jquery cross domain authentication

Ich konfiguriert mein Jetty-server zu ermöglichen cross-domain-http-Anfragen (allowedOrigins = *) und auch, um einen cross-domain authentication (allowCredentials=true) mit seiner CrossOriginFilter.
Cross-domain-http-Anfragen ohne Authentifizierung Anforderung arbeiten ok. Nun, wenn es um die http-Aufrufe, die eine Authentifizierung erfordern Es funktioniert nicht mit JQuery. Ich verwende den folgenden code und diesem Beispiel gefolgt: http://www.aswinanand.com/2009/01/http-basic-authentication-using-ajax/

function login(username, password) {
$.ajax({
    type: "GET",
    contentType: "application/json",
    dataType: "json",
    url: url,
    beforeSend: function(xhr) {
        var base64 = Base64.encode(username + ":" + password);
        xhr.setRequestHeader("Authorization", "Basic " + base64);
        xhr.withCredentials = true;
    },
    error: function(data){
        alert("error");
    },
    success: function(data){
        alert("success"); 
    }
});

Im HTTPFox sehe ich folgende Anfrage an den server:

OPTIONS /login HTTP/1.1
...
Access-Control-Request-Method   GET
Access-Control-Request-Headers  authorization,content-type

Antwortet der server mit einem 

HTTP/1.1 204 No Content
...
Allow   OPTIONS,GET,HEAD

Ich auch die folgenden Optionen, die nicht machen einen Unterschied.

$.ajax({
    ...
    username: username,
    password: password,
    ...
}

Die error-Funktion immer feuert.
Jemand eine Idee was das problem sein könnte?

  • Sehen Sie diese in Ihre Antwort-header Access-Control-Allow-Origin:*? Gute Frage übrigens! Herzlich willkommen auf StackOverflow!
  • Ich denke, es wäre hilfreich, wenn man zeigen könnte, jede stacktraces im Zusammenhang mit dem Thema als gut.
  • ok, bitte überprüfen, um zu sehen, ob das header enthalten ist, in Ihre Antwort. Wenn nicht, dann ist es möglich, die Sicherheit überschreiben, die Antwort-Header. Mehr sehen müssen logs zum Debuggen weiter. Viel Glück! 🙂
  • Nein, ich dont sehen, wie diese header in der Antwort vom server. Die Sicherheit der jetty? Welche Art von Protokollen oder stacktraces kann ich bieten?
  • Dies würde bei der Rahmen-oder server-Ebene. Die server in der Regel meldet sich die Dinge auf einem sehr viel niedrigeren Niveau als Ihre app macht, so müssten Sie ändern, Protokollierung.Eigenschaften (oder was auch immer-logger, die Sie verwenden), und legen Sie es zu Protokoll zu DEBUGGEN, oder ALLE, so Sie sehen können, was die server-und framework sind dabei unter der Haube. Sie sind auf der Suche für jede Instanz der Header gesetzt wird, ohne die Access-origin-header
InformationsquelleAutor hansi | 2012-05-26
  1. 5

    Als die Standard-Header erlaubt sind

    X-Requested-With,Content-Type,Accept,Herkunft

    Ich hatte, um die Header

    Autorisierung,content-type

    Gefunden dies über die log-Datei

    DEBUG [2012-05-27 17:04:02,468] org.eclipse.jetty.servlets.CrossOriginFilter: Header [authorization,content-type] sind nicht unter erlaubte-Header [X-Requested-With, Content-Type, Accept, Ursprung]

    Danke für die vielen Hinweise!

    InformationsquelleAutor hansi
  2. 3

    Die Antwort-Header, die Sie in Ihre Anwendung -- wenn die Sicherheit nicht aktiviert 00 funktioniert Prima, wie haben Sie das bestätigt. Allerdings, wenn die Sicherheitsfunktion aktiviert ist, werden Ihre cross-domain-Anfragen scheitern.

    Dies ist wahrscheinlich auf die zusätzliche Filter und zusätzliche Antwort-Header, die gesetzt sind durch die Sicherheits-filter, um eine Antwort generieren.

    Um dieses problem zu lösen, die high-level-Lösung ist, dass Sie müssen Ihre response-Header vor dem Zeitpunkt der security-Filter setzt seinen Antwort-Header und/oder begeht Sie an den client.

    Du bist auch mit Steg; daher können Sie die Steg Cross-Origin-Filter, um sicherzustellen, dass die Antwort-Header sind in die Filter-Kette, in der Reihenfolge, wie Sie gesetzt werden müssen:

    Hier ist eine Liste der Parameter, die Sie übergeben können, die in der Filter-Konfiguration im web.xml:

    • allowedOrigins, eine durch Komma getrennte Liste von Ursachen, die Zugriff auf die Ressourcen. Standardwert ist"*", also alle Ursprünge

    • allowedMethods, eine durch Komma getrennte Liste von HTTP-Methoden, die verwendet werden dürfen, wenn der Zugriff auf die Ressourcen. Default-Wert GET,POST

    • allowedHeaders, eine durch Komma getrennte Liste von HTTP-Headern, dürfen angegeben werden, wenn der Zugriff auf die Ressourcen. Default-Wert ist " X-Requested-With

    • preflightMaxAge, die Anzahl der Sekunden, die preflight-Anfragen werden vom client zwischengespeichert. Default-Wert ist 1800 Sekunden oder 30 Minuten

    • allowCredentials, ein boolean, der angibt, ob die Ressource erlaubt es, Anfragen mit credentials. Default-Wert ist false

    Standardmäßig Erlaubt die Ursprünge der response-header gesetzt ist * werden, was bedeutet, dass standardmäßig jede Anfrage kann aus einer beliebigen Domäne. Sie müssen sicher sein, dies zu ändern, damit nur domains, die Sie beabsichtigen, auf die whitelist, wenn Sie nicht möchten, dass jede Anfrage aus allen Domänen gültig:

    web.xml Eintrag für den Filter:

    <web-app ...>
    ...
    <filter>
        <filter-name>cross-origin</filter-name>
        <filter-class>org.eclipse.jetty.servlets.CrossOriginFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>cross-origin</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    ...
</web-app>

    Hier ist eine Liste von zusätzlichen Ressourcen, die Sie finden können hilfreich bei der Lösung dieses speziellen Problems:

    InformationsquelleAutor jmort253
  3. 0

    Für SOAP-Sachen, die erlaubten Header sollte auch messagetype,soapaction

    Vorsicht, dass keine wildcard zu konfigurieren erlaubt-Header...

    InformationsquelleAutor user1050755
Schreibe einen Kommentar