# Spring Cloud微服务中的跨域问题与解决方案 在Spring Cloud微服务架构中，跨域问题是一个常见且必须解决的挑战。跨域请求指的是一个域下的脚本尝试访问另一个域的资源时，由于浏览器的同源策略限制，这些请求默认被阻止。在微服务架构中，由于服务被拆分成多个独立的小服务，并且通常部署在不同的端口或域名下，跨域问题变得尤为突出。本文将深入探讨Spring Cloud微服务中的跨域问题及其解决方案。 ## 一、跨域问题的背景与原理 ### 1.1 跨域的概念 跨域是指浏览器从一个源（origin）发起请求去访问另一个源的资源时，浏览器出于安全考虑，会默认阻止这种行为。源由协议、域名和端口号三部分组成，只要这三者中任意一个不同，即为跨域。 ### 1.2 浏览器的同源策略 浏览器的同源策略是一种安全策略，它限制了一个源（origin）的文档或脚本如何与来自另一个源的资源进行交互。这主要是为了防止恶意网站读取敏感数据，比如用户登录状态或个人信息。 ### 1.3 跨域请求的类型 跨域请求分为简单请求和非简单请求两种： - **简单请求**：HTTP 方法为 GET、HEAD 或 POST，且 POST 请求的 Content-Type 只能是 application/x-www-form-urlencoded、multipart/form-data 或 text/plain。 - **非简单请求**：除了简单请求之外的所有请求。非简单请求在正式发送之前，会先发送一个 OPTIONS 请求进行预检，询问服务器是否允许跨域请求。 ## 二、Spring Cloud微服务中的跨域问题 在Spring Cloud微服务架构中，服务通常被拆分成多个独立运行的实例，每个实例运行在不同的端口或域名下。这导致了微服务间的通信很可能面临跨域问题。具体表现包括： - 前端页面在尝试调用后端服务API时，如果后端服务部署在不同的域名或端口下，则浏览器的同源策略会阻止这些请求。 - 微服务间的相互调用，如果未进行跨域配置，也可能因浏览器的同源策略限制而导致请求失败。 ## 三、跨域问题的解决方案 ### 3.1 跨域资源共享（CORS） CORS（Cross-Origin Resource Sharing）是一种基于HTTP头部的机制，它允许服务器明确哪些源可以访问该资源。在Spring Cloud微服务中，解决跨域问题最常用的方法就是通过CORS配置。 #### 3.1.1 在SpringBoot层实现CORS ##### 方案一：在Controller上添加@CrossOrigin注解 这种方法适用于只有一两个需要跨域的REST接口或没有使用网关的情况下。通过在Controller类或方法上添加@CrossOrigin注解，可以简单地允许跨域请求。 ```java @RestController @CrossOrigin(allowCredentials = "true", allowedHeaders = "*", methods = { RequestMethod.GET, RequestMethod.POST, RequestMethod.DELETE, RequestMethod.OPTIONS, RequestMethod.HEAD, RequestMethod.PUT, RequestMethod.PATCH }, origins = "*") public class HandlerScanController { @PostMapping("/confirm") public Response handler(@RequestBody Request json) { // 处理逻辑 return null; } } ``` ##### 方案二：增加WebMvcConfigurer全局配置 如果项目中有大量的REST接口需要跨域，使用@CrossOrigin注解逐一添加会显得繁琐且容易出错。此时，可以通过实现WebMvcConfigurer接口并重写addCorsMappings方法，进行全局的CORS配置。 ```java @Configuration public class MyConfiguration implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowCredentials(true) .allowedOrigins("*") .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS", "HEAD", "PATCH") .allowedHeaders("*") .maxAge(18000L); } } ``` ##### 方案三：使用CorsFilter 除了使用WebMvcConfigurer接口外，还可以通过创建一个CorsFilter Bean来实现全局的CORS配置。这种方法在配置上更加灵活，特别是当需要精确控制CORS策略时。 ```java @Configuration public class CorsConfig { @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); config.addAllowedOrigin("*"); config.addAllowedHeader("*"); config.addAllowedMethod("*"); config.setMaxAge(18000L); source.registerCorsConfiguration("/**", config); return new CorsFilter(source); } } ``` #### 3.1.2 在Gateway层实现CORS 在Spring Cloud Gateway中，可以通过添加自定义的GlobalFilter或GatewayFilter来实现跨域配置。这种方式特别适合有多个微服务模块，且希望在网关层面统一处理跨域问题的情况。 ```java @Component public class CorsWebFilter implements GlobalFilter, Ordered { @Override public Mono filter(ServerWebExchange ctx, GatewayFilterChain chain) { ServerHttpRequest request = ctx.getRequest(); if (CorsUtils.isCorsRequest(request)) { ServerHttpResponse response = ctx.getResponse(); HttpHeaders headers = response.getHeaders(); headers.add(HttpHeaders.ACCESS_CONTROL_ALLOW_ORIGIN, "*"); headers.add(HttpHeaders.ACCESS_CONTROL_ALLOW_METHODS, "GET, POST, PUT, DELETE, OPTIONS, HEAD, PATCH"); headers.add(HttpHeaders.ACCESS_CONTROL_ALLOW_HEADERS, "*"); headers.add(HttpHeaders.ACCESS_CONTROL_ALLOW_CREDENTIALS, "true"); headers.add(HttpHeaders.ACCESS_CONTROL_MAX_AGE, "18000"); if (request.getMethod() == HttpMethod.OPTIONS) { response.setStatusCode(HttpStatus.OK); return Mono.empty(); } } return chain.filter(ctx); } @Override public int getOrder() { return -1; } } ``` ### 3.2 其他解决方案 #### 3.2.1 JSONP JSONP（JSON with Padding）是一种跨域数据传输的技术，它利用`