This would be a good answer for me except that I cannot get header based auth to work so I am attempting to do it with forms and am also getting CSRF. Any solution? I am trying to create a new topic using the API.
We will need more information to be able to help. Can you share a code snippet showing how you are trying to use the header based authentication?
「いいね!」 1
The problem I’ve been having stems mostly from whenever I try to make a call with header based auth, the accepted headers are always “User-Api-Key” and “User-Client-Id” instead of “Api-Key” and “Api-Username” so I get CORS errors. I do not believe I need user based keys. I am just trying to do a simple authenticated request to create a new topic. If I try to use the “User-Api-Key” I am getting a 403 errors.
This is sample code (Angular Typescript), but should be similar to other setups:
createNewTopic(postBody: any) {
let url = "myserver.com/posts.json";
let CATEGORY_ARTICLES = 6;
let topicContent = `
<p>Some content
</p>
<p>Did that work?</p>
`;
let post = {
"title": "Tdk Test 1",
"raw": topicContent,
"category": CATEGORY_ARTICLES,
"target_usernames": "tdekoekkoek",
"archetype": "",
"created_at": new Date()
}
let headers = new HttpHeaders()
.set("Accept", "application/json")
.set("User-Api-Key", DISCOURSE_API_KEY)
.set("User-Key", "system")
.set("Content-Type", "application/x-www-form-urlencoded")
let options = {headers: headers};
return this.http.post(url, post, options);
}
user-api-key and user-client-id are a completely different method of authentication. Regular API keys won’t work with those headers. What happens when you use the correct header names? (api-key and api-username)
「いいね!」 1
I get a CORS error because the server is expecting User-Api-Key. I examine the expected headers in the OPTIONS response and that is what it says. There is a similar topic elsewhere on this forum where a user was experiencing this when calling from a javascript app.
Oh, so you are trying to make this request from a client-side javascript application? That is not permitted for numerous reasons. For example, if you include an admin API key in the source code of your javascript app, any user could gain full admin access to your forum. Here is a previous topic on the subject.
「いいね!」 2
Yes that is what I am trying to do. That should be more clearly documented. That has been my whole strategy since getting started with Discourse. I appreciate your help. Been battling with this for days and reading the documentation. Will have to rethink my whole approach as I am currently building a serverless application though I do have access to a node.js server.
「いいね!」 1
This isn’t a restriction specific to Discourse - in general it is a bad idea to include admin credentials in the source code of a website.
If you can make the Discourse API call from your node.js server, that would probably be the best solution. If you need your application to be purely client-side, then requesting user-specific api keys is an option, although their setup is a lot more complex: User API keys specification
「いいね!」 2
Frankly accessing APIs from client applications with CORS enabled is extremely common and standard. I can’t believe there is not a more secure way of doing this. An entire industry revolves around hosted APIs that are accessed from different domains. As for accessing with user api, I’ve seen how to create those, but am unclear about what the actual credentials are. I am always getting 403 permission denied when using that method.
「いいね!」 1
私も似た状況にいます。
ユースケースについて少し説明します:
Discourse をバックエンドとして使用し、VueJS でフロントエンドを構築しています。REST API のみを単独で使用することを意図しています。プラットフォーム上の各ユーザーに対してユーザー API キーを作成し、認証には両方のヘッダー(Api-Key と Api-Username)を使用しています。
各ユーザーは当社のサーバーと安全に認証し、その後認証用の Discourse トークンを取得します。その後、このトークン(VueJS フロントエンド内)を使用して API リクエスト(トピックの投稿、投稿の作成、編集など)を送信したいと考えています。
ハードコーディングされたものは何もありません。すべてのトークンは適切な認証後に受け取られます。
問題点:
app.yml で CORS を有効にし、管理設定のセキュリティセクションで設定したにもかかわらず、CORS エラーメッセージが表示されます。
エラー内容:Request header field api-key is not allowed by Access-Control-Allow-Headers
私が経験している CORS エラーメッセージも同じ理由によるものでしょうか?なぜ “Api-Key” と “Api-Username” ヘッダーを使用する際に CORS リクエストがブロックされるのでしょうか?私はおそらくそのユースケースを誤解しているのでしょう。
編集:
私の誤解についての仮説があります。REST API の “Generate an api_key for a user” エンドポイントからユーザー API キーを作成する場合、そのキーには管理者権限が付与されているのでしょうか?それとも、投稿やコメントを行うための単なるユーザーキーなのでしょうか?もしそうであれば、その制限は理解できます。
必要であれば訂正してください。
@david Discourse は、サーバーがセッションシークレットにHMACで署名し、このセッションシークレットが、与えられたセッション内のものを署名するために使用されるということはできませんか?もしそれが盗まれた場合、セッションクッキーやCSRFノンスも同様に盗まれないと仮定します。これは証明書チェーンに似ています。ルートキーをブラウザに配置する必要はありません。
これらは管理者API専用です。私の理解では、JavaScriptクライアントの場合は、上記で言及されているように、User API keys specification を確認する必要があるということです。