跨域可以在前端通过 JSONP 来解决,但是 JSONP 只可以发送 GET 请求,无法发送其他类型的请求,在 RESTful 风格的应用中,就显得非常鸡肋,因此我们推荐在后端通过 (CORS,Cross-origin resource sharing) 来解决跨域问题。这种解决方案并非 Spring Boot 特有的,在传统的 SSM 框架中,就可以通过 CORS 来解决跨域问题,只不过之前我们是在 XML 文件中配置 CORS ,现在可以通过实现WebMvcConfigurer接口然后重写addCorsMappings方法解决跨域问题。

    1. @Configuration
    2. public class CorsConfig implements WebMvcConfigurer {
    4.     @Override
    5.     public void addCorsMappings(CorsRegistry registry) {
    6.         registry.addMapping("/**")
    7.             .allowedOrigins("*")
    8.             .allowCredentials(true)
    9.             .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
    10.             .maxAge(3600);
    11.     }
    13. }

    项目中前后端分离部署,所以需要解决跨域的问题。
    我们使用cookie存放用户登录的信息,在spring拦截器进行权限控制,当权限不符合时,直接返回给用户固定的json结果。
    当用户登录以后,正常使用;当用户退出登录状态时或者token过期时,由于拦截器和跨域的顺序有问题,出现了跨域的现象。
    我们知道一个http请求,先走filter,到达servlet后才进行拦截器的处理,如果我们把cors放在filter里,就可以优先于权限拦截器执行。

    1. @Configuration
    2. public class CorsConfig {
    4.     @Bean
    5.     public CorsFilter corsFilter() {
    6.         CorsConfiguration corsConfiguration = new CorsConfiguration();
    7.         corsConfiguration.addAllowedOrigin("*");
    8.         corsConfiguration.addAllowedHeader("*");
    9.         corsConfiguration.addAllowedMethod("*");
    10.         corsConfiguration.setAllowCredentials(true);
    11.         UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
    12.         urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
    13.         return new CorsFilter(urlBasedCorsConfigurationSource);
    14.     }
    16. }