This would be a good answer for me except that I cannot get header based auth to work so I am attempting to do it with forms and am also getting CSRF. Any solution? I am trying to create a new topic using the API.
We will need more information to be able to help. Can you share a code snippet showing how you are trying to use the header based authentication?
1 « J'aime »
The problem I’ve been having stems mostly from whenever I try to make a call with header based auth, the accepted headers are always “User-Api-Key” and “User-Client-Id” instead of “Api-Key” and “Api-Username” so I get CORS errors. I do not believe I need user based keys. I am just trying to do a simple authenticated request to create a new topic. If I try to use the “User-Api-Key” I am getting a 403 errors.
This is sample code (Angular Typescript), but should be similar to other setups:
createNewTopic(postBody: any) {
let url = "myserver.com/posts.json";
let CATEGORY_ARTICLES = 6;
let topicContent = `
<p>Some content
</p>
<p>Did that work?</p>
`;
let post = {
"title": "Tdk Test 1",
"raw": topicContent,
"category": CATEGORY_ARTICLES,
"target_usernames": "tdekoekkoek",
"archetype": "",
"created_at": new Date()
}
let headers = new HttpHeaders()
.set("Accept", "application/json")
.set("User-Api-Key", DISCOURSE_API_KEY)
.set("User-Key", "system")
.set("Content-Type", "application/x-www-form-urlencoded")
let options = {headers: headers};
return this.http.post(url, post, options);
}
user-api-key and user-client-id are a completely different method of authentication. Regular API keys won’t work with those headers. What happens when you use the correct header names? (api-key and api-username)
1 « J'aime »
I get a CORS error because the server is expecting User-Api-Key. I examine the expected headers in the OPTIONS response and that is what it says. There is a similar topic elsewhere on this forum where a user was experiencing this when calling from a javascript app.
Oh, so you are trying to make this request from a client-side javascript application? That is not permitted for numerous reasons. For example, if you include an admin API key in the source code of your javascript app, any user could gain full admin access to your forum. Here is a previous topic on the subject.
2 « J'aime »
Yes that is what I am trying to do. That should be more clearly documented. That has been my whole strategy since getting started with Discourse. I appreciate your help. Been battling with this for days and reading the documentation. Will have to rethink my whole approach as I am currently building a serverless application though I do have access to a node.js server.
1 « J'aime »
This isn’t a restriction specific to Discourse - in general it is a bad idea to include admin credentials in the source code of a website.
If you can make the Discourse API call from your node.js server, that would probably be the best solution. If you need your application to be purely client-side, then requesting user-specific api keys is an option, although their setup is a lot more complex: User API keys specification
2 « J'aime »
Frankly accessing APIs from client applications with CORS enabled is extremely common and standard. I can’t believe there is not a more secure way of doing this. An entire industry revolves around hosted APIs that are accessed from different domains. As for accessing with user api, I’ve seen how to create those, but am unclear about what the actual credentials are. I am always getting 403 permission denied when using that method.
1 « J'aime »
Je pense que je me trouve dans une situation similaire.
Quelques précisions sur le cas d’usage :
J’utilise Discourse comme backend et je développe le frontend en VueJS. Je compte n’utiliser que l’API REST. Pour chaque utilisateur de notre plateforme, j’ai créé une clé API utilisateur et j’utilise les deux en-têtes (Api-Key et Api-Username) pour l’authentification.
Chaque utilisateur s’authentifie de manière sécurisée auprès de nos serveurs, puis reçoit son jeton Discourse pour l’authentification. Ensuite, nous souhaitons utiliser ce jeton (dans un frontend VueJS) pour envoyer des requêtes API (publier des sujets, des messages, éditer, etc.).
Rien n’est codé en dur ; tous les jetons sont obtenus après une authentification appropriée.
Le problème :
Je reçois un message d’erreur CORS, même si je l’ai activé dans app.yml et configuré dans la section Sécurité des paramètres d’administration.
L’erreur : Le champ d'en-tête de requête api-key n'est pas autorisé par Access-Control-Allow-Headers
Est-ce que je rencontre l’erreur CORS pour la même raison ? Pourquoi les requêtes CORS sont-elles bloquées lors de l’utilisation des en-têtes « Api-Key » et « Api-Username » ? Je dois mal comprendre leur cas d’usage.
EDIT :
J’ai une théorie concernant mon incompréhension. Lorsque je crée une clé API utilisateur via le point de terminaison « Générer une clé API pour un utilisateur » de l’API REST, cette clé dispose-t-elle de permissions administratives ? N’est-ce pas simplement une clé utilisateur pour publier et commenter ? Si c’est le cas, alors je comprends la restriction.
Merci de me corriger si nécessaire.
@david Discourse ne pourrait-il pas simplement faire signer un secret de session par le serveur avec un HMAC, et ce secret de session pourrait à son tour être utilisé pour signer des éléments dans la session donnée ? S’il était volé, alors le cookie de session ou le nonce CSRF ne le seraient probablement pas non plus. C’est un peu comme une chaîne de certificats : vous n’avez pas à mettre la clé racine dans le navigateur.
Ceux-ci sont uniquement pour l’API d’administration. La façon dont je l’ai compris, c’est que pour les clients JavaScript, vous devez, comme mentionné ci-dessus, consulter User API keys specification.