python – Django Rest Framework：使用令牌身份验证时重定向

发布时间：2020-12-16 22:53:45 所属栏目：Python 来源：网络整理

导读：我在DRF和某个API调用中使用令牌身份验证,想要重定向到S3(使用像https://my_bucket.s3.amazonaws.com/my/file/path/my_file.jpg?Signature=MY_AWS_SIGNATUREu0026amp这样的URL ; AWSAccessKeyId = MY_AWS_ACCESS_KEY_ID).但是,我从AWS收到以下错误：很清楚

我在DRF和某个API调用中使用令牌身份验证,想要重定向到S3(使用像https://my_bucket.s3.amazonaws.com/my/file/path/my_file.jpg?Signature=MY_AWS_SIGNATUREu0026amp这样的URL ; AWSAccessKeyId = MY_AWS_ACCESS_KEY_ID).但是,我从AWS收到以下错误：


很清楚为什么会发生这种情况 – 带有DRF令牌的Authorization标头会随着重定向传播而S3不喜欢它.
在研究并尝试了一百万种方法来摆脱那个标题后,我放弃并决定尝试用S3值覆盖标题：AWS MY_AWS_SIGNATURE：MY_AWS_ACCESS_KEY_ID,之后我得到一个不同的错误：


如您所见,最终结果是相同的 – 即使我在响应中覆盖Authorization标头,它仍保留原始DRF令牌身份验证值.

# relevant portion of my response construction
headers = {'Location': 'https://my_bucket.s3.amazonaws.com/my/file/path/my_file.jpg','Authorization': 'AWS %s:%s' % (params['AWSAccessKeyId'],params['Signature'])}
return Response(status=status.HTTP_302_FOUND,headers=headers)

所以,我的问题是,如何删除或覆盖DRF响应中的Authorization标头？


最佳答案
重定向Authorization标头是客户端的责任(例如,浏览器,cURL,HTTP库/工具包).
例如,Paw,我查询我的API的工具包提供了这样的配置：

所以基本上,主流浏览器倾向于重定向授权标头,这导致S3上的冲突.
另外我怀疑你误解了重定向的执行方式：
>当DRF发出重定向时,它会向客户端返回HTTP 301或302响应,其中包含新的Location头(请求不是直接通过DRF“转发”)
>然后,客户端请求此新URI
最后,当你发出302时,你没有覆盖任何授权标题,因为这是对客户端的响应……(它可以携带授权标题但是没用).
现在,你有一堆解决方案(因此没有开箱即用……)：
>将令牌传递到不同的标头以避免冲突(例如X-Token)
>通过HTTP GET参数传递令牌(？token = blah)
>使用DRF视图代理S3对象(不重定向)
前两个解决方案可能会以某种方式破坏API的一致性,但在某种程度上是公平的.他们需要自定义TokenAuthentication或get_authorization_header(来自rest_framework.authorization).
最后一个是透明的,但可能完全不适合,具体取决于您在S3上获取的对象和/或您的托管约束…
这就是我现在可以告诉你的全部内容.如你所知,I’ve been stuck with the same situation too.如果有人能提出更好的解决方案,我会很高兴的.
                        （编辑：李大同）
【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!