Higress网关跨域问题解决方案：预检请求与认证插件的优先级调整

问题背景

在使用Higress网关的AI路由功能时，当开启请求认证后，前端应用（如NextChat）通过浏览器调用网关接口时会出现跨域问题。具体表现为浏览器发起OPTIONS预检请求时，网关错误地对该请求进行了API密钥验证，导致401未授权错误。

技术原理分析

跨域资源共享（CORS）机制要求浏览器在发送某些类型的跨域请求前，会先发送一个OPTIONS预检请求。这个预检请求的目的是询问服务器是否允许实际请求：

1. 浏览器发送OPTIONS请求，在Access-Control-Request-Headers中声明将要携带的headers（如authorization）
2. 服务器应返回允许的origin、methods和headers
3. 浏览器确认后才会发送真正的请求（如POST），此时才会携带Authorization头

在Higress网关中，当同时启用以下功能时会出现问题：

• 请求认证插件（如key-auth）
• 跨域访问的前端应用

问题根源

网关配置中存在两个关键因素：

1. 认证插件(key-auth)对所有请求（包括OPTIONS）都进行验证
2. CORS插件未在认证前处理预检请求

这导致OPTIONS预检请求被错误地要求提供API密钥，而浏览器不会在预检请求中发送Authorization头。

解决方案

通过调整插件执行顺序和验证阶段解决：

1. 确保CORS插件优先执行：

   • 在Higress控制台中，将CORS插件的优先级设置为高于key-auth插件
   • 这样OPTIONS请求会先被CORS插件处理并返回正确响应

2. 验证阶段配置：

   • CORS插件应配置在"PRE"阶段
   • key-auth插件可配置在"AUTH"阶段

3. 插件配置示例：

# CORS插件配置（高优先级）
cors:
  enabled: true
  priority: 100
  phase: PRE
  allow_origins: "*"
  allow_methods: "GET,POST,PUT,DELETE,OPTIONS"
  allow_headers: "authorization,content-type"

# Key-Auth插件配置（较低优先级）
key-auth:
  enabled: true
  priority: 90
  phase: AUTH

最佳实践建议

1. 对于需要跨域访问的API，建议：

   • 始终配置CORS插件
   • 确保CORS插件优先级高于认证插件
   • 明确指定允许的origin而非使用通配符(*)

2. 生产环境应考虑：

   • 限制允许的HTTP方法
   • 设置适当的缓存时间（Access-Control-Max-Age）
   • 根据业务需求精确配置allow_headers

3. 调试技巧：

   • 使用浏览器开发者工具观察请求/响应头
   • 检查网关日志确认请求处理顺序
   • 逐步测试OPTIONS和实际请求

总结

Higress网关通过灵活的插件机制可以很好地处理跨域和认证场景。关键在于理解浏览器CORS机制的工作原理，并合理配置插件执行顺序。将CORS插件配置在认证插件之前执行，既能保证安全性，又能正确处理跨域预检请求，是解决此类问题的有效方案。