Web-App-Abmeldung Anfrage CORS-Probleme

emurillo · 30. November 2021 um 21:29

Hallo zusammen, dank Discourse habe ich die Einrichtung ziemlich einfach gefunden, bis zu diesem Punkt.

Ich habe eine SSO-Einrichtung, die mit meiner Webanwendung einwandfrei funktioniert. Wenn ich jedoch den Endpunkt admin/users/:id/logout auslöse, funktioniert er nicht aus der Webanwendung heraus.

Aus irgendeinem Grund akzeptiert er eine cURL-Anfrage problemlos:

 curl 'http://localhost/admin/users/2/log_out' \
  -X 'POST' \
  -H 'Api-Key: <>' \
  -H 'Content-Type: multipart/form-data;' -v

*   Trying 127.0.0.1:80...
* Connected to localho.st (127.0.0.1) port 80 (#0)

> POST /admin/users/2/log_out HTTP/1.1
> Host: localho.st
> User-Agent: curl/7.77.0
> Accept: */*
> Api-Key: <>
> Content-Type: multipart/form-data;
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Content-Type: application/json; charset=utf-8
< Transfer-Encoding: chunked
< Connection: keep-alive
< Status: 200 OK
< Cache-Control: no-cache, no-store
< Access-Control-Allow-Origin: http://localhost:3000
< Vary: Accept
< Referrer-Policy: strict-origin-when-cross-origin
< X-Permitted-Cross-Domain-Policies: none
< X-XSS-Protection: 1; mode=block
< X-Request-Id: 26dfcbf6-497c-45db-8e3d-17aef9ba812c
< X-Discourse-Route: users/log_out
< Access-Control-Allow-Headers: Content-Type, Cache-Control, X-Requested-With, X-CSRF-Token, Discourse-Present, User-Api-Key, User-Api-Client-Id, Authorization
< Access-Control-Allow-Credentials: true
< Access-Control-Allow-Methods: POST, PUT, GET, OPTIONS, DELETE
< X-Download-Options: noopen
< X-Runtime: 0.190266
< X-Frame-Options: SAMEORIGIN
< X-Content-Type-Options: nosniff
< X-Discourse-Username: emurillo
< Date: Tue, 30 Nov 2021 21:12:58 GMT
< X-Powered-By: Phusion Passenger(R) 6.0.10
< Server: nginx/1.20.1 + Phusion Passenger(R) 6.0.10
<
* Connection #0 to host localho.st left intact
{"success":"OK"}

und die Server-Logs zeigen:

Started POST "/admin/users/2/log_out" for 172.18.0.1 at 2021-11-30 21:12:58 +0000
Processing by Admin::UsersController#log_out as */*
  Parameters: {"user_id"=>"2"}
Can't verify CSRF token authenticity.
Completed 200 OK in 75ms (Views: 0.9ms | ActiveRecord: 0.0ms | Allocations: 2350)

Aber wenn ich es von der Webanwendung aus versuche:

axios.post('http://localhost/admin/users/2/log_out', {}, {
  headers: {
    'User-Api-Key': '<>',
    'Content-Type': 'multipart/form-data'
  }
});

zeigen die Server-Logs:

Started POST "/admin/users/2/log_out" for 172.18.0.1 at 2021-11-30 21:08:26 +0000
ActionController::RoutingError (No route matches [POST] "/admin/users/2/log_out")

Einige weitere Beweise:

xxxxxxxxxxx

xxxxxxxxxxx

Falco · 30. November 2021 um 21:55

Was meinen Sie mit „von der Web-App aus“? Versuchen Sie, diesen API-Endpunkt von Front-End-JavaScript aus aufzurufen? Das würde den Admin-API-Schlüssel preisgeben.

emurillo · 30. November 2021 um 22:12

Das ist richtig, ich wollte es zuerst im Frontend überprüfen, aber wenn Sie empfehlen, einen Endpunkt auf meinem Server einzurichten, um das Abmelden zu handhaben (und es keinen kürzeren Weg darum gibt), werde ich Ihren Rat befolgen.

system · 30. Dezember 2021 um 22:13

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

Thema		Antworten	Aufrufe
SSO Log out - CORS issue SSO	2	1242	4. Juli 2020
'/admin/users/{id}/log_out.json' is not working Dev rest-api	15	998	6. September 2023
/admin/users/1/log_out route error SSO	2	1660	26. Mai 2020
How to logout user by api Support rest-api	2	38	24. Oktober 2025
API CORS Headers Incorrect Support	11	2979	8. Juni 2023

Web-App-Abmeldung Anfrage CORS-Probleme

Verwandte Themen