我如何说服spring 4.2将OPTIONS请求传递给控制器

Question

我们在控制器上使用带有@RestController注释的spring mvc,我们正在处理控制器中的授权.我们使用相同的代码来设置响应CORS飞行前请求的允许方法.为实现这一目标,我们有:

    <init-param>
        <param-name>dispatchOptionsRequest</param-name>
        <param-value>true</param-value>
    </init-param>

在调度程序servlet的配置中,然后我们有:

    @RequestMapping(value="/some/collections", method=RequestMethod.OPTIONS)
    public void collectionOptions(
            HttpServletRequest req,
            HttpServletResponse res) {
        List<RequestMethod> methods = new ArrayList<>();
        // check actual permissions, add the appropriate methods
        CORS.setAllowedMethodHeaders(res,methods);
    }

我们还有一个拦截器,它对CORS pre-flight进行基本检查,以查看原点是否可能具有任何权限.

我们这样做主要是因为某些请求的权限实际上取决于@RequestParams,即:

    OPTIONS /api/collections?userId=122

如果您具有管理权限,或者您实际上是具有ID 122的用户,则可能被允许.此外,我们还有API密钥

    OPTIONS /api/collections?userId=122&apiKey=ABC

对于一个原点可能没问题,但对另一个原点则不行.

这工作正常,但是现在,Spring 4.2决定是否处理OPTIONS请求,通过调用:

    CorsUtils.isCorsRequest(request);

在AbstractHandlerMapping中然后返回

        HandlerInterceptor[] interceptors = chain.getInterceptors();
        chain = new HandlerExecutionChain(new PreFlightHandler(config), interceptors);

而不是HandlerMethod ......

我们需要的是告诉spring让控制器处理OPTIONS请求的一些方法,无论预检请求处理程序是什么.

我们似乎无法找到一个点,我们可以告诉内置的CORS处理是安静的,或者在某个地方配置一些允许我们绕过新添加的代码的子类:

  AbstractHandlerMapping.getHandler(HSR request)

这有可能吗？在我主动启用它之前(通过WebMvcConfigurerAdapter或通过@CrossOrigin注释),这样的功能是不是很安静？

--------编辑-------------

HTTP标准说明了以下关于OPTIONS方法的内容:

OPTIONS方法表示请求有关Request-URI标识的请求/响应链上可用的通信选项的信息.该方法允许客户端确定与资源相关联的选项和/或要求,或服务器的能力,而不暗示资源动作或启动资源检索.

认为beyong只是CORS,我认为拦截CORS选项调用虽然相应的方法映射到控制器上是不正确的方法.是的,CORS是你可以用OPTIONS调用做的一件事.但它绝不是唯一的一个.

如果没有映射,并且如果使用不同的请求方法和@CrossOrigin注释映射处理程序方法,我希望触发内置CORS支持的假设会很好,但我不认为任何请求原始标头集应该只自动转到CORS处理程序.

Answer 1

我刚刚说服 Spring 4.3 通过添加自定义处理程序映射将 CORS 预检传递到我的控制器：

\n\n

public class CorsNoopHandlerMapping extends RequestMappingHandlerMapping {\n\n    public CorsNoopHandlerMapping() {\n        setOrder(0);  // Make it override the default handler mapping.\n    }\n\n    @Override\n    protected HandlerExecutionChain getCorsHandlerExecutionChain(HttpServletRequest request,\n             HandlerExecutionChain chain, CorsConfiguration config) {\n        return chain;  // Return the same chain it uses for everything else.\n    }\n}\n

\n\n

注意：您仍然需要告诉 Spring 将 OPTIONS 请求分派到您的控制器开始 - 也就是说，设置dispatchOptionsRequest为true在 DispatcherServlet 中，就像这个问题中所说的那样。

\n\n

为什么有效

\n\n

S\xc3\xa9bastien\'s上述答案建议使用你自己的CorsProcessor. 据我所知，这仍然不会使用您的控制器作为处理程序；它只会将不同的 CorsProcessor 传递给它自己的 CORS 处理程序。

\n\n

默认情况下，该方法在检测到预检时似乎AbstractHandlerMapping#getCorsHandlerExecutionChain会抛出控制器。它不使用控制器作为处理程序，而是实例化一个新的 PreFlightHandler 并使用它。请参阅Spring 源代码。这是有问题的行：

\n\n

chain = new HandlerExecutionChain(new PreFlightHandler(config), interceptors);

\n\n

它在这里所做的是使用 PreFlightHandler而不是控制器重建执行链。这不是我们想要的，所以我们可以覆盖它以返回输入链。

\n