我有一些使用 JAX-RS 在 java 中开发的 RESTful Web 服务。我需要对某些方法启用基本身份验证。我正在使用 apache tomee plume 7.0.2 作为我的应用程序服务器。
我在 web.xml 中使用了 security-constraint 标签来保护方法。Apache 领域配置也设置为 DataSourceRealm。
到这里为止一切都很好。
我需要添加 CORS 标头以使我的 js web ui 使用我的服务。所以我在 web.xml 中添加了 apache CorsFilter。问题是对于需要身份验证的服务,返回 401 响应并且不执行过滤器。所以没有添加 CORS 标头,我的 js 客户端失败了。
有没有办法在安全约束执行后强制执行过滤器?在这种情况下如何添加自定义标题?
我的 web.xml 配置是:
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
<init-param>
<param-name>cors.allowed.origins</param-name>
<param-value>*</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.methods</param-name>
<param-value>GET,POST,OPTIONS,PUT,DELETE</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.headers</param-name>
<param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,Authorization</param-value>
</init-param>
<init-param>
<param-name>cors.exposed.headers</param-name>
<param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials,X-Total-Count,WWW-Authenticate</param-value>
</init-param>
<init-param>
<param-name>cors.support.credentials</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>cors.preflight.maxage</param-name>
<param-value>10</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<security-constraint>
<web-resource-collection>
<web-resource-name>roastery creation</web-resource-name>
<url-pattern>/roasteries</url-pattern>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
<security-role>
<role-name>admin</role-name>
</security-role>