Spring Cloud Gateway CORS 方案

Spring Cloud Gateway CORS（跨域资源共享）方案主要涉及在网关层面配置CORS策略，以允许前端应用跨域访问后端服务。以下是一个详细的CORS配置方案，包括配置文件（如application.yml）和Java代码配置两种方式。

一、配置文件方式（application.yml）

在Spring Cloud Gateway项目中，通常可以通过编辑application.yml或application.properties配置文件来设置CORS策略。以下是一个基于application.yml的配置示例：

spring:
  cloud:
    gateway:
      globalcors:
        corsConfigurations:
          '[/**]': # 匹配所有路径
            allowedOrigins: # 允许访问的源
              - "http://example.com"
              - "http://localhost:3000"
            allowedMethods: # 允许的HTTP方法
              - GET
              - POST
              - PUT
              - DELETE
              - OPTIONS
            allowedHeaders: # 允许在请求中携带的头信息
              - "*"
            allowCredentials: true # 是否允许携带cookie
            maxAge: 3600 # 预检请求的缓存时间（秒）

在这个配置中，allowedOrigins指定了哪些源可以访问后端服务，allowedMethods指定了允许的HTTP方法，allowedHeaders指定了请求头中允许携带的字段，allowCredentials表示是否允许在跨域请求中携带认证信息（如Cookies），maxAge指定了预检请求的缓存时间。

二、Java代码方式

除了配置文件，还可以通过Java代码来配置CORS策略。这通常涉及到创建自定义的GlobalFilter或CorsWebFilter。以下是一个通过GlobalFilter实现CORS配置的示例：

import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.HttpHeaders;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

@Component
public class CorsGlobalFilter implements GlobalFilter, Ordered {

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpResponse response = exchange.getResponse();

        // 设置CORS响应头
        response.getHeaders().add(HttpHeaders.ACCESS_CONTROL_ALLOW_ORIGIN, "*");
        response.getHeaders().add(HttpHeaders.ACCESS_CONTROL_ALLOW_METHODS, "GET, POST, PUT, DELETE, OPTIONS");
        response.getHeaders().add(HttpHeaders.ACCESS_CONTROL_ALLOW_HEADERS, "*");
        response.getHeaders().add(HttpHeaders.ACCESS_CONTROL_ALLOW_CREDENTIALS, "true");

        // 对于OPTIONS请求，直接返回，不继续处理
        if (exchange.getRequest().getMethod().equals(HttpMethod.OPTIONS)) {
            return Mono.empty();
        }

        return chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        // 设置过滤器的执行顺序
        return Ordered.HIGHEST_PRECEDENCE;
    }
}

然而，需要注意的是，在Spring Cloud Gateway中，更推荐使用配置文件的方式来配置CORS，因为这种方式更加简洁且易于管理。Java代码方式虽然灵活，但在配置复杂性和可维护性方面可能不如配置文件方式。

三、注意事项

1. 避免重复配置：如果在Gateway中配置了CORS，通常不需要在下游服务中再次配置CORS。
2. 安全性考虑：设置allowedOrigins时，应尽可能具体地指定允许的源，避免使用"*"，以提高安全性。
3. 缓存控制：通过maxAge设置预检请求的缓存时间，可以减少不必要的预检请求，提高性能。
4. 测试验证：配置完CORS后，应通过实际请求测试验证配置的有效性。

综上所述，Spring Cloud Gateway提供了灵活的CORS配置方案，可以根据项目的实际需求选择合适的配置方式。