现在我正在构建一个在 Tomcat 8 上运行的 rest api,它使用 Apache 的 CorsFilter 来允许我在我的 web.xml 中设置的跨域请求:
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/webapi/*</url-pattern>
</filter-mapping>
到目前为止很容易,现在我想向我的 Rest-API 添加 DIGEST 身份验证,是的,digest 不是基本的!
为了简单使用,我想在 web.xml 中使用安全约束:
<security-constraint>
<web-resource-collection>
<web-resource-name>all</web-resource-name>
<url-pattern>/webapi/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>*</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>DIGEST</auth-method>
<realm-name>UserDatabase</realm-name>
</login-config>
身份验证和 CORS 过滤器本身可以正常工作,但这里开始出现问题: 安全约束在 CORS 过滤器之前由 servlet 容器执行。 因此,身份验证算法不会在 Digest 身份验证 header 中设置所需的 CORS(跨域请求 header ),因此 CORS 请求将在身份验证时失败,因为摘要 401 页面带有“challange”(nonce,qop,领域等)缺少跨域请求的必要 header 。 现在有人解决这个问题吗?还是因为 CORS,我真的需要实现自己的摘要过滤器?!
最佳答案
您可以尝试将 CorsFilter
重新实现为 Tomcat valve并确保它配置为在 Digest Authenticator Valve 之前运行.
关于tomcat - 在 Tomcat 中使用 CORS 进行摘要式身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33464776/