授权标头不适用于 cors [关闭]

Question

我已经面临这个问题好几天了。我正在尝试从我的网站 (mywebsite.com) 调用我的 API (api.mywebsite.com)，它工作正常，直到我尝试传递授权标头。到那时，它不再是一个简单的请求，而是一个预检请求。

但是，最后没有发送身份验证标头，我得到的输入是这个：

这是我的前端代码（JS）：

fetch(generalInfo.url.api+"users/"+userId, {
        method: 'GET',
        headers: {
            "Content-type": "application/x-www-form-urlencoded; charset=UTF-8",
            "Authorization": "Bearer "+accessToken
        },
        withCredentials: true
});

虽然这是 API 后端的中间件：

//Allow the cors from every domain
 module.exports = function (req, res, next){
    res.setHeader('Access-Control-Allow-Origin', req.host);
    res.setHeader('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE,OPTIONS');
    res.setHeader('Access-Control-Allow-Headers', 'Authorization');

    if(req.method === 'OPTIONS'){
       return res.send(200);
    }

    next();
}

谁能帮帮我？

Answer 1

您必须删除您的 api url 的“8888”端口，api 服务器必须已经为 api.myapp.com 地址设置了一个端口

Answer 2

根据https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

特别是，如果满足以下任一条件，则预检请求：

如果，除了用户代理自动设置的标头（例如，Connection、User-Agent 或任何其他标头，其名称在 Fetch 规范中定义为“禁止标头名称”），

禁止的标头包括： https://fetch.spec.whatwg.org/#forbidden-header-name

其中有Access-Control-Request-Headers，我们可以看到它正在随您的请求一起发送。这解释了预检的使用。

我认为该过程看起来不错 - 但在您对预检的响应标头中，我注意到访问控制允许来源是 api.myapp.com，而在请求中如果在端口 8888 上。我认为在响应中你应该有端口号，如果它不是 http 的 80。见https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy。如果满足以下条件，则原点相同：

如果两个页面的协议、端口（如果指定）和主机相同，则两个页面具有相同的来源。您有时会看到这被称为“方案/主机/端口元组”（其中“元组”是由三个组件组成的集合，它们共同构成一个整体）。

所以我认为问题可能是您的预检对客户说只允许 api.myapp.com 但实际请求可能是向http://api.myapp.com:8888 提出的，因此来源不匹配。还是我误解了您要做什么？