我们有一项服务可将用户重定向到S3存储桶中的对象。该请求的身份验证存储在URL的查询部分中。
我理解规范没有指定在重定向的情况下对请求头做什么,但是我看到的实现在使用HTTP Basic时会剥离Authorization头。
有趣的是,当我们通过HTTP Basic身份验证调用我们的服务时,它工作正常。客户端从请求中剥离Authorization标头,文件从S3传送。
但是当我们使用OAuth承载令牌调用我们的服务时,会留下Authorization标头以进行重定向,从而导致S3返回400错误响应。
服务器的重定向响应是否有办法指示客户端在访问响应的Authorization标头之前剥离Location标头?