我正在使用网络常见的安全约束向我的 API 添加身份验证,但它似乎破坏了我的 CORS 过滤器。我之前只使用过过滤器,没有应用程序服务器级别的身份验证。
基本思想是要求对除 /rest/account 端点下的请求之外的所有请求进行身份验证,因为这些请求是处理初始登录的请求,因此需要可公开访问。
在尝试登录时,当 OPTIONS 调用作为 POST 请求的一部分进行时,在 Chrome 和 Postman 中进行的测试都会返回 405 Method not allowed 响应。
希望我已经提供了下面的所有相关内容,但如果还需要任何其他信息,请告诉我。提前致谢!
我的 CORS 过滤器
<filter>
<filter-name>CORS</filter-name>
<filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>
<init-param>
<param-name>cors.supportedMethods</param-name>
<param-value>*</param-value>
</init-param>
<init-param>
<param-name>cors.supportedHeaders</param-name>
<param-value>*</param-value>
</init-param>
<init-param>
<param-name>cors.allowOrigin</param-name>
<param-value>*</param-value>
</init-param>
<init-param>
<param-name>cors.allowSubdomains</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>cors.supportsCredentials</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CORS</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
我的安全限制
<security-constraint>
<display-name>WebsiteUsers</display-name>
<web-resource-collection>
<web-resource-name>WebsiteAPI</web-resource-name>
<description/>
<url-pattern>/rest/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<description>Standard User authentication</description>
<role-name>Users</role-name>
</auth-constraint>
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>Public</web-resource-name>
<description>Matches a few special endpoints</description>
<url-pattern>/rest/account/*</url-pattern>
</web-resource-collection>
<!-- No auth-constraint means everybody has access! -->
</security-constraint>
尝试添加<http-method-omission>OPTIONS</http-method-omission>
给受保护的<web-resource-collection>
。
这应该允许OPTIONS
请求发送到您的 CORS 过滤器(然后会发回正确的Access-Control-Allow-Methods
响应头)。
See https://docs.oracle.com/cd/E19798-01/821-1841/bncbk/index.html https://docs.oracle.com/cd/E19798-01/821-1841/bncbk/index.html
或者(如果您需要支持 servlet 规范 GET, POST
, DELETE
, PUT
等 - 除外OPTIONS
) - 使用<http-method>
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)