Accès invalide utilisant la clé globale sur tous les utilisateurs

Dev
1

Je viens de remarquer ce problème aujourd’hui.

La génération d’une clé API pour tous les utilisateurs avec des portées globales, puis la mise à jour d’un sujet, entraîne une erreur invalid_access.

curl --location --request PUT 'https://example.com/t/-/365.json' \
--header 'Api-User: system' \
--header 'Api-Key: ***' \
--header 'Content-Type: application/json' \
--data-raw '{
    "tags": ["awesome-tag"]
}'

{
    "errors": [
        "Vous n'êtes pas autorisé à consulter la ressource demandée. Le nom d'utilisateur ou la clé API est invalide."
    ],
    "error_type": "invalid_access"
}

Cependant, si vous générez une clé API globale pour l’utilisateur system, cela fonctionne : même requête, clé différente.

curl --location --request PUT 'https://example.com/t/-/365.json' \
--header 'Api-User: system' \
--header 'Api-Key: DIFFERENT_KEY' \
--header 'Content-Type: application/json' \
--data-raw '{
    "tags": ["awesome-tag"]
}'

{
    "basic_topic": {
        "id": 365,
        "title": "Test topic",
        "fancy_title": "Test topic",
        "slug": "test-topic",
        "posts_count": 6
    }
}
2

Cela devrait être Api-Username, et non Api-User.

Cette en-tête n’est utilisée que pour les clés API « tous les utilisateurs », c’est pourquoi cela a fonctionné lorsque vous avez restreint la clé à un utilisateur spécifique.

3

Ah d’accord, cela a-t-il changé récemment ? Car j’avais en tête que l’en-tête était Api-User

4

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.