我的服务器上有一个从 IIS 运行的简单 GWT 应用程序。我正在尝试测试对同一服务器上运行的 tomcat 的 HTTP 请求。但是,由于两个应用程序服务器都在不同的端口上运行,因此我的浏览器(chrome 和 firefox)将请求视为 CORS 请求。
为了使tomcat能够接受CORS请求,我将其更新到Tomcat 7.0.52并在全局web.xml配置中启用了CORS过滤器。我测试了这个简单的设置,它似乎有效。 GWT 中的代码如下:
String url = "http://bavarians:8080/";
RequestBuilder rb = new RequestBuilder(RequestBuilder.GET, url);
box.setText(url);
try
{
rb.sendRequest("", new RequestCallback(){
@Override
public void onResponseReceived(Request request, Response response)
{
Window.alert(response.getStatusCode() + response.getStatusText());
}
@Override
public void onError(Request request, Throwable exception)
{
Window.alert("Request failed");
}});
}
catch (RequestException e)
{
// TODO Auto-generated catch block
e.printStackTrace();
}
这是与其关联的 CORS 过滤器:
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
<init-param>
<param-name>cors.allowed.origins</param-name>
<param-value>http://bavarians</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.methods</param-name>
<param-value>GET,POST,HEAD,OPTIONS,PUT</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.headers</param-name>
<param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers, Authorization</param-value>
</init-param>
<init-param>
<param-name>cors.exposed.headers</param-name>
<param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials, Authorization</param-value>
</init-param>
<init-param>
<param-name>cors.support.credentials</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>cors.preflight.maxage</param-name>
<param-value>10</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
With this setup, I get a 200 OK response from tomcat. So its safe to assume that CORS filter is working. To back this up, I took a fiddler trace and all looked good.
现在,由于我想访问 tomcat(solr) 的应用程序之一,因此我需要使用 CORS 请求进行基本身份验证。这将预检请求带入画面。由于我设置了 CORS 过滤器以启用凭据使用,因此我不需要对其进行任何更改。所以,我对我的代码做了以下更改
String url = "http://bavarians:8080/solr/select?wt=xml&q=tag_name:abcd&username=domain\\userid";
RequestBuilder rb = new RequestBuilder(RequestBuilder.GET, url);
box.setText(url);
rb.setHeader("Authorization", "Basic YWRtaW46YWRtaW4=");
rb.setIncludeCredentials(true);
现在,当我尝试使用这段代码时,它进入了onResponseReceived代码块并给出一个值为“0”的警告框。当我进行小提琴跟踪时,我得到了这个:
由于我将自定义标头添加到请求中,浏览器发送预检请求是有意义的。但我不明白为什么 tomcat 响应 401 代码,尽管将授权标头添加到其 CORS 过滤器配置中。
如果有任何帮助或回复,我将不胜感激
EDIT:我注意到的另一件事是,如果我的 URL 只是“bavarians:8080/solr/”;,tomcat 会成功授权预检请求,并且紧接着的下一个请求将作为带有 200 OK 响应的普通 GET 请求进行处理。但是如果我输入函数名称并使用 URL 进行查询,我会再次收到 401。从浏览器访问上述 URL 需要基本身份验证。所以CORSFilter直到某个时刻才起作用
凭证不会在预检请求中发送,因此您必须配置 Tomcat 以让请求到达CorsFilter即使未经身份验证。也就是说,你必须声明一个<security-constraint> with <http-method>OPTIONS</http-method> and no <auth-constraint>.