ajax - 身份验证标头未发送 JQuery Ajax

Question

我在 Apache Tomcat 7 中托管了具有基本身份验证的 Web 服务器。我有 Tomcat 用户“tomcat”，角色为“tomcat”，密码为“tomcat”。以下分别是我在客户端的 web.xml 文件和脚本片段。

Web.xml

<?xml version="1.0" encoding="ASCII"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" version="3.0">
  <display-name>testservice</display-name>
  <servlet>
    <description>JAX-RS Tools Generated - Do not modify</description>
    <servlet-name>testservice</servlet-name>
    <servlet-class>com.sun.jersey.spi.container.servlet.ServletContainer</servlet-class>
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>testservice</servlet-name>
    <url-pattern>/rest/*</url-pattern>
  </servlet-mapping>

    <security-constraint>
        <web-resource-collection>
            <web-resource-name>testservice</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
        </web-resource-collection>
        <auth-constraint>
            <role-name>tomcat</role-name>
        </auth-constraint>

        <user-data-constraint>
            <!-- transport-guarantee can be CONFIDENTIAL, INTEGRAL, or NONE -->
            <transport-guarantee>NONE</transport-guarantee>
        </user-data-constraint>
    </security-constraint>

    <login-config>
        <auth-method>BASIC</auth-method>
    </login-config>
</web-app>

客户端脚本：

<script src="jquery-1.10.2.min.js" type="text/javascript"></script>
<script language="javascript" type="text/javascript">
    $.ajax({
        type: "GET",
        beforeSend: function (request)
        {
            request.setRequestHeader("Authorization", "Basic  dG9tY2F0OnRvbWNhdA==");
        },
        url: "http://localhost:1222/testservice/rest/test/users",
        dataType:"jsonp",
        success: function(res) {
            alert(res); 
        },
        error: function(err) {
            alert(err);
        }
    });                    
</script>

我很确定 Web 服务和基本身份验证没有问题。但是从客户端脚本中，没有发送身份验证标头。我也试过header:("Authorization","Basic dG9tY2F0OnRvbWNhdA==")。但是请求发送时没有身份验证标头。任何帮助将不胜感激。

score 4 · Accepted Answer

有两件事要尝试：

1) 将 CORS 过滤器添加到您的 Tomcat 配置中

将CORS 过滤器添加到您的 Tomcat 配置中。注意Access-Control-Allow-Origins下面故意留空，因此没有站点可以通过 CORS 访问。但配置的重要参数是Access-Control-Allow-Credentials.

<filter>
  <filter-name>CorsFilter</filter-name>
  <filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
  <init-param>
    <param-name>cors.allowed.origins</param-name>
    <param-value></param-value>
  </init-param>
  <init-param>
    <param-name>cors.allowed.methods</param-name>
    <param-value>GET,POST,HEAD,OPTIONS,PUT</param-value>
  </init-param>
  <init-param>
    <param-name>cors.allowed.headers</param-name>
    <param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers</param-value>
  </init-param>
  <init-param>
    <param-name>cors.exposed.headers</param-name>
    <param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials</param-value>
  </init-param>
  <init-param>
    <param-name>cors.support.credentials</param-name>
    <param-value>true</param-value>
  </init-param>
  <init-param>
    <param-name>cors.preflight.maxage</param-name>
    <param-value>10</param-value>
  </init-param>
</filter>
<filter-mapping>
  <filter-name>CorsFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

2) 修改你的 Ajax 调用

像这样修改你beforeSend的ajax调用：

$.ajax({
    type: "GET",
    beforeSend: function (request)
    {
        request.withCredentials = true;
        request.setRequestHeader("Authorization", "Basic  dG9tY2F0OnRvbWNhdA==");
    },
    url: "http://localhost:1222/testservice/rest/test/users",
    dataType:"jsonp",
    success: function(res) {
        alert(res); 
    },
    error: function(err) {
        alert(err);
    }
});

我注意到的唯一另一件事是您的 web.xml 可能还需要以下内容：

<security-role>
  <role-name>tomcat</role-name>
</security-role>

希望这可以帮助。

score 2 · Accepted Answer

发现通过标头传递身份验证不适用于具有 jsonp 数据类型的 jQuery ajax。所以尝试跟随并且工作正常。

$.ajax({
    type: "GET",
    url: "http://tomcat:tomcat@localhost:1222/testservice/rest/test/users",
    dataType:"jsonp",
    success: function(res) {
        alert(res); 
    },
    error: function(err) {
        alert(err);
    }
});  

function callbackMethod(data) {
    alert(data);
}

score 0 · Accepted Answer

我还没有找到解决方案，只有一个解决方法：

使用两个标头发送授权标头，标准的标头和 IE 的自定义标头：

beforeSend: function (jqXHR, settings) {
    if (self._hasAuthInfo()) {
        jqXHR.setRequestHeader("Authorization", self._makeAuthHeader());
        jqXHR.setRequestHeader("IEAuth", self._makeAuthHeader());
    }
}

服务器端将检查两者（仅当 IE 和标准不存在时才检查第二个）

score 0 · Accepted Answer

mccannf 让我们完成了 99% 的任务，但有一个类似的问题悬停，我们切换了设置 withCredentials 属性的方式，这对我们有用。注意我们设置了 xhrFields 属性。这可以在此处的 ajax 方法的 jQuery 文档中看到；http://api.jquery.com/jQuery.ajax/

$.ajax({
    type: "GET",
    xhrFields: { withCredentials: true }, 
    beforeSend: function (request)
    {
        request.setRequestHeader("Authorization", "Basic  dG9tY2F0OnRvbWNhdA==");
    },
    url: "http://localhost:1222/testservice/rest/test/users",
    dataType:"jsonp",
    succes: function(res) {
        alert(ers); 
    },
    error: function(err) {
        alert(err);
    }
});

但是，我们没有使用 jsonp，简单的 json。

ajax - 身份验证标头未发送 JQuery Ajax

4 回答 4

1) 将 CORS 过滤器添加到您的 Tomcat 配置中

2) 修改你的 Ajax 调用

Related

Reference