Erro CORS Access-Control-Allow-Headers com API após atualizar o Discourse

Suporte
1

Atualizei o Discourse ontem e estou recebendo todos os callbacks da API com erro. Descobri que o problema está nos cabeçalhos de autenticação (1), mas ao tentar algumas chamadas, recebo este erro:

Acesso ao XMLHttpRequest em 'https://mydomain.com/notifications.json?username=admin' a partir da origem 'https://mydomain.com' foi bloqueado pela política CORS: o campo de cabeçalho de solicitação api-username não é permitido pelos Access-Control-Allow-Headers na resposta de pré-voo.

Estou usando Vue e adicionei a api-key e o api-username aos cabeçalhos assim:

Vue.http
        .get(
             "https://discourse.mydomain.com/notifications.json?username="+input.username,
          {
            headers: {
             "Api-Key":"xxxxxxxxxxxxxxxxx",
             "Api-Username": "system",
              "content-type": "application/json",
              accept: "application/json"
            }
          }
        )

(1) Discourse REST API Documentation

2

Talvez seja necessário configurar o CORS nas configurações do seu site?

3

Sim, adicionei o domínio onde chamo a API nas configurações do Discourse, mas não sei quando devo resolver esse erro sobre o campo api-username.

4

Você está colocando sua chave de API do system no código do lado do cliente? :scream:
Isso significa que qualquer pessoa pode pegá-la no seu código JavaScript e usá-la para assumir completamente o controle do seu fórum.

Qualquer solicitação HTTP Ajax para o Discourse deve aproveitar uma sessão existente ou não precisar de uma sessão de forma alguma.

5

Não é apenas um teste, estou usando o nome de usuário

      Vue.http
    .get(
      "https://discourse.mydomain.com/notifications.json?username="+input.username,
      {
        headers: {
       "Api-Key":"xxxxxxxxxxxxxxxxxxxxxx",
        "Api-Username": input.username    
        }
      }
    )

Mas estou recebendo o mesmo erro com o CORS e o campo api-username.

6

Deixe-me repetir o que eu disse:

Isso significa: nenhum cabeçalho de autenticação. De jeito nenhum.

7

Você realmente não deve usar essas credenciais de API para solicitações CORS, é por isso que esse campo de cabeçalho não é permitido.

No entanto, permitimos os cabeçalhos user-api em CORS:

8

Li a especificação de chaves de API de usuário

No meu caso, tenho SSO com um aplicativo frontend em JavaScript. Seria possível consumir a API sem usar a interface de autorização para cada usuário? Gostaria de uma maneira de usar o api-username… isso é possível?

Atenciosamente

9

Você poderia resolver isso?
Obrigado!

10

No final, voltei para a versão anterior do Discourse para não ter que alterar toda a integração da API.