我们有一项服务可以将用户重定向到 S3 存储桶中的对象。该请求的身份验证存储在 URL 的查询部分中。
我知道规范没有指定在重定向的情况下要对请求标头执行什么操作,但是我看到的实现会在Authorization使用 HTTP Basic 时去除标头。
有趣的是,当我们通过 HTTP Basic 身份验证调用我们的服务时,它工作正常。客户端从请求中剥离Authorization标头,文件从 S3 传递。
但是当我们使用 OAuth 不记名令牌调用我们的服务时,Authorization标头会留在重定向中,导致 S3 返回400错误响应。
服务器的重定向响应有没有办法指示客户端Authorization在访问响应的标头之前剥离标Location头?