Supabase Auth 中 getUser(token) 返回 "Bad Request" 问题解析

问题背景

在使用 Supabase 的 JavaScript 客户端库时，开发者可能会遇到一个常见的认证问题：当调用 supabase.auth.getUser(token) 方法时，系统返回 "Bad Request" 错误。这个错误通常表现为 AuthUnknownError，提示无法将 "Bad request" 解析为有效的 JSON 数据。

错误现象

开发者会观察到以下错误信息：

AuthUnknownError: Unexpected token 'B', "Bad request" is not valid JSON

这表明客户端尝试解析来自服务器的响应时遇到了问题，因为服务器返回的是纯文本的 "Bad request" 而非预期的 JSON 格式数据。

根本原因分析

经过深入排查，发现这个问题通常是由于客户端配置不当导致的，具体表现为：

1. 错误的请求头设置：在创建 Supabase 客户端实例时，开发者可能错误地设置了授权头字段名称。

2. 大小写敏感问题：HTTP 头字段名称是大小写敏感的，使用 authorization 而非标准的 Authorization 会导致服务器无法正确识别认证信息。

3. 客户端配置错误：在 createClient 方法中，全局头部的设置格式不正确。

解决方案

正确的客户端配置方式应该是：

const supabase = createClient(supabaseUrl, supabaseAnonKey, {
  global: {
    headers: {
      Authorization: authorization_header  // 注意大小写
    }
  }
});

关键点在于：

• 必须使用 Authorization 而非 authorization 或其他变体
• 确保传入的是完整的授权头字符串，包括 "Bearer " 前缀
• 检查环境变量是否正确设置，特别是 SUPABASE_URL 和 SUPABASE_ANON_KEY

深入理解

Supabase 的认证流程中，getUser 方法会向认证服务器发送一个包含 JWT 令牌的请求。当服务器收到格式不正确的请求时，会返回简单的 "Bad request" 文本响应，而不是结构化的错误信息。

客户端库期望接收 JSON 格式的响应，当收到纯文本错误时，就会抛出解析异常。这种设计虽然在某些情况下可能不够友好，但也提醒开发者需要严格遵循 API 规范。

最佳实践

1. 统一命名规范：始终使用标准的 HTTP 头字段名称，遵循 RFC 规范。

2. 错误处理：在调用认证方法时，添加适当的错误处理逻辑，捕获并分析可能的错误。

3. 环境检查：在开发过程中，验证所有环境变量的值是否正确，特别是当使用本地开发环境时。

4. 日志记录：在关键认证步骤添加日志记录，帮助快速定位问题。

总结

Supabase 认证过程中的 "Bad Request" 错误通常是由于客户端配置不当引起的。通过正确设置 HTTP 头字段，特别是注意 Authorization 的大小写规范，可以解决这一问题。理解 Supabase 的认证流程和错误处理机制，有助于开发者构建更健壮的应用系统。