Sa-Token在Spring Cloud Gateway中跨域配置失效问题解析

问题背景

在使用Sa-Token框架的SaReactorFilter与Spring Cloud Gateway集成时，开发者可能会遇到一个典型问题：当启用SaReactorFilter进行权限校验时，网关配置的跨域(CORS)设置会失效，而注释掉该过滤器后跨域功能又能正常工作。

问题现象分析

通过技术分析，我们可以发现这种现象的核心原因在于Spring Cloud Gateway的请求处理流程中过滤器的执行顺序问题。当请求到达网关时：

1. 首先会经过CORS过滤器处理，添加跨域响应头
2. 然后进入SaReactorFilter进行权限校验
3. 如果校验失败，SaReactorFilter会直接返回错误响应，跳过了后续的过滤器链

这种执行顺序导致当权限校验失败时，CORS过滤器添加的跨域头没有被包含在最终响应中。

解决方案

针对这一问题，有以下几种解决方案：

方案一：在SaReactorFilter中手动添加跨域头

在SaReactorFilter的错误处理逻辑中，手动设置必要的跨域响应头：

.setError(e -> {
    // 手动设置跨域头
    SaHolder.getResponse()
        .setHeader("Access-Control-Allow-Origin", "*")
        .setHeader("Access-Control-Allow-Methods", "*")
        .setHeader("Access-Control-Max-Age", "3600")
        .setHeader("Access-Control-Allow-Headers", "*");
    
    return SaResult.error("无权限访问").setCode(401);
})

方案二：调整过滤器执行顺序

通过配置确保CORS过滤器在SaReactorFilter之后执行：

spring:
  cloud:
    gateway:
      default-filters:
        - DedupeResponseHeader=Access-Control-Allow-Origin Access-Control-Allow-Credentials, RETAIN_UNIQUE

方案三：使用全局异常处理

创建一个全局异常处理器，统一处理所有异常情况并添加跨域头：

@Bean
public ErrorWebExceptionHandler corsErrorWebExceptionHandler() {
    return new DefaultErrorWebExceptionHandler(
        new ApplicationContextAdapter(applicationContext)) {
        
        @Override
        protected Mono<ServerResponse> renderErrorResponse(ServerRequest request) {
            return super.renderErrorResponse(request)
                .doOnNext(response -> {
                    // 添加跨域头
                    response.headers().add("Access-Control-Allow-Origin", "*");
                    // 其他必要头信息...
                });
        }
    };
}

最佳实践建议

1. 组合使用方案一和方案二：既在SaReactorFilter中处理错误时添加跨域头，又通过配置确保CORS过滤器的正确执行顺序
2. 测试验证：特别关注预检请求(OPTIONS)的处理，确保不会因为权限校验而阻断预检请求
3. 生产环境配置：根据实际安全需求调整跨域头的具体值，避免过度宽松的设置

技术原理深入

理解这一问题的关键在于Spring WebFlux的过滤器链执行机制。在响应生成过程中：

1. 过滤器按照注册顺序形成处理链
2. 每个过滤器可以中断链式处理
3. 响应头通常在最后一个处理响应的过滤器中确定

SaReactorFilter作为自定义过滤器，如果在其错误处理中没有考虑跨域头，就会导致先前设置的CORS信息丢失。因此，解决方案的核心思路是要么确保跨域头在所有可能的中断路径上都被设置，要么调整过滤器顺序使CORS处理发生在最后。

通过这种深入理解，开发者可以更好地处理类似框架集成中的边界情况。