专题 C2:API 调试
常见 API 认证请求头错误
很多 401/403 并不是权限系统坏了,而是认证头格式、前缀或转发链路出了问题。
头部错误比 token 错误更常见
实际故障里最常见的是缺少 `Bearer` 前缀、头名拼错、代理层没有透传 `Authorization`,而不是 token 本身无效。
如果服务间、浏览器和 CLI 请求的结果不一致,优先比对完整请求头,而不是先怀疑业务逻辑。
排查时先对齐这三件事
- 确认 header 名称、大小写和前缀格式是否符合服务端要求。
- 检查反向代理、网关、CDN 是否清洗或覆盖了认证头。
- 把原始 cURL、应用代码和服务器日志里的最终请求逐项对比。
实用输入/输出示例
输入
Authorization: token abc123 X-API-Key: <missing>
输出
Authorization: Bearer abc123 或改为服务端要求的 X-API-Key 头