最新の安定バージョンについては、Spring Security 6.3.3 を使用してください!

CORS

Spring Framework は、CORS のファーストクラスサポートを提供します。プリフライトリクエストには Cookie(つまり JSESSIONID)が含まれないため、CORS は Spring Security の前に処理する必要があります。リクエストに Cookie が含まれておらず、Spring Security が最初の場合、リクエストは(リクエストに Cookie がないため)ユーザーが認証されていないと判断し、拒否します。

CORS が最初に処理されるようにする最も簡単な方法は、CorsFilter を使用することです。ユーザーは、以下を使用して CorsConfigurationSource を提供することにより、CorsFilter と Spring Security を統合できます。

  • Java

  • Kotlin

@EnableWebSecurity
public class WebSecurityConfig {

	@Bean
	public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
		http
			// by default uses a Bean by the name of corsConfigurationSource
			.cors(withDefaults())
			...
		return http.build();
	}

	@Bean
	CorsConfigurationSource corsConfigurationSource() {
		CorsConfiguration configuration = new CorsConfiguration();
		configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
		configuration.setAllowedMethods(Arrays.asList("GET","POST"));
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		source.registerCorsConfiguration("/**", configuration);
		return source;
	}
}
@EnableWebSecurity
open class WebSecurityConfig {
    @Bean
    open fun filterChain(http: HttpSecurity): SecurityFilterChain {
        http {
            // by default uses a Bean by the name of corsConfigurationSource
            cors { }
            // ...
        }
        return http.build()
    }

    @Bean
    open fun corsConfigurationSource(): CorsConfigurationSource {
        val configuration = CorsConfiguration()
        configuration.allowedOrigins = listOf("https://example.com")
        configuration.allowedMethods = listOf("GET", "POST")
        val source = UrlBasedCorsConfigurationSource()
        source.registerCorsConfiguration("/**", configuration)
        return source
    }
}

または XML

<http>
	<cors configuration-source-ref="corsSource"/>
	...
</http>
<b:bean id="corsSource" class="org.springframework.web.cors.UrlBasedCorsConfigurationSource">
	...
</b:bean>

Spring MVC の CORS サポートを使用している場合は、CorsConfigurationSource の指定を省略でき、Spring Security は Spring MVC に提供された CORS 構成を活用します。

  • Java

  • Kotlin

@EnableWebSecurity
public class WebSecurityConfig {

	@Bean
	public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
		http
			// if Spring MVC is on classpath and no CorsConfigurationSource is provided,
			// Spring Security will use CORS configuration provided to Spring MVC
			.cors(withDefaults())
			...
		return http.build();
	}
}
@EnableWebSecurity
open class WebSecurityConfig {
    @Bean
    open fun filterChain(http: HttpSecurity): SecurityFilterChain {
        http {
            // if Spring MVC is on classpath and no CorsConfigurationSource is provided,
            // Spring Security will use CORS configuration provided to Spring MVC
            cors { }
            // ...
        }
        return http.build()
    }
}

または XML

<http>
	<!-- Default to Spring MVC's CORS configuration -->
	<cors />
	...
</http>