我有一个从服务器上的 IIS 运行的简单 GWT 应用程序。我正在尝试测试对在同一台服务器上运行的 tomcat 的 HTTP 请求。但是,由于两个应用程序服务器都在不同的端口上运行,我的浏览器(chrome 和 firefox)将请求视为 CORS 请求。
为了使 tomcat 能够接受 CORS 请求,我将其更新为 Tomcat 7.0.52 并在全局 web.xml 配置中启用了 CORS 过滤器。我测试了这个简单的设置,它似乎工作。这是 GWT 中的代码:
String url = "http://bavarians:8080/";
RequestBuilder rb = new RequestBuilder(RequestBuilder.GET, url);
box.setText(url);
try
{
rb.sendRequest("", new RequestCallback(){
@Override
public void onResponseReceived(Request request, Response response)
{
Window.alert(response.getStatusCode() + response.getStatusText());
}
@Override
public void onError(Request request, Throwable exception)
{
Window.alert("Request failed");
}});
}
catch (RequestException e)
{
// TODO Auto-generated catch block
e.printStackTrace();
}
这是与之关联的 CORS 过滤器:
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
<init-param>
<param-name>cors.allowed.origins</param-name>
<param-value>http://bavarians</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.methods</param-name>
<param-value>GET,POST,HEAD,OPTIONS,PUT</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.headers</param-name>
<param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers, Authorization</param-value>
</init-param>
<init-param>
<param-name>cors.exposed.headers</param-name>
<param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials, Authorization</param-value>
</init-param>
<init-param>
<param-name>cors.support.credentials</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>cors.preflight.maxage</param-name>
<param-value>10</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
通过这个设置,我得到了来自 tomcat 的 200 OK 响应。因此可以安全地假设 CORS 过滤器正在工作。为了支持这一点,我做了一个提琴手跟踪,一切看起来都很好。
现在,由于我想访问 tomcat(solr) 的应用程序之一,我需要对我的 CORS 请求进行基本身份验证。这带来了预检请求。由于我设置了我的 CORS 过滤器以启用凭证使用,因此我不需要对其进行任何更改。所以,我对我的代码进行了以下更改
String url = "http://bavarians:8080/solr/select?wt=xml&q=tag_name:abcd&username=domain\\userid";
RequestBuilder rb = new RequestBuilder(RequestBuilder.GET, url);
box.setText(url);
rb.setHeader("Authorization", "Basic YWRtaW46YWRtaW4=");
rb.setIncludeCredentials(true);
现在,当我尝试使用此代码时,它会进入onResponseReceived代码块并给出一个带有“0”值的警报框。当我进行提琴手跟踪时,我得到了这个:
由于我将自定义标头添加到请求中,因此浏览器发送预检请求是有意义的。但我不明白为什么尽管将授权标头添加到其 CORS 过滤器配置中,但 tomcat 仍以 401 代码响应。
我将不胜感激任何帮助或回应
编辑:我注意到的另一件事 - 如果我的 URL 只是“bavarians:8080/solr/”;,tomcat 成功授权预检请求,并且立即下一个请求被处理为具有 200 OK 响应的普通 GET 请求。但是如果我输入函数名称并使用 URL 进行查询,我会再次得到 401。从浏览器访问上述 URL 需要基本身份验证。直到CORSFilter某个时候才起作用