Spring Вход для системы безопасности с Java и Angular2

У меня возникли проблемы с интеграцией spring безопасности (а именно с частью входа) в моем веб-приложении. My BackEnd работает на localhost: 8080, а FrontEnd (Ionic 2 с AngularJS 2) работает на localhost: 8100. Мне удалось войти (по крайней мере, я так думаю), но остальные запросы становятся недоступными, и я получаю следующую ошибку в консоли разработчика Chrome:

XMLHttpRequest cannot load http://localhost:8080/company/getAll. Response for preflight is invalid (redirect)

При тестировании с помощью Postman он работает, я вхожу в систему, а затем я могу выполнять POST-запросы на http://localhost:8080/company/getAll и все работает по назначению.

Предположительно, я пропускаю что-то (например, токен), но не могу понять, что. Я новичок в Ionic и spring Security, поэтому, пожалуйста, простите меня, если это что-то тривиальное. Я пробовал различные обучающие программы, но не смог ничего найти (большинство из них использовало JSP).

Как я могу заставить это работать? Как должны выглядеть мои запросы из интерфейса?

Вот мой метод входа с контроллера BackEnd:

@RequestMapping(value = "/login", method = RequestMethod.GET)
    @CrossOrigin(origins = "*")
    public ResponseEntity<GeneralResponse> login(Model model, String error, String logout) {
        System.out.println("LOGIN"+model.toString());

        if (error != null) {
            System.out.println("1.IF");
            model.addAttribute("error", "Your username and password is invalid.");
        }

        if (logout != null) {
            System.out.println("2.IF");
            model.addAttribute("message", "You have been logged out successfully.");
        }

        return ResponseEntity.status(HttpStatus.INTERNAL_SERVER_ERROR).body(new GeneralResponse(true, "FAILURE: Error"));
    }

Это мой WebSecurityConfig:

@Configuration
@EnableWebSecurity
@ComponentScan("com.SAB.service")
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/resources/**", "/registration").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .loginPage("/user/login")
            .permitAll()
            .and()
            .logout()
            .permitAll();
        http
            .csrf().disable();
        http.formLogin().defaultSuccessUrl("http://localhost:8100/", true);
        //.and().exceptionHandling().accessDeniedPage("/403")
        //.and().sessionManagement().maximumSessions(1).maxSessionsPreventsLogin(true);
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
    }
}

И, наконец, мой код FrontEnd, ответственный за вход в систему:

  login(){
    var body = 'username='+this.loginForm.controls['username'].value+'&password='+this.loginForm.controls['password'].value;
    var headers = new Headers();
    headers.append('Content-Type', 'application/x-www-form-urlencoded');
    //headers.append("Access-Control-Allow-Origin", "*");

    this.http
      .post('http://localhost:8080/user/login',
        body, {
          headers: headers
        })
      .subscribe(data => {
        console.log('ok');
        console.log(data)
      }, error => {
        console.log(JSON.stringify(error.json()));
      });
  }

Если вам нужны какие-либо дополнительные данные, пожалуйста, сообщите мне, и я предоставлю их.

Спасибо заранее!

Я не получил ошибку Access-COntroll-Origin, но я попытался изменить ее в соответствии с комментариями в любом случае, и теперь я получаю "Недопустимый запрос CORS"

Заголовок запроса и ответа для входа от почтальона: введите описание изображения здесь

EDIT: Вот журналы безопасности spring. Однако spring регистрирует только запрос OPTIONS и POST, даже если FrontEnd вызывает POST.

************************************************************

Request received for OPTIONS '/login':

[email protected]

servletPath:/login
pathInfo:null
headers: 
host: localhost:8080
connection: keep-alive
access-control-request-method: POST
origin: http://localhost:8100
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.96 Safari/537.36
access-control-request-headers: access-control-allow-origin
accept: */*
referer: http://localhost:8100/
accept-encoding: gzip, deflate, sdch, br
accept-language: en-US,en;q=0.8


Security filter chain: [
  WebAsyncManagerIntegrationFilter
  SecurityContextPersistenceFilter
  HeaderWriterFilter
  CorsFilter
  LogoutFilter
  UsernamePasswordAuthenticationFilter
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  AnonymousAuthenticationFilter
  SessionManagementFilter
  ExceptionTranslationFilter
  FilterSecurityInterceptor
]


************************************************************
2017-05-12 19:18:28.527 DEBUG 16500 --- [nio-8080-exec-1] o.s.security.web.FilterChainProxy        : /login at position 1 of 12 in additional filter chain; firing Filter: 'WebAsyncManagerIntegrationFilter'
2017-05-12 19:18:28.527 DEBUG 16500 --- [nio-8080-exec-1] o.s.security.web.FilterChainProxy        : /login at position 2 of 12 in additional filter chain; firing Filter: 'SecurityContextPersistenceFilter'
2017-05-12 19:18:28.527 DEBUG 16500 --- [nio-8080-exec-1] w.c.HttpSessionSecurityContextRepository : No HttpSession currently exists
2017-05-12 19:18:28.527 DEBUG 16500 --- [nio-8080-exec-1] w.c.HttpSessionSecurityContextRepository : No SecurityContext was available from the HttpSession: null. A new one will be created.
2017-05-12 19:18:28.529 DEBUG 16500 --- [nio-8080-exec-1] o.s.security.web.FilterChainProxy        : /login at position 3 of 12 in additional filter chain; firing Filter: 'HeaderWriterFilter'
2017-05-12 19:18:28.529 DEBUG 16500 --- [nio-8080-exec-1] o.s.security.web.FilterChainProxy        : /login at position 4 of 12 in additional filter chain; firing Filter: 'CorsFilter'
2017-05-12 19:18:28.541 DEBUG 16500 --- [nio-8080-exec-1] o.s.s.w.header.writers.HstsHeaderWriter  : Not injecting HSTS header since it did not match the requestMatcher org.springframework.se[email protected]5baaaa2b
2017-05-12 19:18:28.541 DEBUG 16500 --- [nio-8080-exec-1] w.c.HttpSessionSecurityContextRepository : SecurityContext is empty or contents are anonymous - context will not be stored in HttpSession.
2017-05-12 19:18:28.541 DEBUG 16500 --- [nio-8080-exec-1] s.s.w.c.SecurityContextPersistenceFilter : SecurityContextHolder now cleared, as request processing completed

UPDATE: Поэтому после добавления CORSFilter, предложенного в принятом ответе, мне также пришлось изменить мои запросы в интерфейсе, чтобы файл cookie с JSESSIONID отправлялся по каждому запросу. Баспически я должен был добавить следующее ко всем моим реквизитам: let options = new RequestOptions({ headers: headers, withCredentials: true });

ОТВЕТЫ

Ответ 1

Это, похоже, проблема, связанная с конфигурацией CORS. Браузер делает запрос предварительной проверки OPTION перед вашим фактическим вызовом GET. У меня мало знаний в этой области, но вы можете попробовать добавить фильтр ниже в конец spring.

public class CORSFilter extends GenericFilterBean {

    public void doFilter(ServletRequest request, ServletResponse res, FilterChain chain)
        throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse response = (HttpServletResponse) res;
        response.addHeader("Access-Control-Allow-Origin", "*");
        response.addHeader("Access-Control-Allow-Methods", "POST, PUT, GET, OPTIONS, DELETE");
        response.addHeader("Access-Control-Max-Age", "3600");
        response.addHeader("Access-Control-Allow-Headers", "X-Requested-With, X-Auth-Token");
        response.addHeader("Access-Control-Allow-Credentials", "true");

        if(req.getMethod().equalsIgnoreCase("options")){
             return;
        }
        chain.doFilter(request, response);
    }
}

И добавьте строку ниже в метод настройки вашего WebSecurityConfig.

.addFilterBefore(new CORSFilter(), ChannelProcessingFilter.class);

Ответ 2

Решение очень простое. Имя пользователя и пароль в POST должны быть представлены как FormData, а не часть тела. У меня была такая же проблема с моим приложением, и после долгой борьбы я создал HTML-форму и сделал POST, тогда она работала как шарм.

См. ниже живой пример. Вы должны иметь возможность регистрироваться с любым идентификатором и пытаться войти в систему и дебютировать в своем браузере. Он использует загрузку Spring для серверной части и Angular 4 в пользовательском интерфейсе.

Live Demo: http://shop-venkatvp.rhcloud.com/#/

Вход в систему HTML: https://github.com/reflexdemon/shop/blob/master/src/app/login/login.component.html#L7-L31

Spring Конфигурация безопасности: https://github.com/reflexdemon/shop/blob/master/src/main/java/org/shop/WebSecurityConfig.java#L20-L34

Контроллер входа: https://github.com/reflexdemon/shop/blob/master/src/main/java/org/shop/page/controller/LoginController.java

Надеюсь, что это будет полезно.

Ответ 3

Вы пытались явно разрешить запросы OPTIONS? Вот так:

protected void configure(HttpSecurity http) throws Exception {
   ...
   http.authorizeRequests().antMatchers(HttpMethod.OPTIONS).permitAll();
   ...
}

Ответ 4

Я нахожусь в середине написания статьи об интеграции Angular 4 и spring. У меня нет готовой статьи, но исходный код сделан. Я не уверен, почему вы пытаетесь обслуживать свое приложение с двух разных хостов, это излишне усложняет ваше приложение, введя требование cors и необходимость управлять двумя контекстами безопасности. Если это не абсолютное требование, я буду обслуживать все с одного и того же сервера.

Взгляните на этот проект github для полной интеграции Angular и spring boot: https://github.com/tschiman/tutorials/tree/master/spring-cloud/spring-cloud-bootstrap/gateway. Вы можете игнорировать материал зуула там, если вам это не нужно. Это не влияет на поддержку Angular ui.

Если вы хотите включить csrf, и вы должны посмотреть на это сообщение: be4b206478c136d24ea1bf8b6f93da0f3d86a6c3

Если чтение, которое не имеет смысла, это шаги, которые вам нужно выполнить:

  • Переместите исходный код Angular в ваше загрузочное приложение spring
  • Измените файл angular -cli.json, чтобы иметь исходный каталог в ваших ресурсах static или resource public folder: "outDir":"../../resources/static/home" Это устанавливает выходной каталог, когда вы запускаете ng build из командной строки с помощью Angular кли.
  • Измените URL-адрес успеха для входа в систему для перенаправления на /home/index.html .formLogin().defaultSuccessUrl("/home/index.html", true), это заставит успешный логин всегда перенаправляться в ваше приложение Angular.

  • Если вы хотите автоматизировать создание своего приложения Angular в maven, то добавьте этот плагин в свой файл POM:

        <plugin>
        <artifactId>maven-antrun-plugin</artifactId>
        <executions>
            <execution>
                <phase>generate-resources</phase>
                <configuration>
                    <tasks>
                        <exec executable="cmd" osfamily="windows" dir="${project.basedir}/src/main/angular/ui">
                            <arg value="/c"/>
                            <arg value="ng"/>
                            <arg value="build"/>
                        </exec>
                        <exec executable="/bin/sh" osfamily="mac" dir="${project.basedir}/src/main/angular/ui">
                            <arg value="-c"/>
                            <arg value="ng build"/>
                        </exec>
                    </tasks>
                </configuration>
                <goals>
                    <goal>run</goal>
                </goals>
            </execution>
        </executions>
    </plugin>

Если у вас есть дополнительные вопросы, я буду рад ответить дальше, если этого недостаточно, чтобы вы его работали.

Ответ 5

Прежде всего - это, безусловно, проблема с настройкой CORS, поскольку вы используете бэкэнд и интерфейс на разных адресах.

Вы можете использовать backend для поддержки запросов CORS, но это грязное решение, espesialy, так как вы, вероятно, не хотите, чтобы CORS в вашей версии. Гораздо более понятный подход состоял в том, чтобы настроить либо внешний интерфейс, либо сервер на сервере как прокси-сервер другому.

Я предпочитаю настроить интерфейс для прокси-запросов на бэкэнд. Таким образом, это не повлияет на производственную версию приложения.

В следующей части предполагается, что вы используете angular -cli (как и в случае с angular2).

У них есть раздел в своих документах специально для настройки прокси: https://www.npmjs.com/package/angular-cli#proxy-to-backend.

У меня есть все мои службы REST внутри/api-контекста, поэтому мой прокси .conf.json выглядит так:

{
  "/api": {
    "target": "http://localhost:8083",
    "secure": false
  },
  "/login": {
    "target": "http://localhost:8083",
    "secure": false
  },
  "/logout": {
    "target": "http://localhost:8083",
    "secure": false
  }
}

Где http://localhost:8083 - это мой бэкэнд. Затем вы можете запустить приложение:

ng serve --proxy-config proxy.conf.json

и используйте только свой внешний адрес. Конфигурация CORS не требуется.

P.S. Если вы не используете angular -cli, я уверен, что вы можете использовать этот подход с помощью любого инструмента, который вы используете для обслуживания frontent. До перехода на angular -cli я использовал это с lite-server.