4

我正在尝试访问需要基本身份验证凭据的 Adyen 测试 API。https://docs.adyen.com/developers/ecommerce-integration

通过浏览器访问 API 页面时,我的凭据有效。
验证

但是当我尝试使用 XMLHttpRequest POST 请求访问 API 时,我得到了401 Unauthorized响应。

Javascript代码

var url = "https://pal-test.adyen.com/pal/servlet/Payment/v25/authorise";

var username = "ws@Company.CompanyName";
var password = "J}5fJ6+?e6&lh/Zb0>r5y2W5t";
var base64Credentials = btoa(username+":"+password);

var xhttp = new XMLHttpRequest();
xhttp.open("POST", url, true);
xhttp.setRequestHeader("content-type", "application/json");
xhttp.setRequestHeader("Authorization", "Basic " + base64Credentials);

var requestParams = XXXXXXXX;
xhttp.send(requestParams);


结果

结果

4

2 回答 2

6

该屏幕截图显示“<strong>Request Method: OPTIONS”,这表明显示的详细信息是针对您的浏览器自动发出的CORS 预检 OPTIONS 请求POST,而不是针对您的.

您的浏览器在发出请求时不会(也不能)发送Authorization标头,OPTIONS这会导致预检失败,因此浏览器永远不会继续尝试您的POST.

只要https://pal-test.adyen.com/pal/servlet/Payment/v25/authorise要求对OPTIONS请求进行身份验证,就无法成功POST

原因是因为这里发生的事情是这样的:

  1. 您的代码告诉您的浏览器它想要发送带有Authorization标头的请求。
  2. 您的浏览器说,好的,带有Authorization标头的请求要求我进行 CORS 预检OPTIONS以确保服务器允许带有该标头的请求。
  3. 您的浏览器将不带标头OPTIONS的请求发送到服务器——因为检查的全部目的是查看是否可以发送该请求。AuthorizationOPTIONS
  4. 该服务器看到OPTIONS请求,但没有以表明它允许Authorization请求的方式响应它,而是使用 401 拒绝它,因为它缺少该标头。
  5. 您的浏览器期望 CORS 预检得到 200 或 204 响应,但得到的是 401 响应。因此,您的浏览器会停在那里,并且永远不会尝试POST来自您的代码的请求。
于 2017-08-06T14:47:20.120 回答
5

PAL 是一种支付授权 API。你永远不想从浏览器调用它。您只想公开您的用户名和密码以在您的后端代码中发送付款。

在客户端加密中,加密是在浏览器中完成的。然后,您将加密数据发送到您自己的服务器。然后在您的服务器上创建一个支付授权请求(其中加密数据是元素之一,以及支付金额等)。

如果您能够设法从您的浏览器运行此操作,您的最终解决方案将允许您的购物者从 JavaScript 层更改金额、货币、支付元数据等。绝不应该是这种情况。

因此,授权是文档“服务器端”集成部分的一部分:https ://docs.adyen.com/developers/ecommerce-integration?ecommerce=ecommerce-integration#serverside

根据您的服务器端环境,您喜欢的语言中的 CURL 实现会有所不同,但大多数时候很容易找到。

亲切的问候,

阿诺德

于 2017-08-21T06:35:38.283 回答