REST API - CORS 問題

Question

CORS 對我來說是個問題..

我在http://localhost:8080上用 SPRING 創建了一個 REST API，我曾經在http://localhost上將這個 API 與一個普通的 JS 站點一起使用，但是在應用 OAuth2 之后，以下錯誤開始困擾我。

從來源“ http://localhost ”訪問位於“ http://localhost:8080/oauth/token ”的 XMLHttpRequest 已被 CORS 策略阻止：對預檢請求的響應未通過訪問控制檢查：它沒有 HTTP好的狀態

在 OAuth 之前（使用 AJAX 和 POSTMAN），我可以訪問沒有 CORS 問題的 API，在應用 OAuth 之后，我可以只在 POSTMAN 上使用 API，但我不能對 AJAX 做同樣的事情。

我的 AJAX 代碼：

function pronta(){
    var username = "postmain"; // yes, I wrote wrong
    var password = "1234";  

    function make_base_auth(user, password) {
      var tok = user + ':' + password;
      var hash = btoa(tok);
      return "Basic " + hash;
    }
    $.ajax
      ({
        type: "POST",
        url: "http://localhost:8080/oauth/token",
        dataType: 'json',
        data: {
            'grant-type': 'password',
            'username': 'Tiago',
            'password': '123'
        },
        header:{'Authorization': make_base_auth(username, password)}, // I've tried on both manners. with header and with beforeSend
        beforeSend: function (xhr){ 
            xhr.setRequestHeader('Authorization', make_base_auth(username, password)); 
        },
        success: function (){
            alert('done'); 
        }
    });
}

我的 CORS 過濾器（在 SPRING REST API 上）

    @Component
    public class SimpleCORSFilter implements Filter {
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, PUT, OPTIONS, DELETE, PATCH");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");

        chain.doFilter(req, res);
    }

    @Override
    public void init(FilterConfig filterConfig) {}

    @Override
    public void destroy() {}

}

過濾器在 OAuth 之前運行良好

一些想法發生了什么事？

謝謝

Answer 1

我明白了.. 問題是每次我嘗試發出請求時，都會先提交預檢請求（就像 REST 架構設計的那樣）。

考慮到這一點，我只是准備服務器以允許 OPTIONS 方法。

像這樣..

@Order(-1)    
@Override
    protected void configure(HttpSecurity http) throws Exception {
        http
        .authorizeRequests()
        .antMatchers(HttpMethod.OPTIONS, "/oauth/token").permitAll();
    }

上課前不要忘記@Configuration注解。

Answer 2

這可能是幫助：

@Component
    public class SimpleCORSFilter implements Filter {
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, PUT, OPTIONS, DELETE, PATCH");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");

   if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            chain.doFilter(request, response);
        }

    }

@Override
public void init(FilterConfig filterConfig) {}

@Override
public void destroy() {}

}