Ungültiger Header beim Aufruf von https://unser.church.tools/oauth/access_token

wulmer

Hallo,

erstmal vielen Dank für die OAuth2 Schnittstelle, das ist schon echt cool, obwohl scopes und Zugriff auf die "echte" ChurchTools API mit dem OAuth Token natürlich noch viel cooler wären

Aber erstmal scheitere ich mit einem anderen Problem.
Ich nutze die OAuth2 Schnittstelle in ChurchTools, um mich an einem anderen (eigenen) System zu authentifizieren, dort habe ich auch ein Backend mit FastAPI, welches Swagger und den darin eingebauten OAuth Support nutzt, um von ChurchTools ein Access Token zu holen.

Mein Problem:

Beim Aufruf von https://unser.church.tools/oauth/access_token zum Holen des Tokens schickt Swagger einen Request los, der leider einen Header zu viel hat: Als Folge bekomme ich einen CORS Fehler, weil der Swagger-Header nicht akzeptiert ist:

Access to fetch at 'https://unser.church.tools/oauth/access_token' from origin 'http://127.0.0.1:8000' has been blocked by CORS policy: Request header field x-requested-with is not allowed by Access-Control-Allow-Headers in preflight response.

Die Access-Control-Allow-Headers aus der preflight response sind: Content-Type, csrf-token, Authorization.

Zum Debuggen habe ich mich mal per Hand die Header vor dem Swagger-Request angepasst und das X-Requested-With rausgelöscht, dann tut Swagger wunderbar und holt sich das Access Token. Allerdings habe ich keine Möglichkeit gefunden, zu verhindern, dass Swagger diesen Header mitschickt.

Wäre es möglich, diesen Header auf ChurchTools-Seite noch in die Allow-Headers Liste aufzunehmen?