如何设置 SSE 请求授权头？

Server-Sent Events (SSE) 是一种服务器推送技术，它允许服务器通过一个单向的 HTTP 连接向客户端发送事件。在使用 SSE 时，通常会通过 HTTP 请求从客户端到服务器设置认证信息。

在客户端，你可以在建立 SSE 连接时设置请求授权头，例如，当你使用 JavaScript 中的 EventSource 接口时，你不能直接在构造函数中设置 HTTP 头部，因为标准的 EventSource API 不支持自定义请求头。取而代之的常见做法是在查询字符串中发送令牌，或者使用一个能够设置 HTTP 请求头的 EventSource 的 polyfill。

如果你选择在查询字符串中发送令牌，它看起来可能是这样的：

javascript
const token = 'your_token_here';
const url = `http://example.com/events?token=${encodeURIComponent(token)}`;
const eventSource = new EventSource(url);

eventSource.onmessage = function(event) {
    // Handle incoming messages
};

但是，这种方式并不是最安全的，因为令牌可能会在服务器日志中暴露，并且更容易受到 CSRF 攻击。

为了更安全地发送令牌，一些开发者可能会选择使用一个支持自定义 HTTP 请求头的 EventSource polyfill。以 eventsource polyfill 为例，你可以这样做：

javascript
const EventSource = require('eventsource');
const url = 'http://example.com/events';
const eventSource = new EventSource(url, {
    headers: {
        'Authorization': `Bearer your_token_here`
    }
});

eventSource.onmessage = function(event) {
    // Handle incoming messages
};

服务器端需要验证这个 Authorization 头来确定客户端是否有权限接收事件流。

在实际部署中，你可能还需要考虑跨域资源共享（CORS）策略，确保浏览器允许你从客户端代码中设置这些头部信息。

以上就是如何在 SSE 请求中设置授权头的方法。注意，每种方法都有其适用场景和安全性考虑。在实际应用中，需要根据具体需求和安全标准进行选择。