Я пытаюсь вызвать конечные точки REST на одно приложение (приложение с пружинной загрузкой) из другого (угловое). Приложения работают на следующих хостах и портах.CORS с пружинным ботинком и angularjs не работает
- REST приложение, с помощью загрузки пружины,
http://localhost:8080
- HTML приложения, используя angularjs,
http://localhost:50029
Я также использую spring-security
с применением пружинного загрузки. В приложении HTML я могу выполнить проверку подлинности в приложении REST, но после этого я до сих пор не могу получить доступ к какой-либо конечной точке REST. Например, у меня есть функция angularjs, определенная следующим образом.
adminServices.factory('AdminService', ['$resource', '$http', 'conf', function($resource, $http, conf) {
var s = {};
s.isAdminLoggedIn = function(data) {
return $http({
method: 'GET',
url: 'http://localhost:8080/api/admin/isloggedin',
withCredentials: true,
headers: {
'X-Requested-With': 'XMLHttpRequest'
}
});
};
s.login = function(username, password) {
var u = 'username=' + encodeURI(username);
var p = 'password=' + encodeURI(password);
var r = 'remember_me=1';
var data = u + '&' + p + '&' + r;
return $http({
method: 'POST',
url: 'http://localhost:8080/login',
data: data,
headers: {'Content-Type': 'application/x-www-form-urlencoded'}
});
};
return s;
}]);
Контроллер angularjs выглядит следующим образом.
adminControllers.controller('LoginController', ['$scope', '$http', 'AdminService', function($scope, $http, AdminService) {
$scope.username = '';
$scope.password = '';
$scope.signIn = function() {
AdminService.login($scope.username, $scope.password)
.success(function(d,s) {
if(d['success']) {
console.log('ok authenticated, call another REST endpoint');
AdminService.isAdminLoggedIn()
.success(function(d,s) {
console.log('i can access a protected REST endpoint after logging in');
})
.error(function(d, s) {
console.log('huh, error checking to see if admin is logged in');
$scope.reset();
});
} else {
console.log('bad credentials?');
}
})
.error(function(d, s) {
console.log('huh, error happened!');
});
};
}]);
На призыв к http://localhost:8080/api/admin/isloggedin
, я получаю 401 Unauthorized
.
На стороне приложения REST у меня есть фильтр CORS, который выглядит следующим образом.
@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CORSFilter implements Filter {
@Override
public void destroy() { }
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) res;
HttpServletRequest request = (HttpServletRequest) req;
response.setHeader("Access-Control-Allow-Origin", "http://localhost:50029");
response.setHeader("Access-Control-Allow-Methods", "POST, PUT, GET, OPTIONS, DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "X-Requested-With, X-Auth-Token");
response.setHeader("Access-Control-Allow-Credentials", "true");
if(!"OPTIONS".equalsIgnoreCase(request.getMethod())) {
chain.doFilter(req, res);
}
}
@Override
public void init(FilterConfig config) throws ServletException { }
}
Конфигурация моей весенней безопасности выглядит следующим образом.
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private RestAuthenticationEntryPoint restAuthenticationEntryPoint;
@Autowired
private JsonAuthSuccessHandler jsonAuthSuccessHandler;
@Autowired
private JsonAuthFailureHandler jsonAuthFailureHandler;
@Autowired
private JsonLogoutSuccessHandler jsonLogoutSuccessHandler;
@Autowired
private AuthenticationProvider authenticationProvider;
@Autowired
private UserDetailsService userDetailsService;
@Autowired
private PersistentTokenRepository persistentTokenRepository;
@Value("${rememberme.key}")
private String rememberMeKey;
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.exceptionHandling()
.authenticationEntryPoint(restAuthenticationEntryPoint)
.and()
.authorizeRequests()
.antMatchers("/api/admin/**").hasRole("ADMIN")
.antMatchers("/", "/admin", "/css/**", "/js/**", "/fonts/**", "/api/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.successHandler(jsonAuthSuccessHandler)
.failureHandler(jsonAuthFailureHandler)
.permitAll()
.and()
.logout()
.deleteCookies("remember-me", "JSESSIONID")
.logoutSuccessHandler(jsonLogoutSuccessHandler)
.permitAll()
.and()
.rememberMe()
.userDetailsService(userDetailsService)
.tokenRepository(persistentTokenRepository)
.rememberMeCookieName("REMEMBER_ME")
.rememberMeParameter("remember_me")
.tokenValiditySeconds(1209600)
.useSecureCookie(false)
.key(rememberMeKey);
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth
.authenticationProvider(authenticationProvider);
}
}
Всех обработчики делают это выписывая ответ JSON, как {success: true}
на основе, если пользователь вошел в системе, не удался проверить подлинность, или выхода из системы. RestAuthenticationEntryPoint
выглядит следующим образом.
@Component
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {
@Override
public void commence(HttpServletRequest req, HttpServletResponse resp, AuthenticationException ex)
throws IOException, ServletException {
resp.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized");
}
}
Любые идеи о том, чего я не хватает или что-то не так?
Я полагаю, вы должны выполнить аутентификацию, а также, как знак или что-то. У вас есть 2 сервера. Вы посмотрели на этот учебник? Https: //spring.io/guides/tutorials/spring-security-and-angular-js/ –
@GokhanOner Как переносить аутентификацию? Вероятно, это недостающая часть этой проблемы. Кроме того, да, я проходил эти учебные пособия и не думал, что они согласуются с моим подходом. Первые две части касались аутентификации Http-Basic, затем третья часть была посвящена Redis (я не хотел или планировал получить это как зависимость), а затем последний учебник касался «API-шлюза» с весенним облаком, который я мысль была излишней. –
Я полагаю, вы можете сделать это без redis, это всего лишь хранилище кеш-значений. Вам необходимо сохранить аутентификацию и токен CSRF в хранилище, возможную внутреннюю карту на лету. Ключевым моментом здесь является ключ аутентификации. посмотрите на пример: https: //github.com/dsyer/spring-security-angular/tree/master/spring-session и страницу с «сервером ресурсов». Вы увидите, что некоторые дополнительные компоненты определены, порядок фильтра CORS также важен. И некоторая поддержка. меняется тоже необходимо. –