一些 API 服务如何接受来自所有来源的授权标头?
Posted
技术标签:
【中文标题】一些 API 服务如何接受来自所有来源的授权标头?【英文标题】:How do some API services accept Authorization headers from all origins? 【发布时间】:2022-01-06 19:56:42 【问题描述】:Stripe/Square/etc 允许您将 API 密钥作为 Bearer 令牌放入 Authorization 标头中。但是,据我了解,您不能允许来自所有来源的凭据(包括 Authorization 标头)。那么他们如何接受来自所有来源的带有该标头的请求呢?
【问题讨论】:
【参考方案1】:我认为他们只是设置
Access-Control-Allow-Origin: *
来自他们的服务器
【讨论】:
是的,但问题是您不能同时允许* 和凭据。 developer.mozilla.org/en-US/docs/Web/HTTP/CORS/Errors/…
他们只是不同时使用凭证和授权标头。客户端只能使用一种方式进行身份验证
谢谢,如果我不允许凭据,我认为它正在清除授权标头或其他内容,但我不正确。它最终成为其他问题。以上是关于一些 API 服务如何接受来自所有来源的授权标头?的主要内容,如果未能解决你的问题,请参考以下文章
如何将授权标头添加到用户请求并使用 express 将其代理到另一个服务器 api
如何使用无服务器部署没有身份源的 API Gateway 自定义授权方?
来自 Azure 函数的 C# HttpClient POST 请求,带有用于第三方 API 的授权标记,被剥离了标头和正文