專題 C2:API 偵錯
常見 API 驗證標頭錯誤
許多 401/403 並不是權限系統故障,而是驗證標頭格式、前綴或轉發鏈路出了問題。
標頭錯誤比 token 錯誤更常見
實務上最常見的是缺少 `Bearer` 前綴、標頭名稱拼錯,或代理層沒有正確傳遞 `Authorization`。
如果服務間、瀏覽器與 CLI 請求結果不同,應先比對完整標頭,而不是立刻懷疑後端邏輯。
排查時先對齊這三件事
- 確認 header 名稱、大小寫與前綴格式符合服務端要求。
- 檢查反向代理、網關、CDN 是否清洗或覆寫了驗證標頭。
- 把原始 cURL、應用程式程式碼與伺服器日誌中的最終請求逐項比對。
實用輸入/輸出範例
輸入
Authorization: token abc123 X-API-Key: <missing>
輸出
Authorization: Bearer abc123 或改成服務端要求的 X-API-Key 標頭