产生这篇文章的想法是在前端通过js调用restAPI时，总是不成功，发送ajax请求时还总是出现类似跨域的问题，后来查找才发现，默认情况下restAPI的访问都需要管理员权限，而通过ajax请求传输用户名和密码，geoserver服务器并没有相应的过滤器进行解析，后在geoserver的Authentication页面发现有rest的授权设置，想到之前为default（/**）设置的UUID筛选器，才找到解决办法，现总结如下：

geoserver的管理页面中没有rest访问权限设置，在GEOSERVER_DATA_DIR指定的data目录中，data/sercurity文件夹下有rest访问权限配置文件rest.properties文件，内容如下：

# Default REST security configuration.
# 
# By default this configuration locks down every rest call. The following is an example of a more
# lax configuration in which read only (GET) access is allowed anonymously:
# 
#/**;GET=IS_AUTHENTICATED_ANONYMOUSLY
#/**;POST,DELETE,PUT=ROLE_ADMINISTRATOR
#
# The following is an example of a configuration that could be used with the restconfig plugin in 
# which only configuration in a specific workspace is restricted:
#
#/rest/workspaces/topp*;GET=ROLE_ADMINISTRATOR
#/rest/workspaces/topp/**;GET=ROLE_ADMINISTRATOR
#/**;POST,DELETE,PUT=ROLE_ADMINISTRATOR
#
#
/**;GET=ROLE_ADMINISTRATOR
/**;POST,DELETE,PUT=ROLE_ADMINISTRATOR

1、通过设置UUID+authkey认证实现授权认证；

默认所有的操作都需要管理员角色的权限，可将GET设置为匿名用户权限，/**;GET=IS_AUTHENTICATED_ANONYMOUSLY，这样不需要经过身份验证即可获取geoserver服务器上发布的资源信息，如http://IP:port/geoserver/rest/workspaces/topp/featuretypes.json，即可获取topp工作区内的所有矢量图层；若GET操作设置为ROLE_ADMINISTRATOR管理员权限，在浏览器中访问该url时会要求输入用户名和密码，也可以在geoserver管理页面的Authentication授权页面的Filter Chains中设置rest的筛选器，增加用户属性筛选，这样可直接在url中通过authkey认证身份，如http://IP:port/geoserver/rest/workspaces/topp/featuretypes.json?authkey=2004149d-e039-4a95-b474-xxxxxx，authkey为用户的UUID。

geoserver服务器启动时，会自动在data/sercurity文件夹下生成rest.properties文件，若想设置初始的rest.properties，可在gs-main工程下，org.geoserver.security.impl包中修改模板文件rest.properties.template，内容与前面一样。

这样前端通过ajax访问restAPI时，只需要在url中增加authkey参数就可以正常访问了。

2、通过HTTP basic authentication在http请求头中添加Authentication属性实现授权认证

geoserver服务器端默认情况下，对rest访问使用的授权过滤器就包括basic(Basic HTTP authentication)类型的过滤，会自动解析http请求头中的Authentication属性信息。

前端ajax请求代码如下：

    $.ajax({
    headers: {
        "Content-Type":"application/json; charset=utf-8",
        "Accept": "application/json",
        "Authorization": "Basic " + btoa("user:password")
            },
        url: "http://remoteUrl/geoserver/rest/layers.json",
        cache: false,
        dataType: 'json',
        error: function(jqXHR) {
            console.log("ajax error " + jqXHR.status);
        }
    }).done(function(data) {
        console.log(data);
    });

若前端仍然返回类似跨域访问的问题：

Failed to load http://remoteUrl/geoserver/rest/layers.json?_=1521788544568: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:8080' is therefore not allowed access. The response had HTTP status code 403.

可查看geoserver服务器的跨域配置，在web.xml配置文件中，确保Authorization在跨域访问支持的请求头属性中，如下：

   <!--Cross Origin Filter -->
    <filter>  
    <filter-name>CORS</filter-name>  
    <filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>  
    <init-param>  
     <param-name>cors.allowOrigin</param-name>  
        <param-value>*</param-value>  
    </init-param>  
    <init-param>  
     <param-name>cors.supportedMethods</param-name>  
        <param-value>GET, POST, HEAD, PUT, DELETE</param-value>  
    </init-param>  
    <init-param>  
     <param-name>cors.supportedHeaders</param-name>  
        <param-value>Accept, Origin, X-Requested-With, Content-Type, Last-Modified, Authorization</param-value>  
    </init-param>  
    <init-param>  
        <param-name>cors.exposedHeaders</param-name>  
        <param-value>Set-Cookie</param-value>  
    </init-param>  
    <init-param>  
        <param-name>cors.supportsCredentials</param-name>  
        <param-value>true</param-value>  
    </init-param>  
    </filter>

3、rest的用户属性授权设置

在Authentication页面，点击添加新的授权过滤器，设置用户属性过滤器如下：

点击同步用户组服务，就会为所有用户创建UUID，在用户/组页面中查看用户信息，效果如下：

在Filter Chains下面设置rest参数，将uuidAuthkey过滤器加入，注意最后一个过滤器必须是anonymous匿名过滤器，然后关闭，回到Authentication页面，一定要点击该页面底部的保存按钮，这些操作才会生效。