node.js - Battle.net API 使用 OAuth Token 返回 401 错误

Question

我在 Battle.net API 上使用带有 express 的 Nodejs 来生成 Oauth 令牌。 https://develop.battle.net/documentation/guides/using-oauth

生成令牌本身是有效的，因为它返回了我的令牌。但是当我使用代码向他们的 API 发出请求时，例如：

https://eu.api.blizzard.com/wow/guild/Malfurion/The%20new%20Dimension?fields=members&locale=de_DE&access_token=HEREISMYTOKEN

我得到一个 401 Unauthorized 错误响应，调试日志：

{ url:
      'https://eu.api.blizzard.com/wow/guild/Malfurion/The%20new%20Dimension?fields=members&locale=de_DE&access_token=HEREISMYTOKEN',
     status: 401,
     statusText: 'Unauthorized',
     headers: Headers { [Symbol(map)]: [Object] } }

我正在尝试通过 fetch() 获取公会的成员。

我已经尝试过：

• 创建一个新的应用程序（使用新的客户端密码和 ID）

• 在战网设置中设置所有可能的回调 url：

  https://localhost/ http://localhost/ https://localhost:443/ http://localhost:443/ https://localhost/auth/bnet/callback http://localhost/auth/bnet/callback https://localhost:443/auth/bnet/callback http://localhost:443/auth/bnet/callback

• 通过“试用 api”（https://develop.battle.net/documentation/api-reference/world-of-warcraft-community-api）手动创建令牌，在其中输入您的客户端 ID 和机密，然后获得临时令牌。那个有效，也在我的应用程序中。

您可以比较这两个网址的响应（只需使用您的浏览器）：

首先（在我的应用程序中生成）：https ://eu.api.blizzard.com/wow/guild/Blackmoore/The%20new%20Dimension?fields=members&locale=de_DE&access_token=EU7XD8E4K9IAJKBGJSP3MDBLAVCIU2BYXS

第二（生成在battle.net网站上尝试API，您可以在其中填写clientid和secret来测试API）：https://eu.api.blizzard.com/wow/guild/Blackmoore/The%20new%20Dimension? fields=members&locale=de_DE&access_token=US23su4g0hAeS5w3EUCkKA9MJPgJ8k8bzV

代码

server.js，简单的快递应用

var BNET_ID = "MYID";
var BNET_SECRET = "MYSECRET";

...

// Use the BnetStrategy within Passport.
passport.use(
  new BnetStrategy(
    { clientID: BNET_ID,
      clientSecret: BNET_SECRET,
      scope: "wow.profile sc2.profile",
      callbackURL: "https://localhost/",
      region: "eu" },
    function(accessToken, refreshToken, profile, done) {
      process.nextTick(function () {
        return done(null, profile);
      });
    })
);
// bnet auth routes
app.get('/auth/bnet', passport.authenticate('bnet'));

app.get('/auth/bnet/callback',
    passport.authenticate('bnet', { failureRedirect: '/' }),
    function(req, res){
        res.redirect('/');
});

控制器.js

...

      const res = await fetch(`https://eu.api.blizzard.com/wow/guild/${servers[iterator]}/The new Dimension?fields=members&locale=de_DE&access_token=${thetoken}`).then((res) => {
        res.json();
        // for debugging, shows 401 Error
        console.log(res);
      });

...

我实际上希望得到这样的响应，因为它使用临时令牌工作：

status: 200 OK

body: {
  "lastModified": 1546676373000,
  "name": "The new Dimension",
  "realm": "Blackmoore",
  "battlegroup": "Glutsturm / Emberstorm",
  "level": 25,
  "side": 0,
  "achievementPoints": 1005,
  "members": 
(......)
}

我设法解决了这个问题！

非常非常hacky，但我设法通过像这样破解oauth回调中间件来解决这个问题：将我使用的API令牌设置为req.user.token。

app.get('/auth/bnet/callback',
    passport.authenticate('bnet', { failureRedirect: '/?error' }),
    function(req, res) {
      req.session.bnettoken = req.user.token;

      res.redirect('/');
    }
);

我怀疑我的 SessionStorage（快速会话）中也使用了“代码”或“令牌”来将当前会话存储在我的数据库中。所以我只是从请求中破解 user.token 并使用它。呼……工作时间。

Answer 1

从文档中我可以看到您需要将令牌传递到Authorization值为 : 的标头中Bearer HEREISMYTOKEN。

有关授权标头和标头的更多信息：

• https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers
• https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Authorization
• https://developer.mozilla.org/en-US/docs/Web/API/Fetch_API/Using_Fetch#Headers

如何使用它的示例可以在这个 SO 答案中找到