Spring的@CrossOrigin注解处理请求源码解析

更新时间：2023年12月02日 10:12:18 作者：securitit

这篇文章主要介绍了Spring的@CrossOrigin注解处理请求源码解析,@CrossOrigin源码解析主要分为两个阶段@CrossOrigin注释的方法扫描注册,请求匹配@CrossOrigin注释的方法,本文从源码角度进行解析,需要的朋友可以参考下

前言

@CrossOrigin源码解析主要分为两个阶段：

① @CrossOrigin注释的方法扫描注册。

② 请求匹配@CrossOrigin注释的方法。

本文针对第②阶段从源码角度进行解析

请求匹配@CrossOrigin注释的方法

请求匹配@CrossOrigin注释的方法流程

在这里插入图片描述

1) DispatcherServlet.doDispatch(...)、DispatcherServlet.getHandler(...)、AbstractHandlerMapping.getHandler(...)方法。

2) AbstractHandlerMethodMapping.getCorsConfiguration(...)方法。

① 若处理器为CorsConfigurationSource类型，获取处理器CorsConfiguration配置作为基础配置。

② 若处理方法为预处理方法，则返回默认配置CorsConfiguration，其配置均为*。

③ 若处理方法非预处理方法，根据处理方法查找CorsConfiguration配置，同时与①所得配置进行合并。

/**
 * 获取CorsConfiguration.
 */
@Override
protected CorsConfiguration getCorsConfiguration(Object handler, HttpServletRequest request) {
    // 若处理器为CorsConfigurationSource类型，直接获取处理器CorsConfiguration配置.
    CorsConfiguration corsConfig = super.getCorsConfiguration(handler, request);
    if (handler instanceof HandlerMethod) {
        HandlerMethod handlerMethod = (HandlerMethod) handler;
        // 请求方法是预处理方法.
        if (handlerMethod.equals(PREFLIGHT_AMBIGUOUS_MATCH)) {
            return AbstractHandlerMethodMapping.ALLOW_CORS_CONFIG;
        }
        // 请求方法非预处理方法.
        else {
            // 根据处理器查找CorsConfiguration配置.
            CorsConfiguration corsConfigFromMethod = this.mappingRegistry.getCorsConfiguration(handlerMethod);
            // 合并corsConfig和corsConfigFromMethod.
            corsConfig = (corsConfig != null ? corsConfig.combine(corsConfigFromMethod) : corsConfigFromMethod);
        }
    }
    return corsConfig;
}

3) AbstractHandlerMapping.getCorsConfiguration(...)方法。

若处理器为CorsConfigurationSource类型，获取处理器CorsConfiguration配置作为基础配置。

/**
 * 检索给定处理程序的CORS配置.
 * @param handler 处理器.
 * @param request 当前请求.
 * @return 处理程序的CORS配置，或者null（如果没有）.
 */
@Nullable
protected CorsConfiguration getCorsConfiguration(Object handler, HttpServletRequest request) {
    Object resolvedHandler = handler;
    if (handler instanceof HandlerExecutionChain) {
        resolvedHandler = ((HandlerExecutionChain) handler).getHandler();
    }
    if (resolvedHandler instanceof CorsConfigurationSource) {
        return ((CorsConfigurationSource) resolvedHandler).getCorsConfiguration(request);
    }
    return null;
}

4) AbstractHandlerMethodMapping.MappingRegistry.getCorsConfiguration(...)方法。

① 从HandlerMethod解析实际的HandlerMethod。

② 根据HandlerMethod从corsLookup中获取CorsConfiguration配置。

/**
 * 返回CORS配置.
 * 线程安全并发使用.
 */
public CorsConfiguration getCorsConfiguration(HandlerMethod handlerMethod) {
    // 解析实际的HandlerMethod.
    HandlerMethod original = handlerMethod.getResolvedFromHandlerMethod();
    // 从corsLookup中获取CorsConfiguration配置.
    return this.corsLookup.get(original != null ? original : handlerMethod);
}

5) AbstractHandlerMapping.getCorsHandlerExecutionChain(...)方法。

① 若请求为预处理请求，AbstractHandlerMapping.PreFlightHandler作为处理器实现。

② 若请求非预处理请求，增加拦截器AbstractHandlerMapping.CorsInterceptor对请求进行拦截处理。

/**
 * 为CORS相关处理更新HandlerExecutionChain.
 * 对于预处理请求，默认实现用一个简单的HttpRequestHandler替换所选的处理程序，
 * 	该处理程序调用配置的setCorsProcessor.
 * 对于实际的请求，默认实现插入一个HandlerInterceptor，它进行CORS相关的检查并添加CORS头.
 * @param request 当前请求.
 * @param chain 处理链.
 * @param config 适用的CORS配置（可能是null）.
 */
protected HandlerExecutionChain getCorsHandlerExecutionChain(HttpServletRequest request,
                                                             HandlerExecutionChain chain, @Nullable CorsConfiguration config) {
    // 是CORS预处理请求.
    if (CorsUtils.isPreFlightRequest(request)) {
        HandlerInterceptor[] interceptors = chain.getInterceptors();
        chain = new HandlerExecutionChain(new PreFlightHandler(config), interceptors);
    }
    // 不是CORS预处理请求.		
    else {
        chain.addInterceptor(new CorsInterceptor(config));
    }
    return chain;
}

6) AbstractHandlerMapping.PreFlightHandler、AbstractHandlerMapping.CorsInterceptor类。

① 若请求非CORS请求，则跳过处理逻辑。

② 若响应已包含Access-Control-Allow-Origin头，则跳过处理逻辑。

③ 若请求与服务同源，则跳过处理逻辑。

④ 当CORS配置为null时，若请求为预处理请求，则拒绝请求，否则跳过处理逻辑。

/**
 * 处理请求.
 */
@Override
@SuppressWarnings("resource")
public boolean processRequest(@Nullable CorsConfiguration config, HttpServletRequest request,
                              HttpServletResponse response) throws IOException {
    // 非CORS请求，不进行处理.
    if (!CorsUtils.isCorsRequest(request)) {
        return true;
    }
    // 响应已包含Access-Control-Allow-Origin，不进行处理.
    ServletServerHttpResponse serverResponse = new ServletServerHttpResponse(response);
    if (responseHasCors(serverResponse)) {
        logger.debug("Skip CORS processing: response already contains \"Access-Control-Allow-Origin\" header");
        return true;
    }
    // 请求来自同源，不进行处理.
    ServletServerHttpRequest serverRequest = new ServletServerHttpRequest(request);
    if (WebUtils.isSameOrigin(serverRequest)) {
        logger.debug("Skip CORS processing: request is from same origin");
        return true;
    }
    // 是否预处理请求.
    boolean preFlightRequest = CorsUtils.isPreFlightRequest(request);
    if (config == null) {
        if (preFlightRequest) {
            rejectRequest(serverResponse);
            return false;
        }
        else {
            return true;
        }
    }
	// 请求处理方法.
    return handleInternal(serverRequest, serverResponse, config, preFlightRequest);
}

① 获取请求Origin头，检查并获取允许的源。

② 针对Vary头，增加值：Origin、Access-Control-Request-Method、Access-Control-Request-Headers。

③ 允许的源为空，则拒绝请求。

④ 获取请求方法，检查并获取允许的方法。

⑤ 允许的方法为空，则拒绝请求。

⑥ 获取请求头，检查并获取请求的头。

⑦ 若请求为预处理请求，且允许的头为空，拒绝请求。

⑧ 设置Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers、Access-Control-Expose-Headers、Access-Control-Allow-Credentials、Access-Control-Max-Age。

/**
 * 请求处理方法.
 */
protected boolean handleInternal(ServerHttpRequest request, ServerHttpResponse response,
                                 CorsConfiguration config, boolean preFlightRequest) throws IOException {
    // 获取请求的Origin头.
    String requestOrigin = request.getHeaders().getOrigin();
    // 检查并获取允许源.
    String allowOrigin = checkOrigin(config, requestOrigin);
    HttpHeaders responseHeaders = response.getHeaders();
    // 增加Vary头，其值为：Origin、Access-Control-Request-Method、Access-Control-Request-Headers.
    responseHeaders.addAll(HttpHeaders.VARY, Arrays.asList(HttpHeaders.ORIGIN,
                                                           HttpHeaders.ACCESS_CONTROL_REQUEST_METHOD, HttpHeaders.ACCESS_CONTROL_REQUEST_HEADERS));
    // 允许源为空，则拒绝请求.
    if (allowOrigin == null) {
        logger.debug("Rejecting CORS request because '" + requestOrigin + "' origin is not allowed");
        rejectRequest(response);
        return false;
    }
    // 获取请求方法.
    HttpMethod requestMethod = getMethodToUse(request, preFlightRequest);
    // 检查并获取允许的方法.
    List<HttpMethod> allowMethods = checkMethods(config, requestMethod);
    // 允许方法为空，则拒绝请求.
    if (allowMethods == null) {
        logger.debug("Rejecting CORS request because '" + requestMethod + "' request method is not allowed");
        rejectRequest(response);
        return false;
    }
    // 获取请求头.
    List<String> requestHeaders = getHeadersToUse(request, preFlightRequest);
    // 检查并获取请求的头.
    List<String> allowHeaders = checkHeaders(config, requestHeaders);
    // 预处理请求，且允许的头为空，拒绝请求.
    if (preFlightRequest && allowHeaders == null) {
        logger.debug("Rejecting CORS request because '" + requestHeaders + "' request headers are not allowed");
        rejectRequest(response);
        return false;
    }
    // 设置允许的源.
    responseHeaders.setAccessControlAllowOrigin(allowOrigin);
    // 设置Access-Control-Allow-Methods.
    if (preFlightRequest) {
        responseHeaders.setAccessControlAllowMethods(allowMethods);
    }
    // 设置Access-Control-Allow-Headers.
    if (preFlightRequest && !allowHeaders.isEmpty()) {
        responseHeaders.setAccessControlAllowHeaders(allowHeaders);
    }
    // 设置Access-Control-Expose-Headers.
    if (!CollectionUtils.isEmpty(config.getExposedHeaders())) {
        responseHeaders.setAccessControlExposeHeaders(config.getExposedHeaders());
    }
    // 设置Access-Control-Allow-Credentials.
    if (Boolean.TRUE.equals(config.getAllowCredentials())) {
        responseHeaders.setAccessControlAllowCredentials(true);
    }
    // 设置Access-Control-Max-Age.
    if (preFlightRequest && config.getMaxAge() != null) {
        responseHeaders.setAccessControlMaxAge(config.getMaxAge());
    }
    response.flush();
    return true;
}

总结

只有在了解实现细节的情况下，才能解决那些棘手的问题。随着前后端分离程序变得极为普遍，@CrossOrigin的应用变得尤为重要。

源码解析基于spring-framework-5.0.5.RELEASE版本源码。

若文中存在错误和不足，欢迎指正！

到此这篇关于Spring的@CrossOrigin注解处理请求源码解析的文章就介绍到这了,更多相关@CrossOrigin注解处理请求内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

浅谈java的接口和C++虚类的相同和不同之处
下面小编就为大家带来一篇浅谈java的接口和C++虚类的相同和不同之处。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧，祝大家游戏愉快哦
2016-12-12
关于SpringMVC请求域对象的数据共享问题
这篇文章主要介绍了SpringMVC请求域对象的数据共享问题，本文通过实例代码给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
2022-02-02
Spring Security 自定义短信登录认证的实现
这篇文章主要介绍了Spring Security 自定义短信登录认证的实现，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2021-03-03
java驼峰转换的方法
这篇文章主要为大家详细介绍了java驼峰转换的方法，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2018-07-07
Springboot启动报错时实现异常定位
这篇文章主要介绍了Springboot启动报错时实现异常定位,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2020-06-06
Java如何通过线程解决生产者/消费者问题
这篇文章主要介绍了Java如何通过线程解决生产者/消费者问题，帮助大家更好的理解和使用Java，感兴趣的朋友可以了解下
2020-10-10
Java中Date和Calendar常用方法
这篇文章主要为大家详细介绍了Java中Date和Calendar常用用法，感兴趣的小伙伴们可以参考一下
2016-09-09
提高开发效率Live Templates使用技巧详解
这篇文章主要为大家介绍了提高开发效率Live Templates使用技巧详解，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2023-01-01
Java中的Random和ThreadLocalRandom详细解析
这篇文章主要介绍了Java中的Random和ThreadLocalRandom详细解析,Random 类用于生成伪随机数的流, 该类使用48位种子,其使用线性同余公式进行修改,需要的朋友可以参考下
2024-01-01
Java中的模板模式说明与实现
这篇文章主要介绍了Java中的模板模式说明与实现,模板方法模式,又叫模板模式,在一个抽象类公开定义了执行它的方法的模板,它的子类可以更需要重写方法实现,但可以成为典型类中定义的方式进行,需要的朋友可以参考下
2023-10-10