Habilite o CORS para aplicativos tomcat com suporte a credenciais
Eu tenho um aplicativo GWT simples em execução no IIS no meu servidor. Estou tentando testar solicitações HTTP para o tomcat em execução no mesmo servidor. No entanto, como os dois servidores de aplicativos estão em execução em portas diferentes, meu navegador (chrome e firefox) trata as solicitações como uma solicitação CORS.
Para permitir que o tomcat aceite a solicitação do CORS, atualizei-o para o Tomcat 7.0.52 e ativei o filtro CORS na configuração global web.xml. Eu testei essa configuração simples e parece funcionar. Aqui está o código no GWT:
String url = "http://bavarians:8080/";
RequestBuilder rb = new RequestBuilder(RequestBuilder.GET, url);
box.setText(url);
try
{
rb.sendRequest("", new RequestCallback(){
@Override
public void onResponseReceived(Request request, Response response)
{
Window.alert(response.getStatusCode() + response.getStatusText());
}
@Override
public void onError(Request request, Throwable exception)
{
Window.alert("Request failed");
}});
}
catch (RequestException e)
{
// TODO Auto-generated catch block
e.printStackTrace();
}
Aqui está o filtro CORS associado a ele:
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
<init-param>
<param-name>cors.allowed.origins</param-name>
<param-value>http://bavarians</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.methods</param-name>
<param-value>GET,POST,HEAD,OPTIONS,PUT</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.headers</param-name>
<param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers, Authorization</param-value>
</init-param>
<init-param>
<param-name>cors.exposed.headers</param-name>
<param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials, Authorization</param-value>
</init-param>
<init-param>
<param-name>cors.support.credentials</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>cors.preflight.maxage</param-name>
<param-value>10</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
Com essa configuração, recebo uma resposta 200 OK do tomcat. Portanto, é seguro assumir que o filtro CORS está funcionando. Para apoiar isso, tomei um rastro de violinista e tudo parecia bem.
Agora, como quero acessar um dos aplicativos do tomcat (solr), preciso de autenticação básica com minha solicitação do CORS. Isso traz uma solicitação de comprovação à imagem. Desde que configurei meu filtro CORS para permitir o uso de credenciais, não precisei de alterações. Então, eu fiz a seguinte alteração no meu código
String url = "http://bavarians:8080/solr/select?wt=xml&q=tag_name:abcd&username=domain\\userid";
RequestBuilder rb = new RequestBuilder(RequestBuilder.GET, url);
box.setText(url);
rb.setHeader("Authorization", "Basic YWRtaW46YWRtaW4=");
rb.setIncludeCredentials(true);
Agora, quando tento usar esse código, ele fica dentro doonResponseReceived
bloco de código e fornece uma caixa de alerta com o valor "0". Quando fiz um rastreamento de violinista, recebo o seguinte:
Faz sentido para o navegador enviar uma solicitação de comprovação, pois estou adicionando o cabeçalho personalizado à solicitação. Mas não entendo por que o tomcat responde com um código 401, apesar de adicionar o cabeçalho de autorização à sua configuração de filtro CORS.
Agradeço qualquer ajuda ou resposta
EDITAR: Mais uma coisa que eu notei: se meu URL for apenas "bavarianos: 8080 / solr /" ;, o tomcat autoriza com êxito a solicitação pré-comprovada e a próxima solicitação imediata é processada como uma solicitação GET normal, com uma resposta 200 OK. Mas se eu inserir o nome da função e consultar a URL, recebo 401 novamente. O acesso ao URL acima do navegador requer autenticação básica. assimCORSFilter
funciona até algum ponto