我在Jetty中部署了一个JS应用程序.我通过在jetty WebAppContext上设置安全处理程序来启用keycloak安全性

WebAppContext wac = null;

String webAppPath = "/../../server/webapp/mywebapp";            
wac = new WebAppContext(webAppPath, "/mywebapp");
wac.addFilter(GzipFilter.class, "/*", EnumSet.allOf(DispatcherType.class));
wac.setParentLoaderPriority(true);
context.setSecurityHandler(keycloakSecurity);

当我访问上面的webapp URL时,流程工作正常,我被提示进行身份验证,并且在成功进行身份验证后,我被重定向到webapp.
但是,此webapp(ajax调用)对服务器(也通过keycloak保护)的任何其他调用都是未经授权的(401).

我是否需要在ajax调用中显式设置授权标头或在WebAppContext中启用安全处理程序应该足够并且缺少某些配置？

(如果我将令牌直接发送给他们,可以访问其余的调用,但不能通过上面的webapp自动发送)

在角度JS中,我像这样使用RestAngular：

app.factory('DesignVaultRestangular', ['Restangular', '$location', function(Restangular, $location) {
  var url = baseURL;
  var location = $location.search();
  if (location && location.url)
    url = location.url;
  url = url + '/api/secured/';
  return Restangular.withConfig(function(RestangularConfigurer) {
    RestangularConfigurer.setBaseUrl(url);
    RestangularConfigurer.setDefaultHeaders({
      'Content-Type': 'application/json',
      'withCredentials': true
    });
  });
}]);

编辑：请求标头

解决方法:

无论您是通过URL访问还是通过ajax调用,都需要授权标头.

您可以按照下面提到的格式传递HTTP授权标头以及您的请求.不同的API和工具有不同的方法来设置HTTP标头.

     Authorization: <authorization scheme>  < authorization parameters >

请注意,凭据在下划线中按要求设置.如果不需要,您需要更改它
     ‘withCredentials’：是的