那些遇到过的问题

使用 Spring Security 和 CORS 登录 Ajax

Emm*_*las 5 java ajax spring-security cors

我按照本指南来实现带有 spring-security 的 api。它在本地运行良好,但是当我将它部署在远程服务器上时,由于 cors 策略(服务器:80 尝试访问服务器:8080),无法访问登录端点。

我添加了 cors 过滤器来处理它,但似乎登录方法(可能还有受保护的方法,因为我无法登录而无法对其进行测试)没有使用我的自定义过滤器。未登录用户可用的端点运行良好

请求已预检,但服务器未在远程服务器上添加正确的标头。

首先,这是在到达公共端点之前对预检请求的请求和响应

要求: 

Host: 01.02.03.04:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Access-Control-Request-Method: GET
Access-Control-Request-Headers: x-requested-with
Origin: http://01.02.03.04
Connection: keep-alive
Cache-Control: max-age=0
Run Code Online (Sandbox Code Playgroud)

回复: 

Access-Control-Allow-Methods: GET,HEAD,POST
Access-Control-Allow-Origin: http://01.02.03.04
Access-Control-Max-Age: 1800
Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS, PATCH
Content-Length: 0
Date: Mon, 10 Jul 2017 10:40:32 GMT
Vary: Origin
access-control-allow-credentials: true
access-control-allow-headers: x-requested-with
Run Code Online (Sandbox Code Playgroud)

这是到达登录端点之前预检请求的请求和响应:

要求 : 

Host: 01.02.03.04:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Access-Control-Request-Method: POST
Access-Control-Request-Headers: content-type,x-requested-with
Origin: http://01.02.03.04
Connection: keep-alive
Run Code Online (Sandbox Code Playgroud)

回复 : 

Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS, PATCH
Content-Length: 20
Date: Mon, 10 Jul 2017 11:18:40 GMT
Run Code Online (Sandbox Code Playgroud)

我们很容易看到,当尝试访问 /login 时,服务器没有正确回答。

这是访问 /login 的 ajax 测试:

Host: 01.02.03.04:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Access-Control-Request-Method: GET
Access-Control-Request-Headers: x-requested-with
Origin: http://01.02.03.04
Connection: keep-alive
Cache-Control: max-age=0
Run Code Online (Sandbox Code Playgroud)

这是 WebSecurityConfigurerAdapter 配置方法:

Access-Control-Allow-Methods: GET,HEAD,POST
Access-Control-Allow-Origin: http://01.02.03.04
Access-Control-Max-Age: 1800
Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS, PATCH
Content-Length: 0
Date: Mon, 10 Jul 2017 10:40:32 GMT
Vary: Origin
access-control-allow-credentials: true
access-control-allow-headers: x-requested-with
Run Code Online (Sandbox Code Playgroud)

这是自定义 cors 过滤器:

Host: 01.02.03.04:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Access-Control-Request-Method: POST
Access-Control-Request-Headers: content-type,x-requested-with
Origin: http://01.02.03.04
Connection: keep-alive
Run Code Online (Sandbox Code Playgroud)

谢谢您的回答,

伊曼纽尔

归档时间:

查看次数:

564 次

最近记录:

8 年,11 月 前
相关归档
删除目录中的所有文件(但不是目录) - 一个班轮解决方案 188
simpledateformat使用'Z'文字解析日期 73
为什么System.nanoTime()比System.currentTimeMillis()更慢(在性能上)? 62
有没有办法只在Tomcat/Wildfly/Glassfish启动时运行方法/类? 52
如何检查两个单词是否是字谜 44
如何在发布后保留表单值 22
使用Tornado和Prototype进行异步COMET查询 9
是否认为执行AJAX调用返回的javascript是不好的形式? 7
更改Spring Security配置 5
避免在Google上存档重复内容以获取存档页面? 4
难疑归档
如何检查jQuery中是否选中了复选框? 4390
避免!= null语句 3904
显式关键字是什么意思? 2753
需要一个没有任何子弹的无序列表 2408
什么是智能指针,什么时候应该使用? 1730
在jQuery中创建div元素 1500
从客户端检测到潜在危险的Request.Form值 1437
如何迭代Bash中变量定义的一系列数字? 1409
如何在Java中连接两个数组? 1299
Promises和Observables有什么区别? 1291