keystonejs/keystone

`statelessSessions` attempts to use unsupported `Authorization: Basic` header rather than the cookie

Open

Aperta il 6 mar 2026

Vedi su GitHub
 (2 commenti) (0 reazioni) (1 assegnatario)JavaScript (14.870 star) (2386 fork)batch import
discussiondocumentationhelp wanted

Descrizione

When deploying a Keystone app to a staging environment hidden behind a reverse proxy (like Nginx or Caddy) with HTTP Basic Authentication, Admin UI access breaks (Access denied), even if the user logs in correctly and has a valid keystonejs-session cookie.

Steps to reproduce:

  1. Setup a Keystone app using statelessSessions.
  2. Put the app behind a proxy that requires Basic Auth, passing the Authorization: Basic ... header down to the Node.js backend.
  3. Log in to the Admin UI successfully (the cookie is set in the browser).
  4. Refresh the page or try to access adminMeta.
  5. Result: Access denied because context.session becomes undefined.

Expected behaviour: Keystone should ignore Authorization: Basic ... headers and correctly fallback to parsing the keystonejs-session cookie.

Node.js - v22.13.0 keystone-6/auth - 8.1.0 keystone-6/core - 6.5.1

Guida contributor

Tech stack
javascriptnodejs
Dominio
backend
Tipo issue
bug
DifficoltàQuanto dovrebbe essere impegnativa per un nuovo contributor.
2
Tempo stimatoTempo stimato per completare e verificare uno scope piccolo.
1-3 hours
Stato attivitàQuanto è probabile che la issue sia ancora attiva e reviewable.
active
ChiarezzaQuanto chiaramente la issue descrive problema, scope e risultato atteso.
mostly clear
Prerequisiti
GitNode.js
Adatta ai principiantiQuanto la issue è adatta a contributor alla prima esperienza.
70
Direzione di ricerca
Ispeziona il middleware di sessione per vedere dove viene controllato l'header Authorization e aggiungi una condizione per ignorare l'autenticazione Basic quando il cookie è presente.