登录注册

当前位置:首页 > 文章列表 > 文章 > java教程 > SpringSecurity解决Stripe跨域问题方法

SpringSecurity解决Stripe跨域问题方法

2025-10-25 11:27:39 0浏览 收藏

本篇文章向大家介绍《Spring Security解决Stripe CORS问题方法》,主要包括,具有一定的参考价值,需要的朋友可以参考一下。

解决Spring Security阻止Stripe请求的CORS问题

本文旨在解决Spring Boot应用集成Spring Security后,前端React应用调用Stripe支付接口时遇到的CORS(跨域资源共享)问题。通过分析Spring Security配置、CORS配置以及前端代码,提供了一套完整的解决方案,帮助开发者正确配置CORS,确保Stripe支付功能的正常运行。重点在于理解CORS机制,并结合Spring Security的特性进行配置,最终实现前后端安全可靠的交互。

理解CORS与Spring Security

CORS (Cross-Origin Resource Sharing) 是一种浏览器安全机制,用于限制从一个源(域、协议和端口)发起的HTTP请求访问另一个源的资源。 当浏览器检测到跨域请求时,会先发送一个"预检"(preflight)请求(OPTIONS方法)到服务器,以确认服务器是否允许该跨域请求。

Spring Security作为一个强大的安全框架,默认情况下会拦截所有请求,包括CORS预检请求。 因此,我们需要正确配置Spring Security,使其允许来自特定源的跨域请求。

解决方案

解决此问题的关键在于正确配置CORS,并确保Spring Security不会错误地阻止Stripe的请求。 以下步骤提供了一种全面的解决方案:

1. 移除前端代码中不必要的CORS Header设置

在前端代码 ProfilPayment.java 中,你手动设置了 Access-Control-Allow-Origin 等header。这些header应该由服务器端设置,而不是客户端。移除以下代码:

const headers = {
    'Content-Type': 'application/json',
    "Access-Control-Allow-Origin": "*", // 移除
    'Access-Control-Allow-Methods': "*", // 移除
    'Authorization': `Bearer ${localStorage.getItem("token")}`
}

//修改为:
const headers = {
    'Content-Type': 'application/json',
    'Authorization': `Bearer ${localStorage.getItem("token")}`
}

2. 确保CORS配置正确

检查 CorsConfiguration.java 中的CORS配置。 确保允许前端应用的源(例如 http://localhost:3000)以及Stripe的必要域名。

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class CorsConfiguration {
    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurer() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**")
                        .allowedMethods("HEAD", "GET", "PUT", "POST", "DELETE", "PATCH", "OPTIONS")
                        .allowedOrigins("http://localhost:3000") // 替换为你的前端应用域名
                        .exposedHeaders("*")
                        .allowedHeaders("*")
                        .allowCredentials(true); // 允许携带cookie,如果需要的话
            }
        };
    }
}

注意事项:

  • allowedOrigins 应该设置为你的前端应用的实际域名。 在生产环境中,不要使用 *,因为它会允许所有域的跨域请求,这可能存在安全风险。
  • allowCredentials(true) 只有在你的请求需要携带cookie时才需要设置。

3. Spring Security配置调整

确保Spring Security的配置允许CORS预检请求。 一种方法是在 SecurityConfig.java 中添加一个 CorsFilter bean。 这种方法通常比使用 WebMvcConfigurer 更可靠,尤其是在处理复杂的安全配置时。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.CorsConfigurationSource;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import java.util.Arrays;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    // 注入你的 JWT 过滤器
    private final JwtFilter jwtFilter;

    public SecurityConfig(JwtFilter jwtFilter) {
        this.jwtFilter = jwtFilter;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        String[] staticResources = {
                "/api/clients/authentication/**",
                "/api/repas/**"
        };

        http.cors().and().csrf().disable()
                .exceptionHandling()
                .and()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .antMatchers(staticResources).permitAll()
                .anyRequest().authenticated();

        http.addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class); // 调整过滤器顺序
    }

    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("http://localhost:3000")); // 替换为你的前端应用域名
        configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE", "OPTIONS"));
        configuration.setAllowedHeaders(Arrays.asList("authorization", "content-type", "x-auth-token"));
        configuration.setAllowCredentials(true);
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }

    @Bean
    public CorsFilter corsFilter() {
        return new CorsFilter(corsConfigurationSource());
    }

}

解释:

  • @EnableWebSecurity: 启用 Spring Security 的 Web 安全功能。
  • corsConfigurationSource(): 定义一个 CorsConfigurationSource bean,用于配置 CORS。
    • setAllowedOrigins(): 设置允许的源。
    • setAllowedMethods(): 设置允许的 HTTP 方法。
    • setAllowedHeaders(): 设置允许的请求头。
    • setAllowCredentials(): 设置是否允许携带 cookie。
  • CorsFilter: 创建一个 CorsFilter bean,并将 CorsConfigurationSource 应用于所有请求。

关键点:

  • 确保 CorsFilter 在 Spring Security 过滤器链中正确注册。 在上面的例子中,我们直接在 SecurityConfig 中创建了 CorsFilter bean,Spring会自动将其添加到过滤器链中。
  • 将 JwtFilter 调整到 UsernamePasswordAuthenticationFilter 之前,确保 CORS 过滤器先于 JWT 过滤器执行。 这允许预检请求通过而无需 JWT 验证。

4. 检查Stripe域名

确认你使用的Stripe API域名是否需要添加到CORS允许列表中。虽然 r.stripe.com 主要用于跟踪,但确保用于实际支付请求的域名(例如 api.stripe.com)也在你的CORS配置中。通常情况下,Stripe SDK会自动处理与Stripe API的交互,所以你可能不需要显式地添加api.stripe.com到allowedOrigins。

5. 测试与调试

完成上述配置后,重新启动你的Spring Boot应用和React应用。 使用浏览器的开发者工具检查网络请求,查看CORS相关的header是否正确设置。 确保没有CORS错误。

总结

解决Spring Security和Stripe集成中的CORS问题需要仔细配置CORS和Spring Security。 通过移除前端不必要的CORS header,正确配置Spring Security和CORS过滤器,并验证Stripe域名,可以确保你的应用能够安全地处理Stripe支付请求。记住,安全至关重要,始终使用最小权限原则,并避免在生产环境中使用通配符(*)作为允许的源。

终于介绍完啦!小伙伴们,这篇关于《SpringSecurity解决Stripe跨域问题方法》的介绍应该让你收获多多了吧!欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识,快来关注吧!

电脑USB口突然没反应怎么办电脑USB口突然没反应怎么办
上一篇
电脑USB口突然没反应怎么办
Linux防火墙管理实战教程
下一篇
Linux防火墙管理实战教程
查看更多
最新文章
查看更多
课程推荐
  • 前端进阶之JavaScript设计模式
    前端进阶之JavaScript设计模式
    设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
    543次学习
  • GO语言核心编程课程
    GO语言核心编程课程
    本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
    516次学习
  • 简单聊聊mysql8与网络通信
    简单聊聊mysql8与网络通信
    如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
    500次学习
  • JavaScript正则表达式基础与实战
    JavaScript正则表达式基础与实战
    在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
    487次学习
  • 从零制作响应式网站—Grid布局
    从零制作响应式网站—Grid布局
    本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
    485次学习
查看更多
AI推荐
  • ljg-skills -
    ljg-skills
    ljg-skills 是李继刚开源的 AI 技能与提示词集合,面向大模型使用者整理了一批可复用的 prompt、角色设定和任务技能模板,适合用于学习提示词设计、搭建个人 AI 工作流和沉淀团队常用智能体能力。
    119次使用
  • MELO音乐 - AI 音乐生成平台,支持多模态创作能力
    MELO音乐
    MELO音乐是一站式AI视频与音乐制作助手,对标suno, udio的高品质体验。提供伴奏生成、原创写词、无损导出、哼唱识曲、混音变声等全套音频与短视频编辑工具。无论是流行Kpop、电音说唱、民谣古风、摇滚儿歌还是商用轻音乐,MELO为你免费谱曲,轻松做同款!
    139次使用
  • UniScribe - AI 免费在线音视频转文字平台
    UniScribe
    UniScribe 是一款 AI 音视频转文字与内容整理工具,支持上传音频、视频文件或粘贴 YouTube 链接,自动生成转写文本、摘要、思维导图和关键问题,并支持多格式导出,适合会议记录、课程学习、访谈整理和内容创作复盘。
    124次使用
  • 剧云 - 免费 AI 智能中文剧本创作平台
    剧云
    剧云是专业中文剧本创作平台,安全稳定运行十余年,集成AI编剧、剧本医生审核、人物小传、剧情关系图、大纲编写、多人协作、Word导入导出、版权管控功能,数据安全防护,轻松高效创作剧本。
    278次使用
  • 万象有声 - AI 一站式有声内容创作平台
    万象有声
    万象有声,一个专为有声创作者打造的新一代智能有声内容创作平台。平台提供专业的智能拆章、智能画本编辑、AI配音、AI生成音效、后期制作、智能对轨、智能审听等有声创作全流程工具,可以帮助创作者高效、低成本创作出引人入胜的有声作品。立即体验,让有声书制作更简单!
    278次使用
查看更多
相关文章
关于我们 免责声明 意见反馈 联系我们 内容提交 手册
Golang学习网:公益在线Go学习平台,帮助Go学习者快速成长!
技术交流群
Copyright 2023 http://www.17golang.com/ All Rights Reserved | 苏ICP备2023003363号-1
  • Golang学习网
    关注公众号
    Golang学习网
微信登录更方便
  • 密码登录
  • 注册账号
忘记密码
登录即同意 用户协议隐私政策
返回登录
  • 重置密码
发送验证码