Ich habe eine JWT-basierte Authentifizierung in meiner Web-API-Anwendung erstellt. Ich kann den Unterschied zwischen nicht herausfinden
- Grundlegendes Token
- Inhaber-Token
Kann mir bitte jemand helfen?
quelle
Ich habe eine JWT-basierte Authentifizierung in meiner Web-API-Anwendung erstellt. Ich kann den Unterschied zwischen nicht herausfinden
Kann mir bitte jemand helfen?
Die Standard- und Digest-Authentifizierungsschemata sind der Authentifizierung unter Verwendung eines Benutzernamens und eines Geheimnisses gewidmet (siehe RFC7616 und RFC7617 ).
Das Bearer-Authentifizierungsschema ist der Authentifizierung mithilfe eines Tokens gewidmet und wird vom RFC6750 beschrieben . Selbst wenn dieses Schema aus einer OAuth2-Spezifikation stammt, können Sie es in jedem anderen Kontext verwenden, in dem Token zwischen einem Client und einem Server ausgetauscht werden.
In Bezug auf die JWT-Authentifizierung und da es sich um ein Token handelt, ist das Bearer-Authentifizierungsschema die beste Wahl. Nichts hindert Sie jedoch daran, ein benutzerdefiniertes Schema zu verwenden, das Ihren Anforderungen entspricht.
Die Standardauthentifizierung überträgt Anmeldeinformationen als Benutzer-ID / Kennwort-Paare, die mit base64 codiert wurden. Der Client sendet HTTP-Anforderungen mit demAuthorization
Header, der das WortBasic
word gefolgt von einem Leerzeichen und einembase64-encoded
String-Benutzernamen: password enthält.
Autorisierung: Basic ZGVtbzpwQDU1dzByZA ==
Hinweis: Bei der Basisauthentifizierung ist das Basisauthentifizierungsschema nicht sicher, da die Benutzer-ID und das Kennwort als Klartext über das Netzwerk übertragen werden (es ist base64-codiert, base64 ist jedoch eine umkehrbare Codierung). HTTPS / TLS sollte in Verbindung mit der Basisauthentifizierung verwendet werden.
Die Trägerauthentifizierung (auch als Tokenauthentifizierung bezeichnet ) verfügt über Sicherheitstoken, die als Träger-Token bezeichnet werden. Der Name "Inhaberauthentifizierung" kann als " Zugriff auf den Inhaber dieses Tokens " verstanden werden. Das Inhaber-Token ist eine kryptische Zeichenfolge, die normalerweise vom Server als Antwort auf eine Anmeldeanforderung generiert wird. Der Client muss dieses Token im Autorisierungsheader senden, wenn Anforderungen an geschützte Ressourcen gestellt werden:
Autorisierung: Inhaber <Token>
Hinweis: Ähnlich wie bei der Standardauthentifizierung sollte die Inhaberauthentifizierung nur über HTTPS (SSL) verwendet werden .