API-Endpunkt users/by-external/ schlägt mit Autorisierungsheadern fehl, funktioniert ohne

Tim_Scaffidi · 29. März 2023 um 17:57

Seit dem 24. März scheint sich die Art und Weise, wie die Discourse API auf Anfragen reagiert, geändert zu haben.

Auf unserer Seite wurden keine Codeänderungen vorgenommen und der Api-Key ist weiterhin gültig, aber einer unserer Backend-Dienste, der versucht, Benutzerinformationen abzurufen, begann beim Aufruf von users/by-external/{id}.json zu fehlschlagen.

Wir senden die Header Api-Key und Api-Username mit diesen Anfragen, die gemäß der Dokumentation erforderlich sein sollten. Diese Anfragen funktionieren seit Jahren einwandfrei.

Jetzt schlagen alle Anfragen an diesen Endpunkt mit einem 403 und dem Antwortkörper fehl:

{
    "errors": [
        "You are not permitted to view the requested resource."
    ],
    "error_type": "invalid_access"
}

Dies geschieht auch, wenn ich versuche, /u/{username}.json anzufordern.

Erstaunlicherweise, wenn ich die Header NICHT sende, antworten diese Anfragen, die laut Dokumentation diese Authentifizierungsheader erfordern, tatsächlich mit den angeforderten Daten, als wären sie authentifiziert.

Ich habe auch versucht, einen falschen Api-Key zu senden, und die Antwort lautet mit einer leicht anderen Meldung:

{
    "errors": [
        "You are not permitted to view the requested resource. The API username or key is invalid."
    ],
    "error_type": "invalid_access"
}

Dies sagt mir, dass der Schlüssel akzeptiert wird, aber fälschlicherweise meldet, dass er keinen Zugriff auf die Ressource gewährt, während nicht authentifizierte Anfragen vollen Zugriff erhalten.

Ich habe auch gerade mit einem brandneuen Api-Key mit allen Benutzer- / globalen Optionen getestet und erhalte die gleichen Ergebnisse.

blake · 29. März 2023 um 22:50

Nachdem wir dies mit @Tim_Scaffidi durchgearbeitet hatten, stellten wir fest, dass der Benutzer, der für Api-Username übergeben wurde, von SiteSetting.invalidate_inactive_admin_email_after_days automatisch deaktiviert worden war. Wahrscheinlich gibt es einen Fehler im Zusammenhang mit dieser Einstellung, bei dem API-Aufrufe, die von einem Benutzer getätigt werden, nicht die “Anmelde”-Aktivität dieses Benutzers aktualisieren.

blake · 26. Juni 2023 um 21:41

Ich habe mir das noch einmal angesehen, um zu prüfen, ob es Code gab, der geändert werden sollte, um Dinge zu verbessern, aber da das Problem nur auftrat, weil ein API-Schlüssel für „Alle Benutzer“ verwendet wurde, glaube ich nicht, dass wir am Code etwas ändern sollten. Die beste Option, um die Deaktivierung von Benutzern zu vermeiden, ist die Verwendung eines API-Schlüssels für „Einzelbenutzer“, damit wir das last_used_at im API-Schlüssel-Datensatz überprüfen können, anstatt zu versuchen, last_seen_at im Benutzerdatensatz zu überprüfen.

Thema		Antworten	Aufrufe
Using Discourse API to return user data when the "Require authentication to read content on this site, disallow anonymous access." setting is checked Bug rest-api	8	2976	11. August 2020
Confusion about API Authenticated User Dev rest-api	3	365	31. Mai 2024
Discourse API - Unable to query certain endpoints Support	8	1467	31. Oktober 2019
API request to users/by-external on private forum Dev	6	1964	9. April 2017
Newly enforced api_username restriction? Dev rest-api	4	562	29. Oktober 2020

API-Endpunkt users/by-external/ schlägt mit Autorisierungsheadern fehl, funktioniert ohne

Verwandte Themen