Mikä on kahden seuraavan otsikon välinen ero:
Authorization : Bearer cn389ncoiwuencr vs Authorization : cn389ncoiwuencr Kaikki lähteet jonka olen käynyt läpi, asettaa ”Valtuutus” -otsikon arvoksi ”Kantaja”, jota seuraa varsinainen tunnus. En kuitenkaan ole pystynyt ymmärtämään sen merkitystä. Entä jos laitan tunnuksen yksinkertaisesti Valtuutus-otsikkoon?
kommentit
- http-todennuksessa on muita tapoja, kuten basic tai tiivistelmä . Oletan ' mukavaa, että pystymme erottamaan ne.
- Kysymys koskee erityisesti Token-pohjaista todennusta, joka tehdään yleensä perustodennuksen jälkeen, jotta käyttäjä ei ' ei tarvitse antaa käyttäjänimeä ja salasanaa jokaisessa pyynnössä.
- Minulla oli myös samanlainen kysymys. Halusin valita lyhytikäisen tunnuksen toteuttamisjärjestelmän, joka ei ole täysin Oauth 2.0 -yhteensopiva. Mietin, voisinko käyttää Bearer-tiedostoa tai mitä tahansa epätyypillistä arvoa joutumatta vaikeuksiin valtakirjojen ' ja palvelinten ' tulkinnan kanssa. Lähinnä vastausta löysin olivat: stackoverflow.com/questions/7802116/… ja stackoverflow.com/questions/8463809/…
- palauttavatko palvelimet yleensä tunnuksen samalla reitillä ts. " Valtuutus: HTTP-vastauksen haltija "? Vai onko se melkein aina osa vastausrunkoa?
- Tämä MDN-HTTP-todennussivu on erittäin hyödyllinen keskustelulle.
Vastaus
W3C esitteli mallin Authorization: <type> <credentials> HTTP 1.0 , ja sitä on käytetty uudelleen monissa paikoissa siitä lähtien. Monet verkkopalvelimet tukevat useita valtuutusmenetelmiä. Siinä tapauksessa pelkän tunnuksen lähettäminen ei riitä.
Sivustot, jotka käyttävät
Authorization : Bearer cn389ncoiwuencr -muotoa, toteuttavat todennäköisesti OAuth 2.0 siirtotunnukset . OAuth 2.0 -valtuutuksen kehys asettaa useita muita vaatimuksia suojauksen suojaamiseksi, esimerkiksi edellyttää HTTPS / TLS: n käyttöä.
Jos integroit palvelun, joka käyttää OAuth 2.0: ta, on hyvä tutustua kehykseen siten, että käyttämäsi virtaus on toteutettu oikein ja välttämällä tarpeettomia haavoittuvuuksia. Verkossa on useita hyviä opetusohjelmia.
Kommentit
- I ' en ole perehtynyt MS Graph -sovellusliittymään, saattaa olla oivallus niiden toteutuksesta.
- Se mitä ajattelin. Ottaen huomioon tietosi Bearer Tokenista ja tunnuksista yleensä, näetkö mitään turvallisuutta vaikutuksia sillä, että API hyväksyy tunnuksen wi Enemmän kuin kantajan avainsana?
- Ei oikeastaan, mutta olen samaa mieltä yhdestä kommentista tässä kysymyksessä – jos niiden toteutus eroaa tässä asiassa, mitä muuta on erilaista? Tästä huolimatta siellä on useita OAuth-tyyppisiä toteutuksia, jotka poikkeavat RFC: stä. Se ei kuitenkaan tarkoita automaattisesti, että heidän toteutuksensa ovat vähemmän turvallisia.
Vastaa
Kauan ennen haltijan valtuutusta, tätä otsikkoa käytettiin perustodennukseen . Yhteentoimivuuden kannalta näiden otsikkojen käyttöä säätelevät W3C-normit, joten vaikka lukisit ja kirjoitat otsikkoa, sinun tulisi noudattaa niitä. Bearer erottaa käyttämäsi valtuutuksen tyypin, joten se on tärkeä.
Vastaus
Jokaisen Inline Action HTTP -pyynnön Authorization-otsikossa on asetettu verkkotunnus, ja Bearer itse määrittää todennuksen tyypin.
Ref https://developers.google.com/gmail/markup/actions/verifying-bearer-tokens
Kommentit
- Tämä vastaus on nimenomaan gmail-kehittäjille, ei kaikille web-kehittäjille. ' -toiminto ' on gmail-käsite.