Почему установка XMLHttpRequest.withCredentials = true разрешает CORS-запрос?

Question

Внутренний сервер возвращает

Allow-Control-Allow-Origin : *
Allow-Control-Allow-Credentials: true

Таким образом, конфигурация сервера в порядке.

Но когда я делаю запрос, если я не установил withCredentials равным true,сервер возвращает 401.

Теперь я хочу понять, почему настройка withCredentials работает.Описание на MDN не сильно помогает.Как разрешить использование файлов cookie?

Представьте, пользователь никогда не открывал сайт конечного внутреннего сервера, поэтому для этого сайта не должно быть файлов cookie.Тогда какая разница с использованием файлов cookie в запросе?

Answer 1

withCredentials: true говорит браузеру отправлять куки с запросом.если это false, браузер не будет отправлять куки, которые, скорее всего, используются сервером для аутентификации.Когда нет файлов cookie, сервер не может аутентифицировать пользователя и возвращает 401 Unauthorized