我正在遵循有关如何使用 Spring Security 和 Angular 进行登录身份验证的教程,但每当我运行 Angular 程序并尝试登录时,都会收到 401 错误。我觉得这是一个 cors 问题,并创建了一个 cors 过滤器类,这是类似问题的解决方案,但我仍然遇到相同的错误。登录详细信息是正确的,因为我使用相同的凭据登录后端的 localhost:8080,但是当我尝试使用前端登录时,我在索引中收到以下错误。
错误:
请求网址:http://localhost:8080/login
请求方式:GET
状态代码:401
远程地址:[::1]:8080
推荐人政策:降级时无推荐人
Access-Control-Allow-Headers:access_token、授权、内容类型
访问控制允许方法:POST、PUT、GET、OPTIONS、DELETE
访问控制允许来源:*
访问控制最大年龄:4200
缓存控制:无缓存、无存储、max-age=0、必须重新验证
连接:保持活动状态
内容长度:0
日期:2020 年 7 月 28 日星期二 07:47:34 GMT
过期:0
保持活动:超时=60
编译指示:无缓存
变化:起源
变化:访问控制请求方法
变化:访问控制请求标头
WWW-身份验证:基本领域=“领域”
WWW-身份验证:基本领域=“领域”
X-内容类型-选项:nosniff
X 框架选项:拒绝
X-XSS-防护:1;模式=块
接受:application/json、text/plain、/
接受编码:gzip、deflate、br
接受语言:en-GB,en-US;q=0.9,en;q=0.8
授权:Basiccml6YW5hOmp0MTQz
连接:保持活动状态
主机:本地主机:8080
来源:http://localhost:4200
推荐人:http://localhost:4200/login
Sec-Fetch-Dest:空
秒获取模式:cors
Sec-Fetch-Site:同一站点
用户代理:Mozilla/5.0(Linux;Android 6.0;Nexus 5 Build/MRA58N)
AppleWebKit/537.36(KHTML,如 Gecko)Chrome/84.0.4147.89 Mobile Safari/537.36
我已经尝试过:
Angular 2 Spring Boot 登录 CORS 问题
教程:
https://www.youtube.com/watch?v=QV7ke4a7Lvc
弹簧安全配置
@Configuration
public class SpringConfig extends WebSecurityConfigurerAdapter {
@Autowired
private CORSFilter myCorsFilter;
//CORS
@Override
protected void configure(HttpSecurity http) throws Exception {
/* http.cors().and().csrf().
disable()
.authorizeRequests()
.antMatchers(HttpMethod.OPTIONS, "/**")
.permitAll()
.anyRequest()
.fullyAuthenticated()
.and()
.httpBasic();*/
http.addFilterBefore(myCorsFilter, ChannelProcessingFilter .class);
http.cors();
http.csrf().disable();
http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and()
.httpBasic();
}
protected void configure(AuthenticationManagerBuilder auth) throws Exception{
auth.inMemoryAuthentication()
.withUser("java")
.password("{noop}jt143").roles("USER");
}
}
Corsfilter 类
@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CORSFilter implements Filter {
/**
* CORS filter for http-request and response
*/
public CORSFilter() {
}
/**
* Do Filter on every http-request.
*/
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) res;
HttpServletRequest request = (HttpServletRequest) req;
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Methods", "POST, PUT, GET, OPTIONS, DELETE");
response.setHeader("Access-Control-Max-Age", "4200");
response.setHeader("Access-Control-Allow-Headers", "access_token, authorization, content-type");
if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
response.setStatus(HttpServletResponse.SC_OK);
} else {
chain.doFilter(req, res);
}
}
/**
* Destroy method
*/
@Override
public void destroy() {
}
/**
* Initialize CORS filter
*/
@Override
public void init(FilterConfig arg0) throws ServletException {
}
}
@RestController
@CrossOrigin(origins = "*")
public class CashierController {
@Autowired
private CashierRepo repository;
@GetMapping("/login")
public String login(){
return "authenticated";
}
@PostMapping("/addUser")
public String saveCashier(@RequestBody Cashier cashier) {
repository.save(cashier);
return "Added user with user id : " + cashier.getUserId();
}
似乎您没有从 Spring 安全性中排除您的登录 API。每当我们启用 Spring Security 时,我们都必须配置不应施加安全性的 URL 列表。示例 - 登录 api、html 文件、js 文件等。您可以通过将以下方法添加到 SpringConfig 类来实现此目的
@Override
public void configure(WebSecurity web) throws Exception
{
// Allow Login API to be accessed without authentication
web.ignoring().antMatchers("/login").antMatchers(HttpMethod.OPTIONS, "/**"); // Request type options should be allowed.
}
感谢您的评论代码对我有用:)
http.cors().and().csrf().
disable()
.authorizeRequests()
.antMatchers(HttpMethod.OPTIONS, "/**")
.permitAll()
.anyRequest()
.fullyAuthenticated()
.and()
.httpBasic();