向安全受限的RestEasy 2.x处理PreFlight请求

Question

我在JBOSS容器中有一个基于RestEasy的RestEasy，它使用auth约束进行了验证。在进行任何调用时，授权头将与请求一起传递。约束的url映射是/*

现在，这个Rest的一个客户端需要一个CORS请求。我已经开发了一个网页过滤器，将添加必要的标题为飞行前(即选项)的请求和一个正常的要求。

这是很好的工作，标题正在添加。但是，由于RestEasy使用url模式/*进行了安全保护，因此它也希望对飞行前请求进行身份验证。

现在根据https://dvcs.w3.org/hg/cors/raw-file/tip/Overview.html#preflight-request的说法，飞行前的请求是未经认证的.

此外，我浏览了https://gist.github.com/tganzarolli/8520728并创建了一个类似的未经身份验证的服务来处理带有@Path(“”/{var：.*}“)和@PermitAll注释的选项请求，因为我希望在一个地方处理所有选项请求。

这仍然不能作为与RestEasy url模式/*关联的auth约束来工作，而且我的未经身份验证的服务也不能工作，仍然返回401。

有什么更好的方法吗？是否可以为上述未经身份验证的服务配置安全约束以解决给定场景中的此问题？

Answer 1

在做了进一步的研究之后，我发现这确实是受限制的RestEasy覆盖所有的url模式/*导致了这个问题。我用http-方法(ref https://docs.oracle.com/cd/E19798-01/821-1841/bncbk/index.html)和url- /*重写了选项的安全性约束。这解决了问题。我希望这会对其他人有所帮助。