Miksi ' haltija ' vaaditaan ennen ' -valtuutuksen otsikko HTTP-pyynnössä?

Mikä on kahden seuraavan otsikon välinen ero:

Authorization : Bearer cn389ncoiwuencr vs Authorization : cn389ncoiwuencr 

Kaikki lähteet jonka olen käynyt läpi, asettaa ”Valtuutus” -otsikon arvoksi ”Kantaja”, jota seuraa varsinainen tunnus. En kuitenkaan ole pystynyt ymmärtämään sen merkitystä. Entä jos laitan tunnuksen yksinkertaisesti Valtuutus-otsikkoon?

kommentit

  • http-todennuksessa on muita tapoja, kuten basic tai tiivistelmä . Oletan ' mukavaa, että pystymme erottamaan ne.
  • Kysymys koskee erityisesti Token-pohjaista todennusta, joka tehdään yleensä perustodennuksen jälkeen, jotta käyttäjä ei ' ei tarvitse antaa käyttäjänimeä ja salasanaa jokaisessa pyynnössä.
  • Minulla oli myös samanlainen kysymys. Halusin valita lyhytikäisen tunnuksen toteuttamisjärjestelmän, joka ei ole täysin Oauth 2.0 -yhteensopiva. Mietin, voisinko käyttää Bearer-tiedostoa tai mitä tahansa epätyypillistä arvoa joutumatta vaikeuksiin valtakirjojen ' ja palvelinten ' tulkinnan kanssa. Lähinnä vastausta löysin olivat: stackoverflow.com/questions/7802116/… ja stackoverflow.com/questions/8463809/…
  • palauttavatko palvelimet yleensä tunnuksen samalla reitillä ts. " Valtuutus: HTTP-vastauksen haltija "? Vai onko se melkein aina osa vastausrunkoa?
  • Tämä MDN-HTTP-todennussivu on erittäin hyödyllinen keskustelulle.

Vastaus

W3C esitteli mallin Authorization: <type> <credentials> HTTP 1.0 , ja sitä on käytetty uudelleen monissa paikoissa siitä lähtien. Monet verkkopalvelimet tukevat useita valtuutusmenetelmiä. Siinä tapauksessa pelkän tunnuksen lähettäminen ei riitä.

Sivustot, jotka käyttävät

Authorization : Bearer cn389ncoiwuencr 

-muotoa, toteuttavat todennäköisesti OAuth 2.0 siirtotunnukset . OAuth 2.0 -valtuutuksen kehys asettaa useita muita vaatimuksia suojauksen suojaamiseksi, esimerkiksi edellyttää HTTPS / TLS: n käyttöä.

Jos integroit palvelun, joka käyttää OAuth 2.0: ta, on hyvä tutustua kehykseen siten, että käyttämäsi virtaus on toteutettu oikein ja välttämällä tarpeettomia haavoittuvuuksia. Verkossa on useita hyviä opetusohjelmia.

Kommentit

  • I ' en ole perehtynyt MS Graph -sovellusliittymään, saattaa olla oivallus niiden toteutuksesta.
  • Se mitä ajattelin. Ottaen huomioon tietosi Bearer Tokenista ja tunnuksista yleensä, näetkö mitään turvallisuutta vaikutuksia sillä, että API hyväksyy tunnuksen wi Enemmän kuin kantajan avainsana?
  • Ei oikeastaan, mutta olen samaa mieltä yhdestä kommentista tässä kysymyksessä – jos niiden toteutus eroaa tässä asiassa, mitä muuta on erilaista? Tästä huolimatta siellä on useita OAuth-tyyppisiä toteutuksia, jotka poikkeavat RFC: stä. Se ei kuitenkaan tarkoita automaattisesti, että heidän toteutuksensa ovat vähemmän turvallisia.

Vastaa

Kauan ennen haltijan valtuutusta, tätä otsikkoa käytettiin perustodennukseen . Yhteentoimivuuden kannalta näiden otsikkojen käyttöä säätelevät W3C-normit, joten vaikka lukisit ja kirjoitat otsikkoa, sinun tulisi noudattaa niitä. Bearer erottaa käyttämäsi valtuutuksen tyypin, joten se on tärkeä.

Vastaus

Jokaisen Inline Action HTTP -pyynnön Authorization-otsikossa on asetettu verkkotunnus, ja Bearer itse määrittää todennuksen tyypin.

Ref https://developers.google.com/gmail/markup/actions/verifying-bearer-tokens

Kommentit

  • Tämä vastaus on nimenomaan gmail-kehittäjille, ei kaikille web-kehittäjille. ' -toiminto ' on gmail-käsite.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *