本文介绍了如何在印前检查请求中强制进行身份验证?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!

问题描述

我正在尝试从客户端Java脚本(在浏览器中)调用Github REST API。

我的代码执行以下操作(我正在尝试获取包含私有存储库分支mkdocs_page的压缩包):

    const endpoint = 'https://api.github.com';
    const resource = '/repos/astariul/private-gh-pages/zipball/mkdocs_page';
    const options = {
      mode: 'cors',
      headers: {
        'Authorization': 'Basic ' + btoa(`${pat}`),  // pat contains my Personal Access Token
      }
    }

    return fetch(`${endpoint}${resource}`, options);

但它不起作用:印前检查请求失败,错误为404。

控制台错误消息:


在调试过程中,我尝试使用curl重现该问题。当我指定一个经过身份验证的请求时,它可以工作:

curl --user "<my_PAT_token>" -i https://api.github.com/repos/astariul/private-gh-pages/zipball/mkdocs_page -X OPTIONS

但如果请求未经过身份验证,则无法工作:

curl -i https://api.github.com/repos/astariul/private-gh-pages/zipball/mkdocs_page -X OPTIONS

注意:当我尝试获取主分支(无论是否经过身份验证)时,它工作得很好。但重定向后失败:


它是Github API中的错误吗?还是我做错了什么?

推荐答案

无法在印前检查请求中强制身份验证。印前检查完全由浏览器控制,任何有关它的内容都不会以任何您可以从前端JavaScript代码操作的方式公开。CORS协议的要求明确禁止浏览器在印前检查请求中包含任何凭据。有关详细说明,请参阅https://stackoverflow.com/a/45406085/中的答案。

由于印前检查涉及浏览器发出OPTIONS请求,因此,通常情况下,如果服务器要求对特定终结点或资源的OPTIONS请求进行身份验证(问题中引用的GitHub URL似乎就是这种情况),则根本不一定是意外错误。

这是因为执行印前检查并发送OPTIONS请求的唯一正常情况是在浏览器中运行前端Java代码的情况。从服务器端代码或从在外壳/命令行环境中运行的代码、桌面应用程序或本地移动应用程序发出的请求不涉及发送OPTIONS请求。

因此,如果提供者实际上打算从浏览器中运行的前端JavaScript代码使用对特定终结点/资源的未经身份验证的OPTIONS请求,则缺乏对该请求的支持才是错误。换句话说,它可以非常故意地指示提供者并不意味着它将从前端Java代码中使用(这似乎就是问题中引用的GitHub URL的情况)。

这篇关于如何在印前检查请求中强制进行身份验证?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持!

10-30 03:25