Ich lerne etwas über Autorisierung wie Basic, Digest, OAuth2.0, JWTs und Bearer Token.
Jetzt habe ich eine Frage.
Sie wissen, dass die JWTs im OAuth2.0-Standard als Access_Token verwendet werden. JWTs werden bei RFC 7519 und Bearer Token bei RFC 6750 angezeigt.
Zum Beispiel der Träger:
Authorization: Bearer <token>
Ich habe Token per AJAX an den Server gesendet oder Token zur Abfragezeichenfolge der URL hinzugefügt. Ich weiß, dass ein Token auch gesendet werden kann, indem es einem Anforderungsheader hinzugefügt wird. Bedeutet das, dass ein Token zum Header des Autorisierungsträgers hinzugefügt werden sollte?
Könnten Sie mir bitte die Beziehung zwischen JWTs und Bearer Token erzählen? Vielen Dank.
auth-header
Paket, wenn Sie einen minimalen Parser möchtenKurze Antwort
JWTs sind eine bequeme Möglichkeit, Ansprüche zu verschlüsseln und zu verifizieren .
Ein Bearer-Token ist nur eine möglicherweise beliebige Zeichenfolge, die für die Autorisierung verwendet wird.
Kontext (Story-Zeit)
Vor einigen Jahren, vor der JWT-Revolution,
<token>
war a nur eine Zeichenfolge ohne intrinsische Bedeutung, z. B. 2pWS6RQmdZpE0TQ93X. Dieses Token wurde dann in einer Datenbank nachgeschlagen, die die Ansprüche für dieses Token enthielt. Der Nachteil dieses Ansatzes besteht darin, dass bei jeder Verwendung des Tokens ein DB-Zugriff (oder ein Cache) erforderlich ist.JWTs verschlüsseln und verifizieren (durch Signieren) ihre eigenen Ansprüche . Dies ermöglicht es den Leuten, kurzlebige JWTs auszustellen, die zustandslos sind (sprich: in sich geschlossen, nicht von jemand anderem abhängig). Sie müssen die DB nicht treffen. Dies reduziert die DB-Last und vereinfacht die Anwendungsarchitektur, da sich nur der Dienst, der die JWTs ausgibt, um das Erreichen der DB- / Persistenzschicht kümmern muss (auf die
refresh_token
Sie wahrscheinlich gestoßen sind ).quelle
JWTs arbeiten mit zwei Arten von Token, Parametertoken: Zugriffstokenübergabe als Parameter. Bearer Token: Es wird im Header mit 'Bearer' übergeben.
Bitte lesen Sie auch die folgende Frage:
Was sind Inhaber-Token und Token-Typ in OAuth 2?
quelle