Corrigindo problemas de React e Spring Boot CORS: solicitação GET bloqueada

Temp mail SuperHeros
Corrigindo problemas de React e Spring Boot CORS: solicitação GET bloqueada
Corrigindo problemas de React e Spring Boot CORS: solicitação GET bloqueada
Daniel Marino
Segunda-feira, 4 de novembro de 2024 às 00:33:05

Compreendendo erros CORS em aplicativos Spring Boot e React

Ao desenvolver aplicações web usando Reagir para o front-end e Bota Primavera para o back-end, um problema comum que os desenvolvedores enfrentam é o infame erro CORS. Este erro ocorre quando o navegador bloqueia uma solicitação por motivos de segurança, especialmente ao tentar se conectar a um serviço de back-end hospedado em uma porta ou domínio diferente. Neste caso, você está lidando com um problema de CORS ao fazer um OBTER solicitação do React para uma API Spring Boot.

A mensagem de erro geralmente indica que o navegador está bloqueando sua solicitação porque o Acesso-Controle-Permitir-Origem o cabeçalho está ausente ou configurado incorretamente. É importante notar que ferramentas como Carteiro não aplique essas restrições de segurança, e é por isso que sua solicitação pode funcionar perfeitamente no Postman, mas falhar no navegador.

No seu cenário, a mensagem de erro indica que uma solicitação de simulação não passa na verificação de controle de acesso. Isso normalmente acontece quando determinados cabeçalhos ou métodos não são permitidos ou configurados corretamente na política CORS do servidor. Embora a configuração do CORS pareça estar em vigor no lado do servidor, pode haver problemas específicos na forma como ele lida com as solicitações do navegador.

Este artigo irá ajudá-lo a entender a causa raiz do problema e orientá-lo através de possíveis soluções para resolver o problema. Erro CORS em seu aplicativo React e Spring Boot.

Comando Exemplo de uso
@WebMvcConfigurer Uma anotação Spring Boot usada para definir configurações da web, como CORS, interceptadores e formatadores. No contexto deste problema, é usado para definir as regras de mapeamento do CORS que permitem origens e métodos específicos.
allowedOrigins() Este método faz parte da configuração do CORS e especifica quais origens têm permissão para acessar o servidor. Neste caso, garante que o frontend em execução em 'http://localhost:8081' possa se comunicar com o backend.
withCredentials() Uma configuração do Axios que permite que solicitações de origem cruzada incluam credenciais como cookies e autenticação HTTP. Isto é crucial ao lidar com solicitações seguras que precisam de dados específicos do usuário.
MockMvcRequestBuilders.options() Um método na estrutura MockMvc do Spring Boot usado para simular uma solicitação HTTP OPTIONS. Isso normalmente é usado para lidar com solicitações de simulação no CORS, verificando a permissão do servidor antes que a solicitação real seja enviada.
HttpHeaders.ORIGIN Este cabeçalho é usado no CORS para especificar a origem da solicitação. Em um cenário de origem cruzada, isso é enviado do frontend para o servidor para verificar se a origem é permitida.
MockMvcResultMatchers.header() Este é um método usado em testes de unidade para verificar cabeçalhos HTTP específicos na resposta. Ele garante que o cabeçalho 'Access-Control-Allow-Origin' seja retornado corretamente em resposta às solicitações de comprovação.
Authorization: Bearer Na solicitação Axios, esse cabeçalho passa um token de portador para autenticação. Ele garante que o back-end possa verificar a identidade do cliente que faz a solicitação.
useEffect() Um React Hook que é executado após a renderização do componente. Nesse caso, é usado para acionar a chamada da API para o backend, buscando os dados do projeto quando o componente é montado.
axios.get() Um método fornecido pela Axios para fazer solicitações HTTP GET. Nesse cenário, ele é usado para enviar uma solicitação à API Spring Boot e recuperar dados do projeto.

Tratamento de erros CORS em aplicativos React e Spring Boot

Os scripts fornecidos acima visam resolver o problema de Erros de CORS em uma configuração de frontend React e backend Spring Boot. O erro ocorre quando o frontend, hospedado em 'http://localhost:8081', tenta fazer uma solicitação GET para uma API Spring Boot hospedada em 'http://localhost:8080'. Os navegadores impõem regras de segurança rígidas para evitar solicitações não autorizadas de origem cruzada, e é por isso que essas políticas CORS existem. O WebMvcConfigurer classe na configuração de back-end do Spring Boot ajuda a definir regras CORS que permitem origens e métodos específicos, resolvendo, em última análise, o problema.

No backend, o arquivo `CorsConfig.java` define uma classe de configuração Spring Boot. O @Feijão e @Substituir anotações são usadas para injetar e personalizar a configuração do CORS. No método `addCorsMappings()`, a função `allowedOrigins()` permite explicitamente solicitações de 'http://localhost:8081', garantindo que o navegador reconheça esta origem como uma fonte confiável. A inclusão de `allowedMethods()` garante que todos os métodos HTTP, incluindo GET, POST e OPTIONS, sejam permitidos. Isso é crucial porque os navegadores normalmente enviam uma solicitação OPTIONS de comprovação para verificar se a solicitação GET real é permitida.

No frontend, o React lida com solicitações usando Eixos, um cliente HTTP popular. Na função `fetchData` do arquivo `ProjectPage.tsx`, a função `axios.get()` envia uma solicitação GET para o backend Spring Boot. A opção `withCredentials` está definida como true, permitindo que cookies e credenciais de autenticação sejam enviados com a solicitação. Além disso, o cabeçalho Authorization é incluído para passar o token do usuário, garantindo que a solicitação seja autenticada corretamente. Sem essas configurações, o navegador bloquearia a solicitação por motivos de segurança.

Por último, o arquivo de teste de unidade, `CorsTest.java`, valida se a configuração do CORS está funcionando conforme o esperado. Este teste simula uma solicitação HTTP OPTIONS para a API de back-end, que imita uma solicitação de simulação real feita pelo navegador. O teste verifica se a resposta contém os cabeçalhos corretos, como Acesso-Controle-Permitir-Origem, que permite solicitações de origem cruzada do front-end. O método `MockMvcResultMatchers.header()` garante que o servidor esteja respondendo corretamente às solicitações de simulação. Ao incluir testes unitários, os desenvolvedores podem garantir que a configuração do CORS seja confiável e funcional em vários ambientes.

Resolvendo erros de CORS no React + Spring Boot com ajustes de configuração

Abordagem 1: usando a configuração Spring Boot CORS no back-end

// CorsConfig.java
@Configuration
public class CorsConfig implements WebMvcConfigurer {
   @Override
   public void addCorsMappings(CorsRegistry registry) {
      registry.addMapping("/")
              .allowedOrigins("http://localhost:8081")
              .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
              .allowedHeaders("*")
              .allowCredentials(true);
   }
}

Usando Axios para manipulação adequada de CORS com cookies no React

Abordagem 2: Configuração do React Frontend Axios para solicitações de origem cruzada

// ProjectPage.tsx
const ProjectsPage = () => {
   const [projectsData, setProjectsData] = useState<ProjectsData[]>([]);
   const projectsUrl = 'http://localhost:8080/api/projects/admin/toinspection';
   useEffect(() => { fetchData(); }, []);
   const fetchData = async () => {
      const token = Cookies.get('token');
      try {
         const response = await axios.get<ProjectsData[]>(projectsUrl, {
            headers: { "Content-Type": "application/json", Authorization: `Bearer ${token}` },
            withCredentials: true
         });
         setProjectsData(response.data);
      } catch (error) {
         console.error("Error fetching projects:", error);
      }
   };
   return (
      <div>
         <AdminPageTemplate type="projects" children=<AdminModContent data={projectsData} />/>
      </div>
   );
};
export default ProjectsPage;

Testando políticas CORS com testes de unidade no Spring Boot

Abordagem 3: Escrever testes unitários para validar a política CORS

// CorsTest.java
@RunWith(SpringRunner.class)
@WebMvcTest
public class CorsTest {
   @Autowired
   private MockMvc mockMvc;
   @Test
   public void testCorsHeaders() throws Exception {
      mockMvc.perform(MockMvcRequestBuilders.options("/api/projects/admin/toinspection")
              .header(HttpHeaders.ORIGIN, "http://localhost:8081")
              .header(HttpHeaders.ACCESS_CONTROL_REQUEST_METHOD, "GET"))
              .andExpect(MockMvcResultMatchers.status().isOk())
              .andExpect(MockMvcResultMatchers.header().exists("Access-Control-Allow-Origin"))
              .andExpect(MockMvcResultMatchers.header().string("Access-Control-Allow-Origin", "http://localhost:8081"));
   }
}

Explorando CORS no contexto de segurança e design de API

Ao lidar com CORS (compartilhamento de recursos entre origens) em aplicações web modernas, é crucial compreender as implicações de segurança por trás disso. O CORS é implementado como medida de segurança pelos navegadores para evitar que sites maliciosos façam solicitações não autorizadas de API em nome dos usuários. Isto é especialmente importante em cenários onde dados confidenciais são trocados entre serviços frontend e backend, como tokens de autenticação e credenciais de usuário. Ao configurar o CORS em um backend Spring Boot, é essencial permitir que apenas origens confiáveis ​​acessem recursos protegidos, tornando a configuração de segurança um elemento-chave da arquitetura do sistema.

Outro aspecto crucial é o tratamento de solicitações de comprovação, que são solicitações automáticas feitas pelo navegador antes da solicitação GET ou POST real. Isso ocorre quando o cliente precisa confirmar se o servidor permite solicitações de origem cruzada e oferece suporte a cabeçalhos ou métodos específicos. Em alguns casos, configurações incorretas no tratamento desses solicitações de simulação pode causar problemas, resultando em erros de CORS mesmo quando a solicitação real funciona bem em ferramentas como o Postman. Configurar o `CorsRegistry` do Spring Boot com os cabeçalhos e métodos corretos garante que as solicitações de comprovação sejam processadas corretamente, permitindo uma interação suave entre frontend e backend.

Além disso, o manuseio do CORS não deve ser estático ou de tamanho único. Em ambientes dinâmicos como aqueles gerenciados com microsserviços, APIs diferentes podem ter requisitos de segurança diferentes. Algumas APIs podem precisar apenas expor determinados métodos, enquanto outras podem exigir um controle mais rigoroso sobre as origens. É aqui que o ajuste fino da configuração do CORS para cada endpoint se torna importante. O gerenciamento adequado do CORS também ajuda a otimizar o desempenho da API, reduzindo solicitações de comprovação desnecessárias e garantindo uma interação tranquila do usuário.

Perguntas frequentes sobre CORS em React e Spring Boot

  1. O que é CORS e por que preciso dele?
  2. CORS é um mecanismo de segurança aplicado pelos navegadores para permitir ou bloquear solicitações de origem cruzada. Você precisa disso para garantir que apenas origens confiáveis ​​possam acessar sua API.
  3. Como habilito o CORS no Spring Boot?
  4. No Spring Boot, você pode habilitar o CORS configurando o @WebMvcConfigurer interface e especificando origens, métodos e cabeçalhos permitidos usando allowedOrigins e allowedMethods.
  5. Por que minha solicitação funciona no Postman, mas falha no navegador?
  6. O Postman ignora as políticas de segurança do navegador, como o CORS, mas os navegadores as aplicam estritamente. Certifique-se de que seu servidor envie cabeçalhos CORS adequados para o navegador.
  7. O que é uma solicitação de simulação?
  8. Uma solicitação de comprovação é automática OPTIONS solicitação enviada pelo navegador para verificar se a solicitação real é permitida pelo servidor, principalmente para solicitações HTTP não simples.
  9. Como posso testar minha configuração CORS?
  10. Você pode testar sua configuração CORS usando MockMvcRequestBuilders.options() em testes unitários para simular solicitações de simulação e verificar as respostas do servidor.

Considerações finais sobre CORS em React e Spring Boot

Resolvendo Erros de CORS em aplicações com React e Spring Boot envolve uma compreensão clara das políticas de segurança impostas pelos navegadores. Ao configurar corretamente as origens e métodos permitidos no back-end do Spring Boot, a maioria desses problemas pode ser evitada.

Além disso, o manuseio seguro de tokens em solicitações e a garantia do envio de cabeçalhos adequados garantirão uma comunicação tranquila entre os sistemas front-end e back-end. Este guia ajuda a resolver desafios comuns enfrentados pelos desenvolvedores, garantindo solicitações seguras e funcionais entre origens.

Fontes e referências para soluções CORS em React e Spring Boot
  1. Informações detalhadas sobre o manuseio CORS erros em aplicativos Spring Boot estão disponíveis na documentação oficial do Spring. Documentação do Spring Framework CORS
  2. Para entender como gerenciar CORS em aplicativos React usando Axios, você pode consultar este guia. Configuração de solicitação do Axios
  3. Este artigo da Baeldung fornece insights sobre como configurar o CORS em um ambiente Spring Boot. Baeldung - Guia CORS do Spring Boot
  4. A Mozilla Developer Network (MDN) oferece uma explicação abrangente do CORS e sua importância na segurança da web. Documentos Web MDN - CORS