Включить CORS для приложений Tomcat с поддержкой учетных данных
У меня есть простое приложение GWT, запущенное из IIS на моем сервере. Я пытаюсь проверить HTTP-запросы к Tomcat, работающие на том же сервере. Однако, поскольку оба сервера приложений работают на разных портах, мой браузер (chrome и firefox) обрабатывает запросы как запросы CORS.
Чтобы tomcat мог принимать запрос CORS, я обновил его до Tomcat 7.0.52 и включил фильтр CORS в глобальной конфигурации web.xml. Я проверил эту простую настройку, и она, кажется, работает. Вот код в GWT:
String url = "http://bavarians:8080/";
RequestBuilder rb = new RequestBuilder(RequestBuilder.GET, url);
box.setText(url);
try
{
rb.sendRequest("", new RequestCallback(){
@Override
public void onResponseReceived(Request request, Response response)
{
Window.alert(response.getStatusCode() + response.getStatusText());
}
@Override
public void onError(Request request, Throwable exception)
{
Window.alert("Request failed");
}});
}
catch (RequestException e)
{
// TODO Auto-generated catch block
e.printStackTrace();
}
Вот фильтр CORS, связанный с ним:
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
<init-param>
<param-name>cors.allowed.origins</param-name>
<param-value>http://bavarians</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.methods</param-name>
<param-value>GET,POST,HEAD,OPTIONS,PUT</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.headers</param-name>
<param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers, Authorization</param-value>
</init-param>
<init-param>
<param-name>cors.exposed.headers</param-name>
<param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials, Authorization</param-value>
</init-param>
<init-param>
<param-name>cors.support.credentials</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>cors.preflight.maxage</param-name>
<param-value>10</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
С этой настройкой я получаю ответ 200 OK от tomcat. Поэтому можно предположить, что фильтр CORS работает. Чтобы поддержать это, я взял след скрипача, и все выглядело хорошо.
Теперь, поскольку я хочу получить доступ к одному из приложений tomcat (solr), мне нужна базовая аутентификация с моим CORS-запросом. Это приносит предполетный запрос в картину. Поскольку я настроил свой CORS-фильтр, чтобы разрешить использование учетных данных, мне не нужно было вносить в него какие-либо изменения. Итак, я сделал следующее изменение в своем коде
String url = "http://bavarians:8080/solr/select?wt=xml&q=tag_name:abcd&username=domain\\userid";
RequestBuilder rb = new RequestBuilder(RequestBuilder.GET, url);
box.setText(url);
rb.setHeader("Authorization", "Basic YWRtaW46YWRtaW4=");
rb.setIncludeCredentials(true);
Теперь, когда я пытаюсь использовать этот код, он попадает внутрьonResponseReceived
Блок кода и выдает окно предупреждения со значением «0». Когда я взял трассировку скрипача, я получил это:
Браузер имеет смысл отправить предварительный запрос, так как я добавляю в запрос пользовательский заголовок. Но я не понимаю, почему tomcat отвечает кодом 401, несмотря на добавление заголовка авторизации в конфигурацию фильтра CORS.
Буду признателен за любую помощь или ответ
РЕДАКТИРОВАТЬ: Еще одна вещь, которую я заметил, - если мой URL-адрес просто «bavarians: 8080 / solr /»; tomcat успешно авторизует предварительно выданный запрос, и следующий немедленный запрос обрабатывается как обычный запрос GET с ответом 200 OK. Но если я ввожу имя функции и запрашиваю URL, я снова получаю 401. Доступ к указанному выше URL из браузера требует базовой аутентификации. ТакCORSFilter
работает до какого-то момента