Я новичок в работе с Cross Origin Resource Sharing и пытаюсь заставить мой webapp отвечать на запросы CORS. Мой webapp - это приложение Spring 3.2, работающее на Tomcat 7.0.42.
В моем webapp web.xml я включил фильтр Tomcat CORS:
<!-- Enable CORS (cross origin resource sharing) -->
<!-- http://tomcat.apache.org/tomcat-7.0-doc/config/filter.html#CORS_Filter -->
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
Мой клиент (написанный с помощью AngularJS 1.2.12) пытается получить доступ к конечной точке REST с включенной базовой аутентификацией. Когда он делает запрос GET, Chrome сначала выполняет предпросмотр запроса, но получает 403 запрещенный ответ с сервера:
Request URL:http://dev.mydomain.com/joeV2/users/listUsers
Request Method:OPTIONS
Status Code:403 Forbidden
Request Headers:
OPTIONS /joeV2/users/listUsers HTTP/1.1
Host: dev.mydomain.com
Connection: keep-alive
Cache-Control: max-age=0
Access-Control-Request-Method: GET
Origin: http://localhost:8000
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537.36
Access-Control-Request-Headers: accept, authorization
Accept: */*
Referer: http://localhost:8000/
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Response Headers:
HTTP/1.1 403 Forbidden
Date: Sat, 15 Feb 2014 02:16:05 GMT
Content-Type: text/plain; charset=UTF-8
Content-Length: 0
Connection: close
Я не совсем уверен, как действовать дальше. Фильтр Tomcat по умолчанию принимает заголовок OPTIONS для доступа к ресурсу.
Проблема, я считаю, в том, что мой ресурс (URL-адрес запроса) http://dev.mydomain.com/joeV2/users/listUsers настроен только для приема методов GET:
@RequestMapping( method=RequestMethod.GET, value="listUsers", produces=MediaType.APPLICATION_JSON_VALUE)
@ResponseBody
public List<User> list(){
return userService.findAllUsers();
}
Означает ли это, что я должен заставить этот метод/конечную точку принять метод OPTIONS? Если это так, означает ли это, что я должен явно указать, что каждая конечная точка REST принимает метод OPTIONS? Я не понимаю, как это будет работать. Насколько я понимаю, предварительный предлог OPTIONS предназначен для браузера для проверки того, что браузер должен иметь доступ к указанному ресурсу. Я понимаю, что мой контрольный метод не должен даже вызываться во время предполета. Поэтому указание OPTIONS как принятого метода будет контрпродуктивным.
Должен ли Tomcat отвечать на запрос OPTIONS напрямую, даже не обращаясь к моему коду? Если да, то что-то не хватает в моей конфигурации?