search

viyiviyi / sd-encrypt-image

stable-diffusion-webui 图片加密插件
GNU Affero General Public License v3.0
56 stars 27 forks source link

[Bug]: 在 sd-webui 中使用 --api-auth 参数设置 API 密码后访问相关路由未鉴权 #15

Closed ZY-Program closed 3 months ago

ZY-Program commented 4 months ago

问题描述

在 sd-webui 中使用 --api-auth 参数设置 API 密码后,被 hook 的一些 web 请求没有进行鉴权,导致可以直接访问本地文件。

复现步骤

  1. 启动 sd-webui 并使用 --api-auth 参数设置 API 密码。
  2. 直接访问受保护的路由,没有进行鉴权。

预期行为

在访问受保护的路由时,应该进行 API 鉴权。

实际行为

使用插件时:

屏幕截图 2024-07-30 114320

不使用插件时:

屏幕截图 2024-07-30 114640
viyiviyi commented 3 months ago

谢谢,我尽快修复。

viyiviyi commented 3 months ago

我测试了,对于被拦截的api(/file=,/sd_extra_networks/thumb,/infinite_image_browsing/image-thumbnail)本身就是不鉴权的。并且开启插件的情况下其他接口的鉴权功能依然正常。

ZY-Program commented 3 months ago

我测试了,对于被拦截的api(/file=,/sd_extra_networks/thumb,/infinite_image_browsing/image-thumbnail)本身就是不鉴权的。并且开启插件的情况下其他接口的鉴权功能依然正常。

好的,谢谢作者为我们用心维护拓展。那天是我粗心了,误以为问题的复现与使用--api-auth参数有关。我后来又复现了几次情况,猜测和--gradio-auth有关,我重开一个issue说明。