OkHttp отправляет авторизацию и другие потенциально чувствительные заголовки на перенаправление?

Question

Я использую OkHttp транзитно через Apache NiFi. Я пытаюсь определить, как авторизация и другие конфиденциальные заголовки обрабатываются при перенаправлении. Единственное взаимодействие процессора InvokeHTTP NiFi с OkHttp в отношении перенаправлений - здесь , где он считывает свойство процессора и устанавливает параметр для объекта OkHttpClientBuilder:

// Set whether to follow redirects
okHttpClientBuilder.followRedirects(context.getProperty(PROP_FOLLOW_REDIRECTS).asBoolean());

Быстро при поиске в источнике OkHttp, я не могу определить, где обрабатываются перенаправления, чтобы убедиться, что Authorization убран из последующих запросов, как я и ожидал , cURL только что недавно принял такое поведение по соображениям безопасности.

Answer 1

Это происходит в RetryAndFollowUpInterceptor .

// When redirecting across hosts, drop all authentication headers. This
// is potentially annoying to the application layer since they have no
// way to retain them.
if (!sameConnection(userResponse, url)) {
  requestBuilder.removeHeader("Authorization");
}