'認証ivid = “のトークンの前に'ベアラー'が必要なのはなぜですかHTTPリクエストのdb21b442f9 “> ヘッダー?

次の2つのヘッダーの違いは正確には何ですか:

Authorization : Bearer cn389ncoiwuencr vs Authorization : cn389ncoiwuencr 

すべてのソース私が経験したことですが、「Authorization」ヘッダーの値を「Bearer」の後に実際のトークンとして設定します。しかし、その意義が理解できませんでした。トークンをAuthorizationヘッダーに入れるとどうなりますか?

コメント

  • http認証には、基本やその他の方法があります。 ダイジェスト。 'それらを区別できるのは良いことだと思います。
  • 質問は特にトークンベースの認証についてです。これは通常、基本認証の後に行われるため、ユーザーは'リクエストごとにユーザー名とパスワードを入力する必要はありません。
  • 同様の質問がありました。 Oauth 2.0に完全には準拠していない、短期間のトークン実装のスキームを選択したかったのです。プロキシ'とサーバー'の解釈に問題を起こすことなく、Bearerまたは非標準値を使用できるかどうか疑問に思いました。答えを見つけるのに最も近かったのは、 stackoverflow.com/questions/7802116/ … stackoverflow.com/questions/8463809/ …
  • サーバーは通常、同じルートでトークンを返しますかつまり、"承認:HTTP応答のベアラー"?それとも、ほとんどの場合、応答本文の一部ですか?
  • この MDNのHTTP認証ページはディスカッションに非常に役立ちます。

回答

Authorization: <type> <credentials>パターンは、W3Cによって

HTTP 1.0 であり、それ以来多くの場所で再利用されています。多くのWebサーバーは、複数の認証方法をサポートしています。そのような場合、トークンだけを送信するだけでは不十分です。

Authorization : Bearer cn389ncoiwuencr 

形式を使用するサイトはおそらくOAuth2.0を実装していますベアラートークン OAuth 2.0認証フレームワークは、認証を安全に保つために他の多くの要件を設定します。たとえば、HTTPS / TLSの使用が必要です。

OAuth 2.0を使用しているサービスと統合する場合は、フレームワークに精通して、使用しているフローが次のようになるようにすることをお勧めします。正しく実装され、不要な脆弱性を回避します。オンラインで利用できる優れたチュートリアルが多数あります。

コメント

  • I ' MS Graph APIに精通していないため、実装の癖かもしれません。
  • それが私が考えていたものです。ベアラートークンとトークン全般についての知識があれば、セキュリティを確認できますか? APIがトークンwiを受け入れるという事実による影響Bearerキーワードはありませんか?
  • そうではありませんが、その質問の1つのコメントに同意します。この点で実装が異なる場合、他に何が異なりますか?そうは言っても、RFCから逸脱したOAuthのような実装がいくつかあります。ただし、実装の安全性が低いことを自動的に意味するわけではありません。

回答

ベアラ認証のずっと前に、このヘッダーは、基本認証に使用されました。相互運用性のために、これらのヘッダーの使用はW3C基準に準拠しているため、「ヘッダーの読み取りと書き込みを行っている場合でも、それらに従う必要があります。Bearerは、使用している認証の種類を区別するため、重要です。

回答

ベアラートークンはすべてのインラインアクションHTTPリクエストのAuthorizationヘッダーに設定され、ベアラー自体が認証のタイプを決定します。

Ref https://developers.google.com/gmail/markup/actions/verifying-bearer-tokens

コメント

  • この回答は、すべてのWeb開発者ではなく、gmail開発者に固有です。'アクション'はgmailのコンセプト。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です