如何在ASP NET Core中实现CORS跨域

1、CORS的原理：CORS定义一种跨域访问的机制，可以让AJAX实现跨域访问。CORS 允许一个域上的网络应用向另一个域提交跨域 AJAX 请求。实现此功能非常简单，只需由服务器发送一个响应标头即可。

2、tomcat如何配置cors的跨域请求： 

在tomcat中，有一个和cors相关的拦截器：CORS Filter

该过滤器可以通过添加必需的访问控制请求头Access-Control-*对象来进行跨域。同时还可以对一些请求进行拦截。如果请求是无效的，或者是不被允许的，该请求被拒绝或者禁止。 

其在web.xml文件中的基本配置如下：

<filter>

        <filter-name>CorsFilter</filter-name>

        <filter-class>org.apache.catalina.filters.CorsFilter</filter-class>

        <init-param>

            <param-name>cors.allowed.origins</param-name>

            <param-value>

                ,

                

            </param-value>

        </init-param>

        <init-param>

            <param-name>cors.allowed.methods</param-name>

            <param-value>

                GET,POST,HEAD,OPTIONS,PUT

            </param-value>

        </init-param>

        <init-param>

            <param-name>cors.allowed.headers</param-name>

            <param-value>

                Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,Access-Control-Allow-Origin

            </param-value>

        </init-param>

        <init-param>

            <param-name>cors.exposed.headers</param-name>

            <param-value>

                Access-Control-Allow-Origin,Access-Control-Allow-Credentials

            </param-value>

        </init-param>

        <init-param>

            <param-name>cors.support.credentials</param-name>

            <param-value>true</param-value>

        </init-param>

        <init-param>

            <param-name>cors.preflight.maxage</param-name>

            <param-value>10</param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>CorsFilter</filter-name>

        <url-pattern>/wxrefund/*</url-pattern>

    </filter-mapping>

3、cors.allowed.origins：允许访问资源的源列表。*表示任何来源都可以访问该资源。否则，只有配置的白名单的来源可以访问该资源，其中白名单用逗号隔开，如,。

4、cors.allowed.methods：允许访问的http请求方法，如GET,POST,HEAD,OPTIONS,PUT等，方法名用逗号隔开。

5、cors.allowed.headers：在实际请求时可使用的请求头列表，用逗号隔开。如Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,Access-Control-Allow-Origin。这些头也将返回作为访问控制的一部分。

JWT全称“JSON Web Token”，是基于JSON的用户身份认证的令牌。可跨域身份认证，所以JWT很适合做分布式的鉴权，单点登录（SingleSign,SSO）。

jwt有三部分组成用符号"."隔开，

HEADER：token头，描述token是什么类型，加密方式是什么，把json内容转为base64

PAYLOAD:内容，是暴露出来的信息，不可存敏感信息,把json内容转为base64

SIGNATURE:签名，按token头的加密方式把HEADER和PAYLOAD的信息加密生成签名，下面是官网上面的介绍，地址： https://jwt.io/

jwt的token是不可以篡改的，虽然前两部分的内容可以base64解码之后就能看到明文，但由于第三部分签名是把前两部分内容用一个密钥加密的，验证的时候也是把前两部分内容再次加密和原来签名对比是否一致，若内容被篡改了，则两次签名不一致校验不通过。

问题一：同一个公司的系统 ，不如果每个系统都有一套自己的用户名密码，那用户记

得头都大了啊。所以这时产生了一个鉴权中心，全部系统用同一套用户信息，同一个地方登录。

问题二：用同一套用户信息可以了，但如果进每个系统都要输一次账户密码登录还是很麻烦的。所以这里还要一处登录 ，处处登录，登录了其中一个系统，进入其它系统的时候不需要登录

效果如下图所示

用户在sso中心登录后的token在站点A，站点B都能使用，并且站点A，站点B和sso中心不需要通讯也能自己鉴别token是否是有效的。

怎么做到站点和sso串联呢？具体的流程是用户打开站点A，发现未登录 ，那站点A会跳转到sso中心登录并且把自己的url带上，sso中心登录成功后，跳转回站点带过来的url并把token也带上。

那站点A登录成功了，站点B怎么共享这个Token呢，做法是，sso中心登录成功的时候同时存一份Token到cookie(或localstorage等地方)，当用户进入站点B的时候，发现没登录，跳转到sso中心带上自己的url，sso中心发现cookie有token了，直接跳转回站点B的url并把token带上，这样站点B就能实现token共享和自动登录了。

新建一个AuthenticationCenter项目

新建一个AuthenticatinController控制器

Login的view视图

其它相关类

上面sso的登录功能就完成了，打开Login页面就能获取到Token了。

新建一个站点A

修改startup.cs文件，在ConfigureServices方法里加上

在Configure方法里加上

新建一个UserController

其它相关类

密钥要和sso中心的保持一致，上面的5000端口是sso的端口，27271端口是站点端口。

---