JQuery 跨域基本身份验证调用

我已经构建了一个带有Spring MVC的REST API后端，并使用Spring Security的基本身份验证进行保护。

我想从Javascript客户端对REST API进行跨域ajax调用。我不想使用 JSONP，因为我不想局限于 GET 调用。我使用 CORS，并且我在服务器端放置了正确的标头。

假设我的 REST API 在域 localhost：8087 上，

我的客户端在 localhost：8086 上，这是跨域调用。

在我的Javascript客户端中，我使用jQuery进行ajax调用：

<script>
        $.ajax ({
            url: "http://localhost:8087/SpringMVC/users/user1",
            beforeSend: function (xhr) { xhr.setRequestHeader ("Authorization", "Basic xxxxxxxxxxxx"); },
            success: function(val) { console.log(val); alert("success" + val); },
            error: function(val) { console.log(val); alert("error" + val); }
        });
</script>

我的问题是jQuery不会在HTTP请求中发送授权标头，我不知道为什么。我不明白，因为我是在 beforeSend 方法中做的，所以它应该在 HTTP 请求中。结果：我有一个401错误。

当我尝试来自同一域的脚本时 localhost：8087，它不再是跨域的，我没有问题。

怎么可能？

我的脚本只是一个测试。我不打算将我的用户名/密码放在客户端。但是我想测试如何对基本的受身份验证保护的REST API进行ajax调用。我想我必须在服务器端发送以保护我的用户名/密码，REST API 会给我发回一个 cookie，我不再需要在下一次对 REST API 的 ajax 调用时传递用户名/密码。我说的对吗？

我已经使用Chrome Advanced REST客户端测试了我的REST API，它就是这样工作的。对于第一个请求，我需要传递授权标头。那么就不需要了。它是否也应该像我的 JavaScript Web 客户端一样工作？我打算使用Node.JS和Backbone来构建它。

多谢。

编辑2 ：似乎真的是CORS浏览器的问题。我已经在服务器端添加了 OPTIONS 方法的标题 Access-Control-Allow-Methods，它适用于 Chrome。我可以访问 JSON 响应，不再有错误。但我仍然需要对下一个请求使用授权标头。如何告诉jQuery使用发送的cookie？

当我尝试使用 Firefox 11 时，我无法访问 json 响应，并且出现错误：

"NetworkError: 401 Non-Autorisé - http://localhost:8087/SpringMVC/users/user1"

<intercept-url pattern="/users/*" access="isAuthenticated()" method="GET"/>

<http ... use-expressions="true">
    <intercept-url pattern="/users/*" access="permitAll" method="OPTIONS"/>
    <intercept-url pattern="/users/*" access="isAuthenticated()"/>
    ...
</http>