个人中心
gpt4 book ai didi

jBoss CORS 支持与安全约束

转载 作者:行者123 更新时间:2023-12-01 13:33:31 26 4
gpt4 key购买 nike

我正在使用网络通用安全约束向我的 API 添加身份验证,但它似乎破坏了我的 CORS 过滤器。我以前只使用过滤器而不使用应用程序服务器级别的身份验证。

基本思想是要求对所有请求进行身份验证,除了/rest/account 端点下的请求,因为这些是处理初始登录的请求,因此需要可公开访问。

当尝试登录时将 OPTIONS 调用作为 POST 请求的一部分进行时,Chrome 和 Postman 中的测试都会返回 405 Method not allowed 响应。

希望我在下面提供了所有相关内容,但如果需要其他任何内容,请告诉我。提前致谢!

我的 CORS 过滤器

<filter>
    <filter-name>CORS</filter-name>
    <filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>
    <init-param>
        <param-name>cors.supportedMethods</param-name>
        <param-value>*</param-value>
    </init-param>
    <init-param>
        <param-name>cors.supportedHeaders</param-name>
        <param-value>*</param-value>
    </init-param>
    <init-param>
        <param-name>cors.allowOrigin</param-name>
        <param-value>*</param-value>
    </init-param>
    <init-param>
        <param-name>cors.allowSubdomains</param-name>
        <param-value>true</param-value>
    </init-param>
    <init-param>
        <param-name>cors.supportsCredentials</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>CORS</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

我的安全限制 
<security-constraint>
    <display-name>WebsiteUsers</display-name>
    <web-resource-collection>
        <web-resource-name>WebsiteAPI</web-resource-name>
        <description/>
        <url-pattern>/rest/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <description>Standard User authentication</description>
        <role-name>Users</role-name>
    </auth-constraint>
</security-constraint>

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Public</web-resource-name>
        <description>Matches a few special endpoints</description>
        <url-pattern>/rest/account/*</url-pattern>
    </web-resource-collection>
    <!-- No auth-constraint means everybody has access! -->
</security-constraint>

最佳答案

尝试将 <http-method-omission>OPTIONS</http-method-omission> 添加到 protected <web-resource-collection>
这应该允许 OPTIONS 请求通过您的 CORS 过滤器(然后将发送回正确的 Access-Control-Allow-Methods 响应 header )。

https://docs.oracle.com/cd/E19798-01/821-1841/bncbk/index.html

或者(如果您需要支持 servlet 规范 < 3.0),您可以定义所有需要身份验证的方法( GETPOSTDELETEPUT 等 - 除了 OPTIONS 使用 -610567 之外)

关于jBoss CORS 支持与安全约束,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34317677/

26 4 0
文章推荐: django - 全局更改 Django 表单中帮助文本的行为
文章推荐: java - 从 CSV 文件读入数组
文章推荐: java - 如何从 TimePickerFragment 类更改 Button 的文本?
文章推荐: java - 如何更改 Jetty 请求日志 *文件名* 的时区?
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com