我们正在使用Spring Restful,oAuth,MVC服务器端,如果服务器和Web应用程序在同一台服务器上运行,它工作正常。
我们在不同的域中运行服务器和Web应用程序,我们面临无效的会话错误。
当我们进行后调用浏览器发出选项请求并且立即发布调用失败时。
我们启用了 CORS 过滤器,以便 OPTIONS 调用返回 200,但它使当前会话无效,因此下一个 post 调用失败。
我们没有发送 OPTION 请求,因此它直到拦截器仍然无效会话才到达。
我们尝试了以下解决方案:
- 调度选项请求并在拦截器中处理它。它创建新会话,但无法存储其持久性。所以它仍然失败了
- 在查询参数中发送自定义访问令牌标头和会话 Cookie,但我们无法在 JavaScript 中访问会话 Cookie。
我正在尝试避免在选项请求上创建新会话,请让我们如何避免在春季或 Tomcat 中。
我们还需要为混合移动应用程序支持此解决方案(因为它不支持 cookie(。
启用 CORS:
在 Web 中.xml:
<filter>
<filter-name>CORSFilter</filter-name>
<filter-class>com.tip.uiux.service.framework.CORSFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CORSFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
在CORSFilter中.java
@Override
public void doFilter(ServletRequest req, ServletResponse res,
FilterChain chain) throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) res;
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("X-Frame-Options", "DENY");
response.setHeader("Access-Control-Allow-Methods","POST, GET, HEAD, OPTIONS");
response.setHeader("Access-Control-Allow-Headers",
"Custom-Access-Token, Origin, Accept, Session-Alias, X-Requested-With, Content-Type, Access-Control-Request-Method, Access-Control-Request-Headers");
//LOGGER.info("Request Filtered for Cross Origin Resource Sharing using CORSFilter with custom headers");
chain.doFilter(req, res);
}
还应将相关标头添加到响应中。请在您的应用程序中使用以下 CORS 过滤器。
@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CorsFilter implements Filter {
@Autowired
Environment environment;
public CorsFilter() {
}
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) res;
HttpServletRequest request = (HttpServletRequest) req;
if (Arrays.stream(this.environment.getActiveProfiles()).anyMatch(env -> (env.equalsIgnoreCase("development")))) {
response.setHeader("Access-Control-Allow-Origin", "http://dev.yourdomain.com");
} else if (Arrays.stream(this.environment.getActiveProfiles()).anyMatch(env -> (env.equalsIgnoreCase("production")))) {
response.setHeader("Access-Control-Allow-Origin", "https://www.yourdomain.com");
} else {
response.setHeader("Access-Control-Allow-Origin", "http://localhost:8080");
}
response.setHeader("Access-Control-Allow-Methods", "POST, GET, PATCH, OPTIONS, DELETE");
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "Origin, Authorization, X-Requested-With, Content-Type, Accept, Key");
if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
response.setStatus(HttpServletResponse.SC_OK);
} else {
chain.doFilter(req, res);
}
}
@Override
public void init(FilterConfig filterConfig) {
}
@Override
public void destroy() {
}
}
请注意,过滤器还会在标头中添加一些域信息(对于开发和生产环境,默认为 localhost(。如果要使用这些部分,可以为这些部分提供自己的域。
希望这有帮助