

FastAPI如何调节线程池大小以避免503错误？

优化FastAPI以避免503错误：调整线程池大小 Uvicorn服务器不像Gunicorn那样直接提供线程数配置（threads参数）。虽然limit_concurrency可以限制并发请求，但会导致超出限制的请求返回503错误。这并非Uvicorn的线程池问题，而是FastAPI自身对同步视图…

程序猿
2025年12月13日
0000
好文分享

Python多进程Queue队列：如何避免Ping Pong输出数量超出预期？

Python多进程Queue队列及常见问题：Ping Pong示例的改进在学习Python多进程编程时，使用multiprocessing.Queue队列可能会遇到一些棘手的问题。例如，经典的Ping-Pong程序中，输出结果常常超出预期。问题：许多教程中的Ping-Pong示例代码，使用两个…

程序猿
2025年12月13日
0000
好文分享

Python如何从JSON API响应中提取特定标签值的数据？

Python高效提取JSON数据中的特定标签值本文演示如何使用Python从JSON API响应中提取特定标签值对应的字段数据。例如，从API响应中提取tag值为’544574871’的数据项的sid字段。以下Python代码实现了这一功能： import request…

程序猿
2025年12月13日
0000
好文分享

如何批量提取CSV文件第四列并去重后保存？

Python脚本实现批量CSV文件处理：提取第四列，去重并保存需要批量处理多个CSV文件，提取每个文件的第四列数据，去除重复项，并将结果保存到新的CSV文件中，同时保留原始文件名？以下Python脚本使用Pandas库高效地完成此任务。代码： import osimport pandas as…

程序猿
2025年12月13日
0000
好文分享

Python安装PyArrow报错“command ‘cmake’ failed”怎么办？

解决Python安装PyArrow时出现的“command ‘cmake’ failed”错误在使用pip安装PyArrow库时，遇到 “error: command ‘cmake’ failed with exit status 1&#…

程序猿
2025年12月13日
0000
好文分享

如何用Rainbow Brackets插件让PyCharm代码更炫彩？

告别单调！使用Rainbow Brackets插件提升PyCharm代码可读性 PyCharm功能强大，但代码配色略显单调。与Visual Studio Code的PyLance插件相比，PyCharm的代码可视化效果略逊一筹。如果您希望PyCharm代码也拥有丰富的色彩，又不想手动逐一设置，那么…

程序猿
2025年12月13日
0000