Jersey REST + CORS + Jquery AJAX CALL

Question

我正在使用 jersey 1.8、tomcat 7 和 spring 4 构建一个 jersey rest api

此服务将具有基本 HTTP 身份验证，并将提供任何来源的信息（它将被来自不同域的客户使用..）因此，CORS 使用 jersey 自己的结构启用。

我得到了一个 ContainerResponseFilter 的实现，它设置了 Access-Control-Allow-Origin 和 Access-Control-Request-Headers 标头。

import javax.ws.rs.core.Response;
import javax.ws.rs.core.Response.ResponseBuilder;

import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;

public class ResponseCorsFilter implements ContainerResponseFilter{

@Override
public ContainerResponse filter(ContainerRequest req,
        ContainerResponse contResp) {
    // TODO Auto-generated method stub
    ResponseBuilder resp = Response.fromResponse(contResp.getResponse());
    resp.header("Access-Control-Allow-Origin", "*")
            .header("Access-Control-Allow-Methods", "GET, POST, OPTIONS");

    String reqHead = req.getHeaderValue("Access-Control-Request-Headers");

    if(null != reqHead && !reqHead.equals("")){
        resp.header("Access-Control-Allow-Headers", reqHead);
    }

    contResp.setResponse(resp.build());
    return contResp;
}

}

我得到了 ContainerRequestFilter 的实现，它负责身份验证过程。

public class BasicAuthFilter implements ContainerRequestFilter{

@Override
public ContainerRequest filter(ContainerRequest containerRequest) throws WebApplicationException {
    // TODO Auto-generated method stub

     String method = containerRequest.getMethod();
     String path = containerRequest.getPath(true);

     //pode resgatar o WADL do webservice
     if(method.equals("GET") && (path.equals("application.wadl") || path.equals("application.wadl/xsd0.xsd"))){
         return containerRequest;
     }

     //pego o header
     String auth = containerRequest.getHeaderValue("Authorization"); //already tried "authorization"

     MultivaluedMap<String,String> headers = containerRequest.getRequestHeaders();
     for (Entry<String,List<String>> e : headers.entrySet()) {
         System.out.println("###################### " + e.getKey() + " / " + e.getValue());
     }


     //quem tentou usar nosso webservice sem credenciais de usuario, tchau!
     if(auth == null){
         System.out.println("############################# header not found");
         throw new WebApplicationException(Status.UNAUTHORIZED);
     }

    //lap 
    List<String> lap = Arrays.asList(ClarkeUtil.decode(auth));

    //se algo deu errado no lap
    if(lap == null || lap.size() != 2){
       throw new WebApplicationException(Status.UNAUTHORIZED);
    }

    System.out.println("###################################### " + lap.get(0)+":"+lap.get(1));


    //my database checking user:password still not implemented
    //...


  return containerRequest;

}

}

我的测试 jquery ajax 调用是从一个名为 miniweb 的简单本地网络服务器触发的。

<html>
<head>
<script src="http://code.jquery.com/jquery-1.11.1.js"></script>
<script>
   $.ajax({
     type: "GET",   
     url: "http://localhost:8080/pushrpi/welcome/fernando",
     dataType: "text/html",
     crossDomain: true,
     headers: {
        "Authorization": "Basic ZGVwb3NlY2xpZW50OmRlcG9zZWNsaWVudA=="
     }
   }).done(function(data){ $("#conteudo").html(data)});
 </script>
 </head>

<body>
<div id="conteudo"></div>
</body>
</html>

我的 tomcat 控制台日志，用于 BasicAuthFilter 过滤器中的“for”语句。

###################### host / [localhost:8080]
###################### connection / [keep-alive]
###################### cache-control / [max-age=0]
###################### access-control-request-method / [GET]
###################### origin / [null]
###################### user-agent / [Mozilla/5.0 (Windows NT 5.1) AppleWebKit/53
7.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36]
###################### access-control-request-headers / [accept, authorization]
###################### accept / [*/*]
###################### accept-encoding / [gzip,deflate,sdch]
###################### accept-language / [pt-BR,pt;q=0.8,en-US;q=0.6,en;q=0.4]

在 jquery ajax 调用中，如果我不使用标题，则此“##################### access-control-request-headers / [接受，授权]" 没有出现在 tomcat 控制台中。因此，它以某种方式“激活”了身份验证标头。

为什么当我执行下面的行时，我总是得到 null ？

String auth = containerRequest.getHeaderValue("authorization");

当我禁用 BasicAuthFilter 时，我会收到我的 hello world 消息。所以球衣+弹簧起作用了。

这是我使用 chrome webdeveloper 的日志： 要求：

Remote Address:127.0.0.1:8080
Request URL:http://localhost:8080/pushrpi/welcome/fernando
Request Method:OPTIONS
Status Code:401 Unauthorized
Request Headersview source
Accept:*/*
Accept-Encoding:gzip,deflate,sdch
Accept-Language:pt-BR,pt;q=0.8,en-US;q=0.6,en;q=0.4
Access-Control-Request-Headers:accept, authorization
Access-Control-Request-Method:GET
Cache-Control:no-cache
Connection:keep-alive
Host:localhost:8080
Origin:http://localhost:8000
Pragma:no-cache
Referer:http://localhost:8000/teste2.html
 User-Agent:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko)    Chrome/36.0.1985.143 Safari/537.36



Response :

Access-Control-Allow-Headers:accept, authorization
Access-Control-Allow-Methods:GET, POST, OPTIONS
Access-Control-Allow-Origin:*
Content-Language:en
Content-Length:975
Content-Type:text/html;charset=utf-8
Date:Mon, 25 Aug 2014 13:05:15 GMT
Server:Apache-Coyote/1.1

有什么建议吗？提前致谢！

Answer 1

我自己找到了解决方案。

在 GET 请求之前，会发送一个 OPTION 请求......其中不包含您的身份验证数据。所以我需要做的很简单：让所有的 OPTIONs 请求都被执行。

刚刚将此代码 sn-p 添加到我的 BasicAuthFilter（它设置在“String auth = containerRequest.getHeaderValue("authorization");”行之前）：

     if(method.equals("OPTIONS")) {
         throw new WebApplicationException(Status.OK);
     }

这个 OPTION 请求执行后，也是后面的 GET 请求（实际上是你在我的 jquery ajax 上的请求）

希望这对人们有所帮助。