为啥我的 Spring 控制器不处理 GraphiQL 发送的 OPTIONS 请求?
Posted
技术标签:
【中文标题】为啥我的 Spring 控制器不处理 GraphiQL 发送的 OPTIONS 请求?【英文标题】:Why does my Spring controller not handle an OPTIONS request sent by GraphiQL?为什么我的 Spring 控制器不处理 GraphiQL 发送的 OPTIONS 请求? 【发布时间】:2017-05-26 03:57:52 【问题描述】:我正在尝试使 GraphQL Java server 与 GraphiQL 服务器一起工作。
使用在本地运行的 GraphiQL,我提交了一个带有以下参数的查询:
我的 Spring 控制器(复制自 here)如下所示:
@Controller
@EnableAutoConfiguration
public class MavenController
private final MavenSchema schema = new MavenSchema();
private final GraphQL graphql = new GraphQL(schema.getSchema());
private static final Logger log = LoggerFactory.getLogger(MavenController.class);
@RequestMapping(value = "/graphql", method = RequestMethod.OPTIONS, produces = MediaType.APPLICATION_JSON_VALUE)
@ResponseBody
public Object executeOperation(@RequestBody Map body)
log.error("body: " + body);
final String query = (String) body.get("query");
final Map<String, Object> variables = (Map<String, Object>) body.get("variables");
final ExecutionResult executionResult = graphql.execute(query, (Object) null, variables);
final Map<String, Object> result = new LinkedHashMap<>();
if (executionResult.getErrors().size() > 0)
result.put("errors", executionResult.getErrors());
log.error("Errors: ", executionResult.getErrors());
log.error("data: " + executionResult.getData());
result.put("data", executionResult.getData());
return result;
理论上,当我在 GraphiQL 中提交查询时,应该调用 executeOperation。不是,我在控制台输出中没有看到日志语句。
我做错了什么?在 GraphiQL 中提交查询时,如何确保调用 MavenController.executeOperation?
更新 1(13.01.2017 13:35 MSK):这里是关于如何重现错误的教程。我的目标是创建一个基于 Java 的 GraphQL 服务器,我可以使用 GraphiQL 与之交互。如果可能,这应该在本地工作。
我有read,为了做到这一点,以下步骤是必要的:
设置 GraphQL 服务器。这方面的一个例子可以在这里找到https://github.com/graphql-java/todomvc-relay-java。该示例使用 Spring Boot,但您可以使用任何您喜欢的 HTTP 服务器来实现。 设置 GraphiQL 服务器。这有点超出了这个项目的范围,但基本上你需要在上面的步骤 1 中让 GraphiQL 与服务器对话。它将使用自省来加载架构。
我查看了todomvc-relay-java的项目,根据自己的需要进行了修改,放到了E:\graphiql-java\graphql-server目录下。您可以使用该目录here 下载存档。
第 1 步:安装 Node.JS
第 2 步
转到E:\graphiql-java\graphql-server\app 并在那里运行npm install。
第 3 步
从同一目录运行npm start。
第 4 步
转到E:\graphiql-java\graphql-server 并在那里运行gradlew start。
第 5 步
运行docker run -p 8888:8080 -d -e GRAPHQL_SERVER=http://localhost:8080/graphql merapar/graphql-browser-docker。
Docker 来源:graphql-browser-docker
第 6 步
在禁用 XSS 检查的情况下启动 Chrome,例如。 G。 "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --args --disable-xss-auditor。一些消息来源声称您必须杀死所有其他 Chrome 实例才能使这些参数生效。
第 7 步
在该浏览器中打开http://localhost:8888/。
第 8 步
尝试运行查询
allArtifacts(group: "com.graphql-java", name: "graphql-java")
group
name
version
实际结果:
1) Chrome 的控制台标签出错:Fetch API cannot load http://localhost:8080/graphql. Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:8888' is therefore not allowed access. The response had HTTP status code 403. If an opaque response serves your needs, set the request's mode to 'no-cors' to fetch the resource with CORS disabled.。
2) Chrome 网络标签中的错误:
Update 2 (14.01.2017 13:51): 目前,CORS 在 Java 应用程序中的配置方式如下。
主类:
@SpringBootApplication
public class Main
public static void main(String[] args) throws Exception
SpringApplication.run(Main.class, args);
@Bean
public WebMvcConfigurer corsConfigurer()
return new WebMvcConfigurerAdapter()
@Override
public void addCorsMappings(CorsRegistry registry)
registry
.addMapping("/**")
.allowedMethods("OPTIONS")
.allowedOrigins("*")
.allowedHeaders(
"Access-Control-Request-Headers",
"Access-Control-Request-Method",
"Host",
"Connection",
"Origin",
"User-Agent",
"Accept",
"Referer",
"Accept-Encoding",
"Accept-Language",
"Access-Control-Allow-Origin"
)
.allowCredentials(true)
;
;
WebSecurityConfigurerAdapter 子类:
@Configuration
@EnableWebSecurity
public class SpringWebSecurityConfiguration extends WebSecurityConfigurerAdapter
@Override
protected void configure(final HttpSecurity http) throws Exception
System.out.println("SpringWebSecurityConfiguration");
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
CorsConfiguration config = new CorsConfiguration();
config.setAllowCredentials(true);
config.addAllowedOrigin("*");
config.addAllowedHeader("*");
config.addAllowedMethod("OPTIONS");
source.registerCorsConfiguration("/**", config);
http
.addFilterBefore(new CorsFilter(source), ChannelProcessingFilter.class)
.httpBasic()
.disable()
.authorizeRequests()
.anyRequest()
.permitAll()
.and()
.csrf()
.disable();
@Override
public void configure(WebSecurity web) throws Exception
控制器:
@Controller
@EnableAutoConfiguration
public class MavenController
private final MavenSchema schema = new MavenSchema();
private final GraphQL graphql = new GraphQL(schema.getSchema());
private static final Logger log = LoggerFactory.getLogger(MavenController.class);
@CrossOrigin(
origins = "http://localhost:8888", "*",
methods = RequestMethod.OPTIONS,
allowedHeaders = "Access-Control-Request-Headers",
"Access-Control-Request-Method",
"Host",
"Connection",
"Origin",
"User-Agent",
"Accept",
"Referer",
"Accept-Encoding",
"Accept-Language",
"Access-Control-Allow-Origin",
exposedHeaders = "Access-Control-Allow-Origin"
)
@RequestMapping(value = "/graphql", method = RequestMethod.OPTIONS, produces = MediaType.APPLICATION_JSON_VALUE)
@ResponseBody
public Object executeOperation(@RequestBody Map body)
[...]
MavenController.executeOperation 是当我在 GraphiQL 中发出查询请求时应该调用的方法。
Update 3 (15.01.2017 22:05): 尝试使用CORSFilter,新源代码为here。没有结果,我仍然收到“无效的 CORS 响应”错误。
【问题讨论】:
spring.io/guides/gs/rest-service-cors @AlanHay 查看我的更新 2。 【参考方案1】:您必须配置 Spring dispatcher servlet (http://docs.spring.io/spring/docs/current/javadoc-api/org/springframework/web/servlet/DispatcherServlet.html) 来处理 OPTIONS。
您应该通过 XML:
<servlet>
<servlet-name>yourSpringSvltname</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>dispatchOptionsRequest</param-name>
<param-value>true</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
通过 Java 配置:
public class MyWebAppInitializer implements WebApplicationInitializer
@Override
public void onStartup(ServletContext container)
XmlWebApplicationContext appContext = new XmlWebApplicationContext();
appContext.setConfigLocation("/WEB-INF/spring/dispatcher-config.xml");
ServletRegistration.Dynamic dispatcher =
container.addServlet("dispatcher", new DispatcherServlet(appContext));
dispatchersetDispatchOptionsRequest(true);
dispatcher.setLoadOnStartup(1);
dispatcher.addMapping("/");
【讨论】:
我不知道这个答案是否有效,但它是正确的,因为您需要在 Spring 中启用/配置 CORS。 CORS 是 Web 浏览器实现的标准,用于帮助防止 XSS 攻击。它要求服务器指定它接受来自某些前端 URL 的请求,因此请求不能仅仅来自网络上的任何地方。在实现 CORS 的浏览器中,我不能只在 example.com 上使用一段 javascript 调用 bankofamerica.com,因为 BoA 只想处理来自其前端的请求,而不是 example.com。您仍然可以手动发出请求,但不能代表无能的用户 @DmitryMinkovsky 谢谢。我已经在我的 Java 应用程序中配置了 CORS。您可以在我的更新 2 中看到当前配置。【参考方案2】:前段时间我遇到了同样的问题,我通过创建自己的 cors fiter bean 解决了这个问题。
例子:
public class CORSFilter implements Filter
@Override
public void init(FilterConfig filterConfig) throws ServletException
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Methods", "POST, GET, DELETE, PUT, OPTIONS");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "accept, access-control-allow-origin, authorization, content-type");
if ("OPTIONS".equalsIgnoreCase(request.getMethod()))
response.setStatus(HttpServletResponse.SC_OK);
else
chain.doFilter(req, res);
@Override
public void destroy()
我在我的配置类中定义了它:
@Bean(name = "corsFilter")
@Order(Ordered.HIGHEST_PRECEDENCE)
public CORSFilter corsFilter()
return new CORSFilter();
最后在我的 servlet 启动配置中定义了它:
servletContext.addFilter("corsFilter", new DelegatingFilterProxy("corsFilter")).addMappingForUrlPatterns(null, false, "/*");
附:希望这会对你有所帮助。
【讨论】:
谢谢。我试过了,但没有帮助。您可以在我的更新 3 中找到包含新源代码(带有CORSFilter)的存档链接。
真的很奇怪。似乎您的应用没有有效的配置。因为过滤器应该首先工作并处理请求。【参考方案3】:
问题在于您的应用程序中使用了.allowedMethods("OPTIONS")configuration。
使用OPTIONS 请求方法发送设计的飞行前请求。
Access-Control-Request-Method 由浏览器自动添加,allowedMethods 属性实际上控制了实际请求允许的请求方法。
来自docs,
Access-Control-Request-Method 标头作为一部分通知服务器 预检请求,当实际请求被发送时,它将 使用 POST 请求方法发送。
所以它是POST 方法并且请求失败,因为您只在验证完成后允许OPTIONS。
因此将allowedMethods 更改为* 将匹配浏览器设置的POST 实际请求的请求方法。
完成上述更改后,您将获得 405,因为您的控制器仅允许 OPTIONS 用于您的 POST 请求。
因此,您需要更新控制器请求映射,以允许 POST 以使实际请求在飞行前请求后成功。
示例响应:
"timestamp": 1484606833696,
"status": 500,
"error": "Internal Server Error",
"exception": "graphql.AssertException",
"message": "arguments can't be null",
"path": "/graphql"
我不确定您是否在太多地方设置了 CORS 配置。我只需要更改 spring 安全配置中的 .allowedMethods 以使其按照我描述的方式工作。所以你可能想调查一下。
【讨论】:
以上是关于为啥我的 Spring 控制器不处理 GraphiQL 发送的 OPTIONS 请求?的主要内容,如果未能解决你的问题,请参考以下文章
为啥 Jsp 文件不与 Spring Boot 中的控制器返回视图映射
如何查看我的数据库 H2 的数据,为啥 localhost:8080/h2 控制台不起作用?