TOC

JAX-RSのCORS

JAX-RSのCORS

1. 概要

この簡単な記事では、JAX-RSベースのシステムでCORSCross-Origin Resource Sharing)を有効にする方法について学習します。 CORSメカニズムを有効にするために、JAX-RSの上にアプリケーションをセットアップします。

2. CORSメカニズムを有効にする方法

JAX-RSでCORSを有効にするには、2つの方法があります。 最初の最も基本的な方法は、すべての要求で実行時に必要な応答ヘッダーを挿入するフィルターを作成することです。 もう1つは、各URLエンドポイントに適切なヘッダーを手動で追加することです。

理想的には、最初のソリューションを使用する必要があります。ただし、それがオプションでない場合は、より手動のオプションでも技術的に問題ありません。

2.1. フィルタの使用

JAX-RSにはContainerResponseFilterインターフェースがあり、コンテナー応答フィルターによって実装されます。 通常、このフィルターインスタンスは、HTTP応答にグローバルに適用されます。

このインターフェースを実装して、各送信リクエストにAccess-Control-Allow-*ヘッダーを挿入し、CORSメカニズムを有効にするカスタムフィルターを作成します。 

@Provider
public class CorsFilter implements ContainerResponseFilter {

    @Override
    public void filter(ContainerRequestContext requestContext,
      ContainerResponseContext responseContext) throws IOException {
          responseContext.getHeaders().add(
            "Access-Control-Allow-Origin", "*");
          responseContext.getHeaders().add(
            "Access-Control-Allow-Credentials", "true");
          responseContext.getHeaders().add(
           "Access-Control-Allow-Headers",
           "origin, content-type, accept, authorization");
          responseContext.getHeaders().add(
            "Access-Control-Allow-Methods",
            "GET, POST, PUT, DELETE, OPTIONS, HEAD");
    }
}

ここにいくつかのポイントがあります:

  • ContainerResponseFilterを実装するフィルターは、JAX-RSランタイムによって検出されるように、@Providerで明示的に注釈が付けられている必要があります。

  • Access-Control-Allow-‘ヘッダーに ‘'を挿入しています。これは、このサーバーインスタンスへの任意のURLエンドポイントに任意のドメイン経由でアクセスできることを意味します。クロスドメインアクセスを明示的に制限する場合は、このヘッダーでそのドメインについて言及する必要があります

2.2. 各エンドポイントへのヘッダー変更の使用

前に述べたように、エンドポイントレベルで ‘Access-Control-Allow-*‘ヘッダーを明示的に挿入することもできます。 

@GET
@Path("/")
@Produces({MediaType.TEXT_PLAIN})
public Response index() {
    return Response
      .status(200)
      .header("Access-Control-Allow-Origin", "*")
      .header("Access-Control-Allow-Credentials", "true")
      .header("Access-Control-Allow-Headers",
        "origin, content-type, accept, authorization")
      .header("Access-Control-Allow-Methods",
        "GET, POST, PUT, DELETE, OPTIONS, HEAD")
      .entity("")
      .build();
}

ここで注意すべき点は、大規模なアプリケーションでCORSを有効にしようとしている場合、この方法を試してはいけないということです。この場合、すべてのURLエンドポイントにヘッダーを手動で挿入する必要があり、追加のオーバーヘッド。

ただし、この手法は、一部のURLエンドポイントでのみCORSを有効にする必要があるアプリケーションで使用できます。

3. テスト

アプリケーションが起動したら、curlコマンドを使用してヘッダーをテストできます。 サンプルのヘッダー出力は次のようになります。 

HTTP/1.1 200 OK
Date : Tue, 13 May 2014 12:30:00 GMT
Connection : keep-alive
Access-Control-Allow-Origin : *
Access-Control-Allow-Credentials : true
Access-Control-Allow-Headers : origin, content-type, accept, authorization
Access-Control-Allow-Methods : GET, POST, PUT, DELETE, OPTIONS, HEAD
Transfer-Encoding : chunked

さらに、単純なAJAX関数を作成し、クロスドメイン機能を確認できます。 

function call(url, type, data) {
    var request = $.ajax({
      url: url,
      method: "GET",
      data: (data) ? JSON.stringify(data) : "",
      dataType: type
    });

    request.done(function(resp) {
      console.log(resp);
    });

    request.fail(function(jqXHR, textStatus) {
      console.log("Request failed: " + textStatus);
    });
};

もちろん、実際にチェックを実行するには、使用しているAPIとは異なるオリジンでこれを実行する必要があります。

別のポートでクライアントアプリを実行することにより、ローカルで非常に簡単にそれを行うことができます–since the port does determine the origin.

4. 結論

この記事では、JAX-RSベースのアプリケーションにCORSメカニズムを実装する方法について説明しました。

いつものように、完全なソースコードはover on GitHubで利用できます。

Related