最近我已经为我的Springboot和Angualr2应用程序引入了JWT身份验证。 在那里,我试图在我的Angualr代码传递JWT如下令牌请求Springboot和Angular2的HTTP自定义授权标头
save(jobId: number, taskId: number, note: Note) {
return this.http.post(environment.APIENDPOINT + '/jobs/' + jobId + '/tasks/' + taskId + '/notes', note, this.setHeaders()).map((response: Response) => response.json());
}
private setHeaders() {
// create authorization header with jwt token
let currentUser = JSON.parse(localStorage.getItem('currentUser'));
console.log("Current token---"+ currentUser.token);
if (currentUser && currentUser.token) {
let headers = new Headers();
headers.append('Content-Type', 'application/json');
headers.append('authorization','Bearer '+ currentUser.token);
let r = new RequestOptions({ headers: headers })
return r;
}
}
但是在它返回的服务器端做一个POST请求状态代码401.问题出现在Springboot方面,它检查授权标题如下,它返回null
String authToken = request.getHeader("authorization ");
然后我查看了请求头,它在Access-Control-Request-Headers下有如下授权头。但它对服务器端不可见。
然后我继续读下去,发现这可能是与CORS配置的问题。因此,我修改了我的CORS配置过滤器,使其具有addExposedHeader,如下所示
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
CorsConfiguration config = new CorsConfiguration();
config.setAllowCredentials(true);
config.addAllowedOrigin("*");
config.addAllowedHeader("*");
config.addExposedHeader("authorization");
config.addAllowedMethod("OPTIONS");
config.addAllowedMethod("GET");
config.addAllowedMethod("POST");
config.addAllowedMethod("PUT");
config.addAllowedMethod("DELETE");
//config.addExposedHeader("Content-Type");
source.registerCorsConfiguration("/**", config);
return new CorsFilter(source);
}
服务器仍然抱怨找不到授权标头。我错过了这里的任何事情吗?感谢您的帮助
解决方案
阅读下面的sideshowbarker的评论之后,我能够理解这个问题背后的基本知识。 在我的项目中我有一个JWT令牌过滤器,它内部总是检查授权标头。然后,我有如下修改它,现在它按预期工作
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
try {
if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
response.setStatus(HttpServletResponse.SC_OK);
}else{
String authToken = request.getHeader(this.tokenHeader);
jWTTokenAuthenticationService.parseClaimsFromToken(authToken);
--
}
chain.doFilter(request, response);
}Catch(AuthenticationException authEx){
SecurityContextHolder.clearContext();
if (entryPoint != null) {
entryPoint.commence(request, response, authEx);
}
}
}
我有一个JWT令牌滤波器和内它总是检查授权报头。我必须修改该逻辑来忽略用于令牌过滤的OPTION请求并设置状态200 – keth