Gateway中Spring Security6统一处理CORS

一、起因

使用了gateway微服务作为整体的网关，并且整合了Spring Security6；还有一个system微服务，作为被请求的资源，当浏览器向gateway发送请求，请求system资源时，遇到CORS问题。

于是我在system对应的controller上加了@CrossOrigin，无效；配置WebMvcConfigurer，也无效。
后来发现，会不会是gateway的spring security6在一开始就拦截了CORS跨域请求，导致根本走不到后面的system配置。

查询了一波，果然如此。这里记录解决方法。

二、解决方法

这是依赖

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>

这是配置

@EnableWebFluxSecurity
@Configuration
public class SecurityConfig {

    //安全拦截配置
    @Bean
    public SecurityWebFilterChain webFluxSecurityFilterChain(ServerHttpSecurity http) throws Exception {
        return http
                .cors(cors -> cors.configurationSource(corsConfigurationSource()))
                .authorizeExchange(exchanges ->
                        exchanges
                                .pathMatchers("/**").permitAll()
                                .anyExchange().authenticated()
                )
                .oauth2ResourceServer(oauth2 -> oauth2.jwt(Customizer.withDefaults()))
                .csrf(ServerHttpSecurity.CsrfSpec::disable)
                .build();
    }

    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration corsConfig = new CorsConfiguration();
        corsConfig.addAllowedOriginPattern("*"); // 允许任何源
        corsConfig.addAllowedMethod("*"); // 允许任何HTTP方法
        corsConfig.addAllowedHeader("*"); // 允许任何HTTP头
        corsConfig.setAllowCredentials(true); // 允许证书（cookies）
        corsConfig.setMaxAge(3600L); // 预检请求的缓存时间（秒）

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfig); // 对所有路径应用这个配置
        return source;
    }
}

需要注意的是，在gateway的spring security中处理了CORS问题后，后续的system什么的，就不需要再二次处理了。因为CORS是一个浏览器的策略，只要处理一次，告诉浏览器我允许跨域，浏览器收到后就不再阻拦请求了。