Ich frage mich, welcher Authorization
HTTP-Headertyp für JWT-Token am besten geeignet ist .
Einer der wahrscheinlich beliebtesten Typen ist Basic
. Zum Beispiel:
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Es verarbeitet zwei Parameter wie ein Login und ein Passwort. Daher ist es für JWT-Token nicht relevant.
Auch ich gehörte Bearer - Typ, zum Beispiel:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
Ich weiß jedoch nicht, was es bedeutet. Hat es mit Bären zu tun?
Gibt es eine bestimmte Möglichkeit, JWT-Token im HTTP- Authorization
Header zu verwenden? Sollten wir verwenden Bearer
oder sollten wir vereinfachen und nur verwenden:
Authorization: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
Vielen Dank.
Bearbeiten:
Oder vielleicht nur ein JWT
HTTP-Header:
JWT: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
quelle
Bearer
Keyword stammt. Aber es kommt von OAuth. JWT kann jedoch ohne OAuth verwendet werden. Es ist völlig unabhängig von den OAuth-Spezifikationen.Authenticate
der Abfragezeichenfolge ). Der Header ist jedoch besser geeignet und entspricht dem RFC7235, der ein Authentifizierungsframework in einem HTTP 1.1-Kontext beschreibtcurl -H "Authorization: Bearer <TOKEN>" <the rest of your curl cmd>
Kurze Antwort
Das
Bearer
Authentifizierungsschema ist genau das, wonach Sie suchen.Lange Antwort
Errr ... Nein :)
Nach den Oxford Dictionaries ist hier die Definition des Inhabers :
Die erste Definition enthält die folgenden Synonyme: Bote , Agent , Förderer , Abgesandter , Spediteur , Anbieter .
Und hier ist die Definition des Inhaber-Tokens gemäß RFC 6750 :
Das
Bearer
Authentifizierungsschema ist in IANA registriert und ursprünglich im RFC 6750 für das OAuth 2.0-Autorisierungsframework definiert. Nichts hindert Sie jedoch daran, dasBearer
Schema für Zugriffstoken in Anwendungen zu verwenden, die OAuth 2.0 nicht verwenden.Halten Sie sich so weit wie möglich an die Standards und erstellen Sie keine eigenen Authentifizierungsschemata.
Ein Zugriffstoken muss im
Authorization
Anforderungsheader mithilfe desBearer
Authentifizierungsschemas gesendet werden:Im Falle eines ungültigen oder fehlenden Tokens sollte das
Bearer
Schema in denWWW-Authenticate
Antwortheader aufgenommen werden:quelle