angularjs – 对如何处理CORS OPTIONS预检要求感到困惑

在我的webapp的web.xml中，我启用了Tomcat CORS过滤器：

<!-- Enable CORS (cross origin resource sharing) -->
<!-- http://tomcat.apache.org/tomcat-7.0-doc/config/filter.html#CORS_Filter -->
<filter>
  <filter-name>CorsFilter</filter-name>
  <filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
</filter>
<filter-mapping>
  <filter-name>CorsFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

我的客户端(用AngularJS 1.2.12编写)试图访问启用了基本身份验证的REST端点。当它成为GET请求时，Chrome首先对请求进行预检，但是正在从服务器接收到403 Forbidden响应：

Request URL:http://dev.mydomain.com/joeV2/users/listUsers
Request Method:OPTIONS
Status Code:403 Forbidden
Request Headers:
   OPTIONS /joeV2/users/listUsers HTTP/1.1
   Host: dev.mydomain.com
   Connection: keep-alive
   Cache-Control: max-age=0
   Access-Control-Request-Method: GET
   Origin: http://localhost:8000
   User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML,like Gecko) Chrome/32.0.1700.107 Safari/537.36
   Access-Control-Request-Headers: accept,authorization
   Accept: */*
   Referer: http://localhost:8000/
   Accept-Encoding: gzip,deflate,sdch
   Accept-Language: en-US,en;q=0.8
Response Headers:
   HTTP/1.1 403 Forbidden
   Date: Sat,15 Feb 2014 02:16:05 GMT
   Content-Type: text/plain; charset=UTF-8
   Content-Length: 0
   Connection: close

我不完全确定如何进行。 The Tomcat filter,by default，接受OPTIONS头来访问资源。

我相信这个问题是我的资源(请求URL)http://dev.mydomain.com/joeV2/users/listUsers被配置为仅接受GET方法：

@RequestMapping( method=RequestMethod.GET,value="listUsers",produces=MediaType.APPLICATION_JSON_VALUE)
@ResponseBody
public List<User> list(){
    return userService.findAllUsers();
}

这是否意味着我必须使该方法/端点接受OPTIONS方法？如果是这样，这是否意味着我必须明确地使每个REST端点接受OPTIONS方法？除了杂乱的代码，我很困惑，甚至会如何工作。从我所了解的OPTIONS preflight是为浏览器验证浏览器应该访问指定的资源。我明白的是，我的控制器方法在预检中不应该被调用。因此，将OPTIONS指定为可接受的方法将会产生反效果。

Tomcat应该直接响应OPTIONS请求，甚至无法访问我的代码？如果是这样，我的配置中是否有东西丢失？