Groups | Search | Server Info | Login | Register
Groups > de.comp.lang.javascript > #5314
| From | Arno Welzel <usenet@arnowelzel.de> |
|---|---|
| Newsgroups | de.comp.lang.javascript |
| Subject | Re: Authorization: Bearer in "normalem" GET Request |
| Date | 2022-08-03 14:52 +0200 |
| Message-ID | <jkv9btFrfd6U1@mid.individual.net> (permalink) |
| References | <slrntekhi4.57bk.hjp-usenet3@trintignant.hjp.at> |
Peter J. Holzer, 2022-08-03 11:56: > Ich habe ein API, das Requests über ein Bearer Tokens authentifiziert. > Das funktioniert wunderbar, solange Requests über JavaScript (im > konkreten Fall mittels Axios) generiert und der Output wieder in > JavaScript konsumiert wird. > > Nun möchte ich aber dem User einen Download-Link anbieten. Das wäre im > einfachsten Fall einfach ein <a href="//api.example/whatever/123">...</a> > oder man könnte window.location setzen. Aber der Browser weiß nichts von > dem Bearer-Token und setzt daher den Authorization Header nicht. > > Gibt es eine Möglichkeit, den Authorization Header präemptiv zu setzen? Nein. Der muss schon explizit angefordert werden. > Alternativen: > > 1) Ich kann im API einen nicht-authentifizierten Endpoint einrichten, > der seinerseits einen Key (als Parameter übergeben) überprüft. > 2) Ich kann den Download vom Server in JavaScript durchführen und dann > mit createObjectURL() einen blob: URL für den Inhalt generieren. > > Die 1. Lösung wird schon anderswo in der gleichen Applikation verwendet, > gefällt mir aber gar nicht. Der Key müsste ein Ablaufdatum haben, > landet, im Access-Log und möglicherweise an anderen Stellen, wo er > leaken kann ... Sinnvoll wäre Lösung 2 nur, wenn sie Daten nutzen, die *nicht* auch vom Server vorab ohne Authentifizierung mitgeliefert werden. -- Arno Welzel https://arnowelzel.de
Back to de.comp.lang.javascript | Previous | Next — Previous in thread | Next in thread | Find similar
Authorization: Bearer in "normalem" GET Request "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2022-08-03 11:56 +0200
Re: Authorization: Bearer in "normalem" GET Request Arno Welzel <usenet@arnowelzel.de> - 2022-08-03 14:52 +0200
Re: Authorization: Bearer in "normalem" GET Request "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2022-08-05 10:01 +0200
Re: Authorization: Bearer in "normalem" GET Request Arno Welzel <usenet@arnowelzel.de> - 2022-08-05 10:46 +0200
Re: Authorization: Bearer in "normalem" GET Request "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2022-08-05 13:48 +0200
Re: Authorization: Bearer in "normalem" GET Request Arno Welzel <usenet@arnowelzel.de> - 2022-08-06 10:35 +0200
Re: Authorization: Bearer in "normalem" GET Request "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2022-08-06 14:06 +0200
Re: Authorization: Bearer in "normalem" GET Request Stefan Reuther <stefan.news@arcor.de> - 2022-08-06 22:28 +0200
Re: Authorization: Bearer in "normalem" GET Request "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2022-08-07 09:39 +0200
csiph-web