Spring Boot的跨域是一个老生常谈的问题，网上提供的方法主要是三种：
1.编写CorsFilter实现跨域
2.覆写WebMvcConfigurer
3.使用注解（@CrossOrigin）
这三种可能都能实现跨域，但前提是只是单纯的跨域。我的业务场景是，对外开放API接口，请求方必须在头部携带发放的token，在接口上加上过滤器，解析token是否合法，这种情况下，上面的3个方法都存在一定的问题，方法本身没错，但错在网上大部分教程都应该不是针对token验证的，导致一些属性未在代码中设置，就会产生很大的问题。
下面我就介绍方法2，在解决我这个业务场景的时候出现的问题，及解决方法。

1 我的请求

function testClick(){
        $.ajax(
            {
                url:"http://localhost:9999/questionapi/getEdition",
                type:'GET',
                beforeSend: function(xhr){
                    xhr.setRequestHeader('Authorization', 'Bearer eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiIxIiwiZXhwIjoxNTg1MTQxOTkxLCJpYXQiOjE1ODQ1MzcxOTF9.EPGyOtbwNfwg7CwN0mI15jBiMWGFCho6BvowtyVY0uSI8jMJVDwhcRRCJIhjUSCDExBn-weVg0z20b-gXVvdCQ');
                },
                success:function(result){
                    $("#div1").html(result);
        }});
    }

2 我的WebMvcConfig

@Configuration
public class CorsConfig implements WebMvcConfigurer {
    private final static Logger logger = LoggerFactory.getLogger(CorsConfig.class);
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        logger.info("允许跨域访问");
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("*")
                .allowedHeaders("*");
    }
}

基本网上的教程都是上面这个样子，但是这种情况下，我在拦截器中获取到的header参数就是下面这个样子：

host:localhost:9999
connection:keep-alive
accept:*/*
access-control-request-method:POST
access-control-request-headers:authorization
origin:http://localhost:8787
sec-fetch-mode:cors
sec-fetch-site:same-site
referer:http://localhost:8787/test/index.html
user-agent:Mozilla/5.0 & #40;Windows NT 10.0; Win64; x64& #41; AppleWebKit/537.36 & #40;KHTML, like Gecko& #41; Chrome/80.0.3987.132 Safari/537.36
accept-encoding:gzip, deflate, br
accept-language:zh-CN,zh;q=0.9,en;q=0.8

很大的问题，我期待authorization是作为header中的一个key值，但是它变成了“access-control-request-headers”这个key对应的值。而且还有一个很怪的现象，当我拦截器不再对API请求进行拦截，在API接口中，从header获取参数就是非常正常的下面这个样子：

host:localhost:9999
connection:keep-alive
content-length:0
accept:*/*
sec-fetch-dest:empty
authorization:Bearer eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiIxIiwiZXhwIjoxNTg1MTQxOTkxLCJpYXQiOjE1ODQ1MzcxOTF9.EPGyOtbwNfwg7CwN0mI15jBiMWGFCho6BvowtyVY0uSI8jMJVDwhcRRCJIhjUSCDExBn-weVg0z20b-gXVvdCQ
user-agent:Mozilla/5.0 & #40;Windows NT 10.0; Win64; x64& #41; AppleWebKit/537.36 & #40;KHTML, like Gecko& #41; Chrome/80.0.3987.132 Safari/537.36
origin:http://localhost:8787
sec-fetch-site:same-site
sec-fetch-mode:cors
referer:http://localhost:8787/test/index.html
accept-encoding:gzip, deflate, br
accept-language:zh-CN,zh;q=0.9,en;q=0.8

怎么回事？其实我到现在也没搞清楚为什么，我也不能单独为某个api让它绕过过滤器，虽然可行但是这种代码就非常恶心。搜了好多资料，不得不吐槽国内的解答，真的没什么用，总算找到了解决方法。

3 我的解决方法

修改你的WebMvcConfig为下面这种样子：

@Configuration
public class CorsConfig implements WebMvcConfigurer {
    private final static Logger logger = LoggerFactory.getLogger(CorsConfig.class);
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        logger.info("允许跨域访问");
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("*")
                .allowedHeaders("*")
                .exposedHeaders("Authorization","X-Requested-With","accept","Origin","Access-Control-Request-Method","Access-Control-Request-Headers")//如果它不设置预期的请求头部参数key值的话，ajax请求头部就没办法正确解析，也就是token解析不出来
                .allowCredentials(true);//如果它不设置为true的话，ajax请求头部就没办法正确解析，也就是token解析不出来
    }
}

看清楚区别，增加了exposedHeaders和allowCredentials两个配置，exposedHeaders是为了告诉过滤器你希望的头部参数有哪些，allowCredentials是为了允许你可以传送带认证参数的头部信息。这样做了以后，你在拦截器里面获取到的头部参数就是你希望的样子了。

虽然是个小小的修改，但真的花了好久的时间才解决掉，记录一下，希望能对大家有帮助。