我正在使用 web-common 安全约束向我的 API 添加身份验证,但它似乎破坏了我的 CORS 过滤器。我以前只使用过滤器而不使用应用服务器级别的身份验证。
基本思想是要求对所有请求进行身份验证,除了 /rest/account 端点下的请求,因为这些是处理初始登录的请求,因此需要可公开访问。
在尝试登录时,当 OPTIONS 调用作为 POST 请求的一部分进行时,Chrome 和 Postman 中的测试都会返回 405 Method not allowed 响应。
希望我在下面提供了所有相关的信息,但如果还需要其他信息,请告诉我。提前致谢!
我的 CORS 过滤器
<filter>
<filter-name>CORS</filter-name>
<filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>
<init-param>
<param-name>cors.supportedMethods</param-name>
<param-value>*</param-value>
</init-param>
<init-param>
<param-name>cors.supportedHeaders</param-name>
<param-value>*</param-value>
</init-param>
<init-param>
<param-name>cors.allowOrigin</param-name>
<param-value>*</param-value>
</init-param>
<init-param>
<param-name>cors.allowSubdomains</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>cors.supportsCredentials</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CORS</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
我的安全限制
<security-constraint>
<display-name>WebsiteUsers</display-name>
<web-resource-collection>
<web-resource-name>WebsiteAPI</web-resource-name>
<description/>
<url-pattern>/rest/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<description>Standard User authentication</description>
<role-name>Users</role-name>
</auth-constraint>
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>Public</web-resource-name>
<description>Matches a few special endpoints</description>
<url-pattern>/rest/account/*</url-pattern>
</web-resource-collection>
<!-- No auth-constraint means everybody has access! -->
</security-constraint>