API の異常な結果

Ryan_NR · 2020 年 6 月 22 日午後 3:26

こんにちは！

新しいトピックを作成する API 呼び出しを実行しようとしています。Discourse API Docs

Postman を使用して、API キー、ユーザー名、Content-Type をヘッダーとして送信し、本文に JSON データを送信しています。

API ユーザー名とキーが正しいことを確認しましたが、API 呼び出しの結果、サインインページの HTML が返ってきます。

これは想定された動作でしょうか？回避策はありますか？

Falco · 2020 年 6 月 22 日午後 4:35

お送りいただいている API 呼び出しの cURL バージョンを貼り付けていただけますでしょうか？

Ryan_NR · 2020 年 6 月 23 日午前 7:05

もちろん…

curl -X POST 'https://staging-discuss.newrelic.com/posts.json' \
     -H 'Api-Username: RyanVeitch' -i \
     -H 'Api-Key: My-API-Key' -i \
     -H 'Content-Type: application/json' \
     -d \
'{
    "title": "My fancy title",
    "raw": "Some random text to fill my topic",
    "category": 212,
    "created_at": "2020-06-22"
}'

ターミナルでは、以下のような出力が表示されます。

HTTP/1.1 307 Temporary Redirect
Proxied-By: Service Gateway
Strict-Transport-Security: max-age=31536000; includeSubDomains
Location: https://staging-login.newrelic.com/login?return_to=https%3A%2F%2Fstaging-discuss.newrelic.com%2Fposts.json
content-type: text/plain;charset=UTF-8
content-length: 138

異なる URI へリダイレクト中: https://staging-login.newrelic.com/login?return_to=https%3A%2F%2Fstaging-discuss.newrelic.com%2Fposts.json%

Ryan_NR · 2020 年 6 月 23 日午後 3:36

トラブルシューティングのサポートに、他に必要なものがあればお知らせください

Falco · 2020 年 6 月 23 日午後 5:16

中間にプロキシを配置した、非常にカスタマイズされた環境のようですね。

これは標準的な Discourse の動作ではないため、この問題はあなた方の特殊なプロキシ設定が原因のようです。

プロキシをバイパスするための特別なヘッダーを送信できるかもしれません。その製品のドキュメントを確認してみてください。

Ryan_NR · 2020 年 6 月 24 日午前 6:45

いいね！@Falco さん、ありがとう。開発チームと詳しく調べてみます

Ryan_NR · 2020 年 6 月 25 日午前 9:31

こんにちは @Falco さん、プロキシを通過することはできましたが、現在は 403 BAD CSRF エラーに直面しています。

このスレッドは未完成のようですね…

これらのエラーを回避する方法について、何かご存知でしょうか？

blake · 2020 年 6 月 25 日午後 3:37

ローカルで例の curl コマンドをテストしましたが、問題なく動作しており構文も正しいようです。プロキシが一部のヘッダーを除去している可能性はありませんか？それが原因で API 認証情報が読み取れず、BAD CSRF エラーが発生しているのかもしれません。

Ryan_NR · 2020 年 6 月 25 日午後 3:51

@blake さん、ありがとうございます。

当社のプロキシは完全に社内独自開発のもので、外部向けの前層となっています。

私は社内ネットワークに VPN で接続しており、パブリック URL ではなくバックエンド（プロキシの裏側）の URL にアクセスしているため、リクエストはプロキシを経由しないはずです。

当社のステージング環境の Discourse インスタンスはバージョン 2.3.10 です。

そのバージョンでは API の挙動が異なりますか？

blake · 2020 年 6 月 25 日午後 4:09

いいえ、v2.3.10 には依然としてヘッダーベースの認証関連の処理が含まれているため、動作に違いはないはずです。

以下の行にヒットしています：

github.com/discourse/discourse

app/controllers/application_controller.rb

632ef306e


      
          protect_from_forgery
          
          # Default Rails 3.2 lets the request through with a blank session
          #  we are being more pedantic here and nulling session / current_user
          #  and then raising a CSRF exception
          def handle_unverified_request
            # NOTE: API key is secret, having it invalidates the need for a CSRF token
            unless is_api? || is_user_api?
              super
              clear_current_user
              render plain: "[\"BAD CSRF\"]", status: 403
            end
          end
          
          before_action :check_readonly_mode
          before_action :handle_theme
          before_action :set_current_user_for_logs
          before_action :clear_notifications
          before_action :set_locale
          before_action :set_mobile_view
          before_action :block_if_readonly_mode

これは、リクエストが何らかの形で不正であり、API リクエストとして検出できないことを意味します。

blake · 2020 年 6 月 25 日午後 4:25

これはローカル環境ではなくステージングインスタンスであるため、Discourse に到達する前に nginx や他の Web サーバーが動作しているはずです。設定次第では、nginx が一部のヘッダーを除去している可能性があります。これらは nginx のログに表示されているかもしれません。

これはリクエストヘッダーから API 認証情報を取得する部分です。このファイルにいくつかのデバッグ文を追加して、ヘッダーがここまで到達しているか確認することもできます。

github.com/discourse/discourse

lib/auth/default_current_user_provider.rb

632ef306e


      
            if uid
              user = User.find_by(id: uid.to_i)
            end
            @env[CURRENT_USER_KEY] = user
            return user
          end
          
          request = @request
          
          user_api_key = @env[USER_API_KEY]
          api_key = @env.blank? ? nil : @env[HEADER_API_KEY] || request[API_KEY]
          
          auth_token = request.cookies[TOKEN_COOKIE] unless user_api_key || api_key
          
          current_user = nil
          
          if auth_token && auth_token.length == 32
            limiter = RateLimiter.new(nil, "cookie_auth_#{request.ip}", COOKIE_ATTEMPTS_PER_MIN , 60)
          
            if limiter.can_perform?
              @user_token = UserAuthToken.lookup(auth_token,

Ryan_NR · 2020 年 6 月 25 日午後 5:07

@blake

ありがとうございます！開発チームに共有します

ご協力ありがとうございます

トピック		返信	表示
Can't verify CSRF token authenticity while creating topics Development rest-api	1	1186	2022 年 11 月 4 日
Issue with Api Development	1	906	2022 年 8 月 16 日
Discourse admin login throws 403 ["BAD CSRF"] error Support	5	1720	2020 年 9 月 15 日
'BAD CSRF' while creating a new post Support	2	1886	2020 年 5 月 23 日
Improve BAD CSRF error message when making API calls with content-type application/json Development	4	4316	2020 年 9 月 14 日

API の異常な結果

関連トピック