«1. Обзор
В этой быстрой статье мы узнаем, как включить CORS (обмен ресурсами между источниками) в системе на основе JAX-RS. Мы настроим приложение поверх JAX-RS, чтобы включить механизм CORS.
2. Как включить механизм CORS
Есть два способа включить CORS в JAX-RS. Первый и самый простой способ — создать фильтр для ввода необходимого заголовка ответа во время выполнения каждого запроса. Другой — вручную добавить соответствующий заголовок в каждую конечную точку URL.
В идеале следует использовать первое решение; однако, когда это невозможно, более ручной вариант также технически приемлем.
2.1. Использование фильтра
JAX-RS имеет интерфейс ContainerResponseFilter, реализованный фильтрами ответа контейнера. Как правило, этот экземпляр фильтра применяется глобально к любому ответу HTTP.
Мы реализуем этот интерфейс для создания пользовательского фильтра, который будет вставлять заголовок Access-Control-Allow-* в каждый исходящий запрос и включать механизм CORS:
@Provider
public class CorsFilter implements ContainerResponseFilter {
@Override
public void filter(ContainerRequestContext requestContext,
ContainerResponseContext responseContext) throws IOException {
responseContext.getHeaders().add(
"Access-Control-Allow-Origin", "*");
responseContext.getHeaders().add(
"Access-Control-Allow-Credentials", "true");
responseContext.getHeaders().add(
"Access-Control-Allow-Headers",
"origin, content-type, accept, authorization");
responseContext.getHeaders().add(
"Access-Control-Allow-Methods",
"GET, POST, PUT, DELETE, OPTIONS, HEAD");
}
}Здесь пара моментов:
-
Фильтры, реализующие ContainerResponseFilter, должны быть явно аннотированы с помощью @Provider, чтобы среда выполнения JAX-RS могла их обнаружить. к этому экземпляру сервера можно получить доступ через любой домен; если мы хотим явно ограничить междоменный доступ, мы должны упомянуть этот домен в этом заголовке
2.2. Использование модификации заголовка в каждой конечной точке
Как было сказано ранее, мы также можем явно внедрить заголовок «Access-Control-Allow-*» на уровне конечной точки:
@GET
@Path("/")
@Produces({MediaType.TEXT_PLAIN})
public Response index() {
return Response
.status(200)
.header("Access-Control-Allow-Origin", "*")
.header("Access-Control-Allow-Credentials", "true")
.header("Access-Control-Allow-Headers",
"origin, content-type, accept, authorization")
.header("Access-Control-Allow-Methods",
"GET, POST, PUT, DELETE, OPTIONS, HEAD")
.entity("")
.build();
}Здесь следует отметить если мы пытаемся включить CORS в большом приложении, мы не должны пробовать этот метод, потому что в этом случае нам придется вручную вставлять заголовок в каждую конечную точку URL-адреса, что приведет к дополнительным накладным расходам.
Однако этот метод можно использовать в приложениях, где нам нужно включить CORS только в некоторых конечных точках URL.
3. Тестирование
Когда приложение запущено, мы можем протестировать заголовки с помощью команд curl. Пример вывода заголовков должен выглядеть примерно так:
HTTP/1.1 200 OK
Date : Tue, 13 May 2014 12:30:00 GMT
Connection : keep-alive
Access-Control-Allow-Origin : *
Access-Control-Allow-Credentials : true
Access-Control-Allow-Headers : origin, content-type, accept, authorization
Access-Control-Allow-Methods : GET, POST, PUT, DELETE, OPTIONS, HEAD
Transfer-Encoding : chunkedБолее того, мы можем создать простую функцию AJAX и проверить междоменную функциональность:
function call(url, type, data) {
var request = $.ajax({
url: url,
method: "GET",
data: (data) ? JSON.stringify(data) : "",
dataType: type
});
request.done(function(resp) {
console.log(resp);
});
request.fail(function(jqXHR, textStatus) {
console.log("Request failed: " + textStatus);
});
};Конечно, чтобы выполнить проверку, мы нам придется запускать это в другом источнике, чем API, который мы используем.
Вы можете легко сделать это локально, запустив клиентское приложение на отдельном порту, поскольку порт определяет источник.
4. Заключение
В этой статье мы рассказали о реализации механизма CORS в приложениях на основе JAX-RS.
Как всегда, полный исходный код доступен на GitHub.