那些遇到过的问题

Python 请求:POST 请求删除 Authorization 标头

use*_*113 11 python http http-headers python-requests authorization-header

我正在尝试使用 Python requests 库发出 API POST 请求。我正在传递一个Authorization标头,但是当我尝试调试时,我可以看到标头正在被删除。我不知道是怎么回事。

这是我的代码:

access_token = get_access_token()
bearer_token = base64.b64encode(bytes("'Bearer {}'".format(access_token)), 'utf-8')
headers = {'Content-Type': 'application/json', 'Authorization': bearer_token}
data = '{"FirstName" : "Jane", "LastName" : "Smith"}'
response = requests.post('https://myserver.com/endpoint', headers=headers, data=data)
Run Code Online (Sandbox Code Playgroud)

正如您在上面看到的,我Authorization在请求参数中手动设置了标头,但它缺少实际请求的标头: {'Connection': 'keep-alive', 'Content-Type': 'application/json', 'Accept-Encoding': 'gzip, deflate', 'Accept': '*/*', 'User-Agent': 'python-requests/2.4.3 CPython/2.7.9 Linux/4.1.19-v7+'}

另外一条信息是,如果我将 POST 请求更改为 GET 请求,则Authorization标头会正常通过!

为什么这个库会丢弃 POST 请求的标头,我该如何让它工作?

使用请求库的 v2.4.3 和 Python 2.7.9

kma*_*ork 18

TLDR

您请求的 url 将 POST 请求重定向到不同的主机,因此请求库会删除Authoriztion标头,以免泄露您的凭据。要解决这个问题,您可以覆盖请求Session类中的负责方法。

细节

在请求 2.4.3 中,reqeuests删除Authorization标头的唯一地方是当请求被重定向到不同的主机时。这是相关代码

if 'Authorization' in headers:
    # If we get redirected to a new host, we should strip out any
    # authentication headers.
    original_parsed = urlparse(response.request.url)
    redirect_parsed = urlparse(url)

    if (original_parsed.hostname != redirect_parsed.hostname):
        del headers['Authorization']
Run Code Online (Sandbox Code Playgroud)

在较新版本的 中requestsAuthorization标头将在其他情况下被删除(例如,如果重定向是从安全协议到非安全协议)。

因此,在您的情况下可能发生的情况是您的 POST 请求被重定向到不同的主机。您可以使用请求库为重定向主机提供身份验证的唯一方法是通过.netrc文件。遗憾的是,这只允许您使用 HTTP 基本身份验证,这对您没有多大帮助。在这种情况下,最好的解决方案可能是子类化requests.Session并覆盖此行为,如下所示:

from requests import Session

class NoRebuildAuthSession(Session):
    def rebuild_auth(self, prepared_request, response):
        """
        No code here means requests will always preserve the Authorization
        header when redirected.
        Be careful not to leak your credentials to untrusted hosts!
        """

session = NoRebuildAuthSession()
response = session.post('https://myserver.com/endpoint', headers=headers, data=data)
Run Code Online (Sandbox Code Playgroud)

编辑

我已经向 github 上的请求库打开了一个拉取请求,以在发生这种情况时添加警告。它一直在等待第二次批准合并(已经三个月了)。

归档时间:

查看次数:

7786 次

最近记录:

5 年,4 月 前
相关归档
如何在Django中创建一个slug? 210
输出pyodbc游标结果为python字典 56
在python中生成密码 47
在Python中检查日期与日期范围 47
响应中的JAX/Jersey自定义错误代码 23
期待:100-继续 11
使用 Python-Requests 通过 Django 视图发送请求 5
在特定的 WordPress 页面上发送 404 状态代码? 4
HAProxy中基于源IP的HTTP路由 3
为什么即使缺少Access-Control-Allow-Headers,CORS请求也会成功? 1
难疑归档
检查字典中是否已存在给定键 2683
如何分析在Linux上运行的C++代码? 1732
命令折叠代码的所有部分? 1576
如何在Java中拆分字符串 1564
如何递归计算目录中的所有代码行? 1536
<meta http-equiv ="X-UA-Compatible"content ="IE = edge">是做什么用的? 1378
Android Studio中的Gradle是什么? 1257
如何在find中排除目录.命令 1250
我怎样才能用Python代表'Enum'? 1146
如何将参数传递给批处理文件? 1100