使用 grails-spring-security-rest 插件在 /api/login OPTIONS 请求上不允许使用 405 方法（战斗仍在继续......）

在我的应用程序中，我使用 grails-spring-security-rest 插件，目前正处于构建身份验证流程的阶段。

如果我使用休息客户端，一切都会按预期工作：我可以通过在 json 中发布用户名和密码来登录并取回令牌。完美的！

现在，我正在尝试将整个事情与网络表单集成，当然，浏览器会发送预检OPTIONS要求。

我有一个简单的拦截器设置：

@GrailsCompileStatic
class CorsInterceptor {
    int order = HIGHEST_PRECEDENCE

    CorsInterceptor() {
        matchAll() // match all controllers
        //.excludes(controller:"login")   // uncomment to add exclusion
    }

    boolean before() {
        String origin = request.getHeader("Origin");

        boolean options = "OPTIONS".equals(request.getMethod());
        if (options) {
            if (origin == null) return;
            response.addHeader("Access-Control-Allow-Headers", "origin, authorization, accept, content-type, x-requested-with");
            response.addHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS");
            response.addHeader("Access-Control-Max-Age", "3600");
        }

        response.addHeader("Access-Control-Allow-Origin", origin == null ? "*" : origin);
        response.addHeader("Access-Control-Allow-Credentials", "true");

        true // proceed to controller
    }

    boolean after() { true }

    void afterView() {
        // no-op
    }

}

拦截器可以完美地获取有效的获取请求并将标头添加到响应中。但是，当我尝试发送此消息时：

curl -X "OPTIONS" "http://localhost:8080/api/login" \
    -H "Origin: http://localhost:3000" \
    -H "Content-Type: application/json" \
    -d "{\"username\":\"customer\",\"password\":\"password\"}"

我总是得到405 Method Not Allowed返回并且执行根本没有到达拦截器。

我的假设是插件提供的登录控制器不允许这样做，我需要添加一个额外的 URL 映射来解决这个问题。我的问题是，这个映射支持是什么样的？

另外，可以设置适用于所有 OPTIONS 请求的映射，因此我不需要一一指定它们？

鉴于这一切，这只是我的假设......我的方向正确吗？

Thanks,

许多其他用户也面临这个问题，并且在 github 和 Slack 频道上被反复询问。我创建了一个示例示例，它在 src/ 目录下有 CORS 过滤器，并将其注册为 spring bean。Here is https://github.com/ejaz-ahmed/grails3-springsecurity-rest-demo带有示例应用程序的 github 存储库。 Cors过滤器代码如下

@Priority(Integer.MIN_VALUE)
class CorsFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest req, HttpServletResponse resp, FilterChain chain)
        throws ServletException, IOException {

    String origin = req.getHeader("Origin");

    boolean options = "OPTIONS".equals(req.getMethod());
    if (options) {
        if (origin == null) return;
        resp.addHeader("Access-Control-Allow-Headers", "origin, authorization, accept, content-type, x-requested-with");
        resp.addHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS");
        resp.addHeader("Access-Control-Max-Age", "3600");
    }

    resp.addHeader("Access-Control-Allow-Origin", origin == null ? "*" : origin);
    resp.addHeader("Access-Control-Allow-Credentials", "true");

    if (!options) chain.doFilter(req, resp);
}
}

在 resources.groovy 文件中将其注册为 spring bean，如下所示：

beans = {
    corsFilter(CorsFilter)
}

Here is https://github.com/alvarosanchez/grails-spring-security-rest/issues/256在这个插件的 github 存储库上提出的问题。

Update Grails3 CORS 拦截器插件 https://github.com/appcela/grails3-cors-interceptor已更新以包含 Spring Security Cors Filter。详细使用方法请参考这个样本 https://github.com/appcela/grails3-cors-interceptor-spring-security-rest-sample-app

这个插件比我上面写的servlet过滤器要好得多。