AngularJS $ http, CORS та http аутентифікація

87

Оскільки використання автентифікації CORS та http з AngularJS може бути складним, я відредагував питання, щоб поділитися одним вивченим уроком. Спочатку я хочу подякувати igorzg. Його відповідь мені дуже допомогла. Сценарій такий: Ви хочете надіслати запит POST на інший домен за допомогою служби AngularJS $ http. Є кілька хитрих речей, про які слід пам’ятати при отриманні AngularJS та налаштування сервера.

По-перше: у конфігурації програми ви повинні дозволити міждоменний дзвінок

/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  gonaumov@gmail.com for contacts and 
 *  suggestions. 
 **/ 
app.config(function($httpProvider) {
    //Enable cross domain calls
    $httpProvider.defaults.useXDomain = true;
});

Друге: Ви повинні вказати withCredentials: true та ім’я користувача та пароль у запиті. 

 /**
  *  Cors usage example. 
  *  @author Georgi Naumov
  *  gonaumov@gmail.com for contacts and 
  *  suggestions. 
  **/ 
   $http({
        url: 'url of remote service',
        method: "POST",
        data: JSON.stringify(requestData),
        withCredentials: true,
        headers: {
            'Authorization': 'Basic bashe64usename:password'
        }
    });

Третє: Налаштування сервера. Ви повинні надати:

/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  gonaumov@gmail.com for contacts and 
 *  suggestions. 
 **/ 
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Origin: http://url.com:8080");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Authorization");

На кожен запит. Отримавши ВАРІАНТ, ви повинні здати:

/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  gonaumov@gmail.com for contacts and 
 *  suggestions. 
 **/ 
if($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
   header( "HTTP/1.1 200 OK" );
   exit();
}

Після цього відбувається аутентифікація HTTP та все інше.

Ось повний приклад використання серверної сторони з php. 

<?php
/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  gonaumov@gmail.com for contacts and 
 *  suggestions. 
 **/ 
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Origin: http://url:8080");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Authorization");

if($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
   header( "HTTP/1.1 200 OK" );
   exit();
}


$realm = 'Restricted area';

$password = 'somepassword';

$users = array('someusername' => $password);


if (isset($_SERVER['PHP_AUTH_USER']) == false ||  isset($_SERVER['PHP_AUTH_PW']) == false) {
    header('WWW-Authenticate: Basic realm="My Realm"');

    die('Not authorised');
}

if (isset($users[$_SERVER['PHP_AUTH_USER']]) && $users[$_SERVER['PHP_AUTH_USER']] == $password) 
{
    header( "HTTP/1.1 200 OK" );
    echo 'You are logged in!' ;
    exit();
}
?>

У моєму блозі є стаття про цю проблему, яку можна переглянути тут .

angularjs  cors 
Георгій Наумов
джерело
Питання відредаговано.
Георгій Наумов
2
Я трохи розгублений, це angularjs, але у вас його загорнуто в теги PHP .... я щось пропустив?
onaclov2000
Це лише приклад логіки на стороні сервера. Текст нижче "Третій: Налаштування сервера" - це логіка на стороні сервера.
Георгій Наумов
@ onaclov2000 AngularJS призначений для клієнта. Це може розмовляти з будь-якою стороною сервера, PHP, Ruby, Perl, Python, Java, JavaScript ... Я міг би продовжувати ..
Ерік Ходонскі
1
Це питання? Це скоріше хороша відповідь :)
Мохаммад Кермані

Відповіді:

43

Ні, вам не потрібно вводити облікові дані, ви повинні розміщувати заголовки на стороні клієнта, наприклад:

 $http({
        url: 'url of service',
        method: "POST",
        data: {test :  name },
        withCredentials: true,
        headers: {
                    'Content-Type': 'application/json; charset=utf-8'
        }
    });

І на стороні сервера ви повинні розміщувати заголовки, наприклад, для nodejs:

/**
 * On all requests add headers
 */
app.all('*', function(req, res,next) {


    /**
     * Response settings
     * @type {Object}
     */
    var responseSettings = {
        "AccessControlAllowOrigin": req.headers.origin,
        "AccessControlAllowHeaders": "Content-Type,X-CSRF-Token, X-Requested-With, Accept, Accept-Version, Content-Length, Content-MD5,  Date, X-Api-Version, X-File-Name",
        "AccessControlAllowMethods": "POST, GET, PUT, DELETE, OPTIONS",
        "AccessControlAllowCredentials": true
    };

    /**
     * Headers
     */
    res.header("Access-Control-Allow-Credentials", responseSettings.AccessControlAllowCredentials);
    res.header("Access-Control-Allow-Origin",  responseSettings.AccessControlAllowOrigin);
    res.header("Access-Control-Allow-Headers", (req.headers['access-control-request-headers']) ? req.headers['access-control-request-headers'] : "x-requested-with");
    res.header("Access-Control-Allow-Methods", (req.headers['access-control-request-method']) ? req.headers['access-control-request-method'] : responseSettings.AccessControlAllowMethods);

    if ('OPTIONS' == req.method) {
        res.send(200);
    }
    else {
        next();
    }


});
igorzg
джерело
з CORS загалом, чи повинен сервер дозволяти всі заголовки (Content, Content-Length, Referer тощо ...), присутні у реальному, тобто не-OPTIONS, запиті?
Кевін Мередіт,
@KevinMeredith Ні, вам не потрібно дозволяти всі заголовки, ви можете дозволити лише те, що вам потрібно, і ви навіть можете обмежити лише один домен.
igorzg
1
звідки я знаю, що мені потрібно?
Кевін Мередіт,
Дякую за вашу гарну відповідь :)
Kamruzzaman
1
Я збентежений, чому мені не потрібно автентифікуватися з кінцевою точкою, якщо вона захищена базовою автентифікацією http?
Максим Зубарев
3

Для надсилання запиту на CORS потрібно додати до запиту заголовки разом із тими самими, які йому потрібно перевірити, чи в mode_header увімкнено в Apache.

Щоб увімкнути заголовки в Ubuntu:

sudo a2enmod headers

Щоб сервер php приймав запити від іншого походження, використовуйте: 

Header set Access-Control-Allow-Origin *
Header set Access-Control-Allow-Methods "GET, POST, PUT, DELETE"
Header always set Access-Control-Allow-Headers "x-requested-with, Content-Type, origin, authorization, accept, client-security-token"
Віджай Кумар
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.