ric*_*ico 10 jquery spring-security cross-domain basic-authentication cors
我已经使用Spring MVC构建了一个REST API后端,并使用Spring Security安装了基本的Auth.
我想从Javascript客户端对REST API进行跨域ajax调用.我不想使用JSONP,因为我不想限于GET调用.我使用CORS,我在服务器端放置了正确的标题.
假设我的REST API在域localhost:8087上,我的客户端在localhost:8086上,这是跨域调用.
在我的Javascript客户端中,我使用jQuery进行ajax调用:
<script>
$.ajax ({
url: "http://localhost:8087/SpringMVC/users/user1",
beforeSend: function (xhr) { xhr.setRequestHeader ("Authorization", "Basic xxxxxxxxxxxx"); },
success: function(val) { console.log(val); alert("success" + val); },
error: function(val) { console.log(val); alert("error" + val); }
});
</script>
我的问题是jQuery没有在HTTP请求中发送Authorization标头,我不知道为什么.我不明白因为我在beforeSend方法中这样做,所以它应该在HTTP请求中.结果:我有401错误.
当我尝试从同一域localhost:8087,这不再是跨域的脚本,我没有问题.
这怎么可能 ?
我的脚本只是一个测试.我不打算将我的用户名/密码放在客户端.但我想测试如何对基本的auth保护的REST API进行ajax调用.我想我必须在服务器端发送安全我的用户名/密码,REST API发送给我一个cookie,我不需要再传递用户名/密码,我的下一个ajax调用REST API.我对吗 ?
我已经使用Chrome Advanced REST客户端测试了我的REST API,它就是这样工作的.对于第一个请求,我需要传递授权标头.然后就不需要了.我的javascript网络客户端是否也可以这样工作?我打算使用Node.JS和Backbone来构建它.
非常感谢.
EDIT2:似乎真的是一个CORS浏览器问题.我在服务器端添加了标题Access-Control-Allow-Methods for OPTIONS方法,它适用于Chrome.我可以访问JSON响应,不再出错.但是我仍然需要为下一个请求使用授权标头.如何告诉jQuery使用发送的cookie?
当我尝试使用Firefox 11时,我无法访问json响应并且我有错误:
"NetworkError: 401 Non-Autorisé - http://localhost:8087/SpringMVC/users/user1"
显然,Chrome和Firefox对待跨域请求的方式略有不同.在执行跨域请求之前,他们使用HTTP OPTIONS方法执行所谓的"预检"请求.Chrome和Firefox之间的区别在于,Chrome还会使用凭据发送授权标头,而Firefox则不会.
然后,它仍然是一个Spring Security配置问题.我的url/users/*对所有HTTP方法都是安全的,包括OPTIONS.对于Firefox,由于未发送Authorization标头,我的请求未获得授权.如果我仅将我的安全url/users/*限制为GET方法,那么它完全适用于Firefox.所以我不得不在我的Spring安全配置中添加它:
<intercept-url pattern="/users/*" access="isAuthenticated()" method="GET"/>
之后,我可以选择:我可以添加其他方法来保护intercept-url,OPTIONS除外,或者我可以在我的Spring MVC控制器中限制对GET的HTTP方法调用,它甚至会根据的Javadoc.我选择了第二种解决方案.但是,如果有人找到迫使Firefox发送Chrome等凭据的解决方案,那就太棒了,我会选择这个.