我正在使用 jersey 1.8、tomcat 7 和 spring 4 构建 jersey Rest api
此服务将具有基本 HTTP 身份验证,并将提供任何来源的信息(它将由来自不同域的客户使用..),因此,使用 jersey 自己的结构启用 CORS。
我得到了 ContainerResponseFilter 的实现,它设置了 Access-Control-Allow-Origin 和 Access-Control-Request-Headers header 。
import javax.ws.rs.core.Response;
import javax.ws.rs.core.Response.ResponseBuilder;
import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;
public class ResponseCorsFilter implements ContainerResponseFilter{
@Override
public ContainerResponse filter(ContainerRequest req,
ContainerResponse contResp) {
// TODO Auto-generated method stub
ResponseBuilder resp = Response.fromResponse(contResp.getResponse());
resp.header("Access-Control-Allow-Origin", "*")
.header("Access-Control-Allow-Methods", "GET, POST, OPTIONS");
String reqHead = req.getHeaderValue("Access-Control-Request-Headers");
if(null != reqHead && !reqHead.equals("")){
resp.header("Access-Control-Allow-Headers", reqHead);
}
contResp.setResponse(resp.build());
return contResp;
}
}
我得到了 ContainerRequestFilter 的实现,它负责身份验证过程。
public class BasicAuthFilter implements ContainerRequestFilter{
@Override
public ContainerRequest filter(ContainerRequest containerRequest) throws WebApplicationException {
// TODO Auto-generated method stub
String method = containerRequest.getMethod();
String path = containerRequest.getPath(true);
//pode resgatar o WADL do webservice
if(method.equals("GET") && (path.equals("application.wadl") || path.equals("application.wadl/xsd0.xsd"))){
return containerRequest;
}
//pego o header
String auth = containerRequest.getHeaderValue("Authorization"); //already tried "authorization"
MultivaluedMap<String,String> headers = containerRequest.getRequestHeaders();
for (Entry<String,List<String>> e : headers.entrySet()) {
System.out.println("###################### " + e.getKey() + " / " + e.getValue());
}
//quem tentou usar nosso webservice sem credenciais de usuario, tchau!
if(auth == null){
System.out.println("############################# header not found");
throw new WebApplicationException(Status.UNAUTHORIZED);
}
//lap
List<String> lap = Arrays.asList(ClarkeUtil.decode(auth));
//se algo deu errado no lap
if(lap == null || lap.size() != 2){
throw new WebApplicationException(Status.UNAUTHORIZED);
}
System.out.println("###################################### " + lap.get(0)+":"+lap.get(1));
//my database checking user:password still not implemented
//...
return containerRequest;
}
}
我的测试 jquery ajax 调用是从一个名为 miniweb 的简单本地网络服务器触发的。
<html>
<head>
<script src="http://code.jquery.com/jquery-1.11.1.js"></script>
<script>
$.ajax({
type: "GET",
url: "http://localhost:8080/pushrpi/welcome/fernando",
dataType: "text/html",
crossDomain: true,
headers: {
"Authorization": "Basic ZGVwb3NlY2xpZW50OmRlcG9zZWNsaWVudA=="
}
}).done(function(data){ $("#conteudo").html(data)});
</script>
</head>
<body>
<div id="conteudo"></div>
</body>
</html>
我的 tomcat 控制台日志中 BasicAuthFilter 过滤器中的“for”语句。
###################### host / [localhost:8080]
###################### connection / [keep-alive]
###################### cache-control / [max-age=0]
###################### access-control-request-method / [GET]
###################### origin / [null]
###################### user-agent / [Mozilla/5.0 (Windows NT 5.1) AppleWebKit/53
7.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36]
###################### access-control-request-headers / [accept, authorization]
###################### accept / [*/*]
###################### accept-encoding / [gzip,deflate,sdch]
###################### accept-language / [pt-BR,pt;q=0.8,en-US;q=0.6,en;q=0.4]
在jquery ajax调用中,如果我不使用 header ,则此“###################### access-control-request-headers/[接受,授权]”没有出现在 tomcat 控制台中。所以它以某种方式“激活”身份验证 header 。
为什么当我执行下面的行时,我总是得到 null ?
String auth = containerRequest.getHeaderValue("authorization");
当我禁用 BasicAuthFilter 时,我收到我的 hello world 消息。所以 Jersey + Spring 正在发挥作用。
这是我使用 chrome webdeveloper 的日志: 请求:
Remote Address:127.0.0.1:8080
Request URL:http://localhost:8080/pushrpi/welcome/fernando
Request Method:OPTIONS
Status Code:401 Unauthorized
Request Headersview source
Accept:*/*
Accept-Encoding:gzip,deflate,sdch
Accept-Language:pt-BR,pt;q=0.8,en-US;q=0.6,en;q=0.4
Access-Control-Request-Headers:accept, authorization
Access-Control-Request-Method:GET
Cache-Control:no-cache
Connection:keep-alive
Host:localhost:8080
Origin:http://localhost:8000
Pragma:no-cache
Referer:http://localhost:8000/teste2.html
User-Agent:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36
Response :
Access-Control-Allow-Headers:accept, authorization
Access-Control-Allow-Methods:GET, POST, OPTIONS
Access-Control-Allow-Origin:*
Content-Language:en
Content-Length:975
Content-Type:text/html;charset=utf-8
Date:Mon, 25 Aug 2014 13:05:15 GMT
Server:Apache-Coyote/1.1
有什么建议吗?提前致谢!
最佳答案
我自己找到了解决方案。
在 GET 请求之前,会发送一个 OPTION 请求......其中不包含您的身份验证数据。所以我需要做的很简单:让所有 OPTION 请求被执行。
刚刚将此代码片段添加到我的 BasicAuthFilter 中(它在“String auth = containerRequest.getHeaderValue("authorization");”行之前设置):
if(method.equals("OPTIONS")) {
throw new WebApplicationException(Status.OK);
}
执行此 OPTION 请求后,也是后面的 GET 请求(实际上是您在我的 jquery ajax 中的请求)
希望这对人们有帮助。
关于jquery - 泽西 REST + CORS + Jquery AJAX 调用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25487006/