Ошибка CORS с Access-Control-Allow-Headers в API после обновления Discourse

Поддержка
1

Я обновил Discourse вчера, и все API-колбэки возвращают ошибку. Я выяснил, что проблема в заголовках аутентификации (1), но при попытке выполнить несколько запросов получаю следующую ошибку:

Доступ к XMLHttpRequest по адресу 'https://mydomain.com/notifications.json?username=admin' с источника 'https://mydomain.com' заблокирован политикой CORS: поле заголовка запроса api-username не разрешено в Access-Control-Allow-Headers в ответе на префлигт-запрос.

Я использую Vue и добавил api-key и api-username в заголовки следующим образом:

Vue.http
        .get(
             "https://discourse.mydomain.com/notifications.json?username="+input.username,
          {
            headers: {
             "Api-Key":"xxxxxxxxxxxxxxxxx",
             "Api-Username": "system",
              "content-type": "application/json",
              accept: "application/json"
            }
          }
        )

(1) Discourse REST API Documentation

2

Возможно, вам потребуется настроить CORS в настройках вашего сайта?

3

Да, я добавил домен, с которого вызывается API, в настройки Discourse, но ошибка, связанная с полем api-username, возникла. Я не знаю, когда мне её нужно устранить.

4

Вы размещаете свой API-ключ system в клиентском коде? :scream:
Это означает, что любой может извлечь его из вашего JavaScript-кода и полностью захватить ваш форум.

Любые Ajax HTTP-запросы к Discourse должны использовать существующую сессию или вообще не требовать сессии.

5

Это не просто тестирование, я использую имя пользователя:

Vue.http
  .get(
    "https://discourse.mydomain.com/notifications.json?username=" + input.username,
    {
      headers: {
        "Api-Key": "xxxxxxxxxxxxxxxxxxxxxx",
        "Api-Username": input.username
      }
    }
  )

Однако я получаю ту же ошибку, связанную с CORS и полем api-username.

6

Позвольте мне повторить сказанное мной:

Это означает: никаких заголовков аутентификации. Ни при каких обстоятельствах.

7

Вам действительно не следует использовать эти учетные данные API для CORS-запросов, именно поэтому это поле заголовка не разрешено.

Однако мы разрешаем заголовки user-api в CORS:

8

Я ознакомился со спецификацией ключей API пользователей

В моём случае используется SSO с фронтенд-приложением на JavaScript. Возможно ли использовать API без отображения интерфейса авторизации для каждого пользователя? Мне нужен способ использования api-username… Это возможно?

С уважением

9

Не могли бы вы решить это?
Спасибо!

10

В итоге я вернулся к предыдущей версии Discourse, чтобы не пришлось менять всю интеграцию с API.