本文介绍了如何在印前检查请求中强制进行身份验证?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我正在尝试从客户端Java脚本(在浏览器中)调用Github REST API。
我的代码执行以下操作(我正在尝试获取包含私有存储库分支mkdocs_page
的压缩包):
const endpoint = 'https://api.github.com';
const resource = '/repos/astariul/private-gh-pages/zipball/mkdocs_page';
const options = {
mode: 'cors',
headers: {
'Authorization': 'Basic ' + btoa(`${pat}`), // pat contains my Personal Access Token
}
}
return fetch(`${endpoint}${resource}`, options);
控制台错误消息:
在调试过程中,我尝试使用curl
重现该问题。当我指定一个经过身份验证的请求时,它可以工作:
curl --user "<my_PAT_token>" -i https://api.github.com/repos/astariul/private-gh-pages/zipball/mkdocs_page -X OPTIONS
但如果请求未经过身份验证,则无法工作:
curl -i https://api.github.com/repos/astariul/private-gh-pages/zipball/mkdocs_page -X OPTIONS
注意:当我尝试获取主分支(无论是否经过身份验证)时,它工作得很好。但重定向后失败:
它是Github API中的错误吗?还是我做错了什么?
推荐答案
无法在印前检查请求中强制身份验证。印前检查完全由浏览器控制,任何有关它的内容都不会以任何您可以从前端JavaScript代码操作的方式公开。CORS协议的要求明确禁止浏览器在印前检查请求中包含任何凭据。有关详细说明,请参阅https://stackoverflow.com/a/45406085/中的答案。
由于印前检查涉及浏览器发出OPTIONS
请求,因此,通常情况下,如果服务器要求对特定终结点或资源的OPTIONS
请求进行身份验证(问题中引用的GitHub URL似乎就是这种情况),则根本不一定是意外错误。
这是因为执行印前检查并发送OPTIONS
请求的唯一正常情况是在浏览器中运行前端Java代码的情况。从服务器端代码或从在外壳/命令行环境中运行的代码、桌面应用程序或本地移动应用程序发出的请求不涉及发送OPTIONS
请求。
OPTIONS
请求,则缺乏对该请求的支持才是错误。换句话说,它可以非常故意地指示提供者并不意味着它将从前端Java代码中使用(这似乎就是问题中引用的GitHub URL的情况)。 这篇关于如何在印前检查请求中强制进行身份验证?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持!