このバージョンはまだ開発中であり、まだ安定しているとは見なされていません。最新の安定バージョンについては、Spring Security 7.0.5 を使用してください! |
CORS
Spring Framework は、CORS のファーストクラスのサポートを提供します。プリフライトのリクエストには Cookie(つまり、JSESSIONID)が含まれていないため、CORS は Spring Security の前に処理する必要があります。リクエストに Cookie が含まれておらず、Spring Security が最初の場合、リクエストはユーザーが認証されていないと判断し(リクエストに Cookie がないため)、それを拒否します。
CorsConfigurationSource を提供する
CORS が最初に処理されるようにする最も簡単な方法は、CorsFilter を使用することです。ユーザーは、CorsConfigurationSource を提供することで、CorsFilter を Spring Security と統合できます。Spring Security は、UrlBasedCorsConfigurationSource インスタンスが存在する場合にのみ CORS を自動的に構成することに注意してください。例: 次の例は、Spring Security 内で CORS サポートを統合します。
Java
Kotlin
@Bean
UrlBasedCorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
configuration.setAllowedMethods(Arrays.asList("GET","POST"));
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}@Bean
fun corsConfigurationSource(): UrlBasedCorsConfigurationSource {
val configuration = CorsConfiguration()
configuration.allowedOrigins = listOf("https://example.com")
configuration.allowedMethods = listOf("GET", "POST")
val source = UrlBasedCorsConfigurationSource()
source.registerCorsConfiguration("/**", configuration)
return source
}次のリストは、XML でも同じことを行います。
<http>
<cors configuration-source-ref="corsSource"/>
...
</http>
<b:bean id="corsSource" class="org.springframework.web.cors.UrlBasedCorsConfigurationSource">
...
</b:bean>Spring MVC 統合
Spring MVC の CORS サポートを使用する場合は、CorsConfigurationSource の指定を省略でき、Spring Security は Spring MVC に提供されている CORS 構成を使用します。
Java
Kotlin
@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
// if Spring MVC is on classpath and no CorsConfigurationSource is provided,
// Spring Security will use CORS configuration provided to Spring MVC
.cors(withDefaults())
...
return http.build();
}
}@Configuration
@EnableWebSecurity
open class WebSecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
// if Spring MVC is on classpath and no CorsConfigurationSource is provided,
// Spring Security will use CORS configuration provided to Spring MVC
cors { }
// ...
}
return http.build()
}
}次のリストは、XML でも同じことを行います。
<http>
<!-- Default to Spring MVC's CORS configuration -->
<cors />
...
</http>チェーンごとの設定
CorsConfigurationSource Bean が複数ある場合、Spring Security はどれを使用すべきかを判断できないため、CORS サポートを自動的に構成しません。各 SecurityFilterChain に異なる CorsConfigurationSource を指定したい場合は、それを .cors() DSL に直接渡すことができます。
Java
Kotlin
@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
@Bean
@Order(0)
public SecurityFilterChain apiFilterChain(HttpSecurity http) throws Exception {
http
.securityMatcher("/api/**")
.cors((cors) -> cors
.configurationSource(apiConfigurationSource())
)
...
return http.build();
}
@Bean
@Order(1)
public SecurityFilterChain myOtherFilterChain(HttpSecurity http) throws Exception {
http
.cors((cors) -> cors
.configurationSource(myWebsiteConfigurationSource())
)
...
return http.build();
}
UrlBasedCorsConfigurationSource apiConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(Arrays.asList("https://api.example.com"));
configuration.setAllowedMethods(Arrays.asList("GET","POST"));
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
UrlBasedCorsConfigurationSource myWebsiteConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
configuration.setAllowedMethods(Arrays.asList("GET","POST"));
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
}@Bean
fun corsConfigurationSource(): UrlBasedCorsConfigurationSource {
val configuration = CorsConfiguration()
configuration.allowedOrigins = listOf("https://example.com")
configuration.allowedMethods = listOf("GET", "POST")
val source = UrlBasedCorsConfigurationSource()
source.registerCorsConfiguration("/**", configuration)
return source
}PreFlightRequestHandler および PreFlightRequestFilter
Spring Framework は、CorsFilter の外部で CORS プリフライト (OPTIONS) リクエストを処理する必要があるアプリケーション向けに PreFlightRequestHandler (Javadoc) を定義します。Spring Security がフィルターチェーンに PreFlightRequestHandler を選択すると、PreFlightRequestFilter (Javadoc) がセキュリティフィルターチェーン (CorsFilter の前) に登録され、リクエストライフサイクルの早い段階でプリフライトを処理できるようになります。
ハンドラーを指定するには、以下のいずれかの方法があります。
preFlightRequestHandler属性を使用してハンドラーを直接渡します。CORS が有効で、かつそのチェーンに対して
CorsConfigurationSourceまたはCorsFilterが選択されていない場合に、PreFlightRequestHandlerBean を登録します。
You must not configure both configurationSource and preFlightRequestHandler on the same CorsConfigurer; doing so results in an error at startup.
The following example explicitly registers a PreFlightRequestHandler using the preFlightRequestHandler:
Java
Kotlin
http
// ..
.cors((cors) -> cors
.preFlightRequestHandler(preFlightRequestHandler)
);
return http.build();@Bean
fun springSecurity(http: HttpSecurity, preFlightRequestHandler: PreFlightRequestHandler): SecurityFilterChain {
http {
authorizeHttpRequests {
authorize(anyRequest, authenticated)
}
cors {
this.preFlightRequestHandler = preFlightRequestHandler
}
}
return http.build()
}CORS はブラウザーベースのセキュリティ機能です。 |
